Aandacht voor meldplicht datalekken rijkelijk te laat

Op 1 januari 2016 is elke organisatie verplicht om een eventueel datalek te melden. Afhankelijk van de omstandigheden, zoals de vooraf genomen maatregelen door een organisatie en de daaruit voortvloeiende ernst van het lek, krijgt een organisatie al dan niet een boete opgelegd. Het komt hierop neer:

• Er moeten passende maatregelen genomen worden om persoonlijke gegevens te beschermen.
• Er moet een databeschermingsbeleid actief zijn waarin wordt aangegeven hoe data effectief wordt beschermd.
• Ondernemingen die persoonlijke data van meer dan vijfduizend EU-burgers beheren moeten een Data Protection Officer aanstellen.
• Bij grove nalatigheid zijn de boetes niet mals. Ze kunnen oplopen tot 100 miljoen euro of vijf procent van de wereldwijde omzet.

Meer over de meldplicht lees je in het gastartikel van Pieter Lacroix van Sophos Benelux.

Aandacht

Er is zeker aandacht voor het onderwerp, vooral vanuit organisaties die zich bezig houden met security. Beveiligingsexpert Sophos bijvoorbeeld, organiseerde dit jaar een roadshow om uitleg te geven over de meldplicht. Dat niet alleen, zij brachten ook een tool uit voor organisaties om de compliance van jouw bedrijf te checken. Ook in columns deed directeur Pieter Lacroix van Sophos meermaals uit de doeken dat de meldplicht geen kleinigheid is en dat het zaak is voor organisaties om toch echt aan de slag te gaan met hun datahuishouding zodat ze hun zaken op orde hebben zodra de meldplicht ingaat.

Tijdens de Infosecurity.nl-beurs dit jaar waren er meerdere partijen die de aandacht op dit onderwerp vestigden. Wederom was het Sophos die aandacht schonk aan de meldplicht in een seminar die beide dagen van de beurs gegeven werd. Ook op de beursvloer was er aandacht voor het onderwerp. Dave Maasland van Eset gaf beide dagen aan het einde van de dag een lezing waarin hij uiteen zette wat de meldplicht is en wat de gevolgen zijn van een datalek. Dat deed hij overigens al eerder tijdens de Eset Security Days.

Te laat

De aandacht is er nu en dat is goed, zou je zeggen. Maar laten we er niet omheen draaien: over twee maanden is het zover. In deze tijdsspanne moeten bedrijven misschien wel hun hele datahuishouding omgooien om maar te voldoen aan de eisen die de meldplicht stelt aan hoe een bedrijf omgaat met data. Dat dit rijkelijk laat is, is nog vrij positief gezegd. Je implementeert niet ‘zomaar’ een oplossing die alle zorgen voor een datalek wegneemt. Bovendien levert menselijk handelen nog altijd de grootste risico’s op datalekken. En laten de meeste organisaties nu juist bestaan uit mensen. Het creëren van awareness bij medewerkers zou dus prioriteit moeten hebben, maar ook op dat gebied lijken organisaties weinig tot geen vooruitgang te boeken. Dat het dan slechts wachten is op een calamiteit, weet eigenlijk iedereen wel.

Bij wie ligt eigenlijk de verantwoordelijkheid? Misschien gemakkelijk, maar simpelweg 'een beetje bij iedereen'. Het is de taak van security professionals om te informeren en eventueel te helpen bij implementatie van oplossingen die passen bij een organisatie. Het is ook de taak van organisaties om zich in te lezen in de veranderingen en de eventuele gevolgen wanneer een organisatie te maken krijgt met een datalek. Ook de overheid had meer kunnen doen om het bedrijfsleven te informeren. Vooral vanuit die kant blijft het angstvallig stil.

Hoe verder

Organisaties kunnen uiteraard niet stilzitten en afwachten, dat kan desastreuze gevolgen hebben. Dus doen ze, hopen we voor ze, wat ze kunnen. Hoe de overheid uiteindelijk op bepaalde datalekken zal reageren blijft afwachten. Gaan ze een strikt beleid voeren, dan heeft dat een behoorlijke impact op het bedrijfsleven als er iets gebeurd. Doen ze dit echter niet, dan zou het kunnen gebeuren dat bedrijven zich niets aantrekken van de meldplicht. En ook dat is geen goed nieuws. Want de meldplicht komt uiteindelijk neer op privacy en bescherming van persoonsgegevens. En dat is iets wat iedereen aangaat.