Datalekken komen al lang voor, maar was tot voor kort nog geen belangrijk onderdeel van het cybersecuritybeleid van bedrijven. In 2018 worden Belgische bedrijven een meldplicht opgelegd. Dit in het kader van de nieuwe Europese wetgeving. Wat is de impact van deze meldplicht op België?
‘Bedrijven deden in het verleden vrijwel niks met datalekken. Dit komt doordat een datalek weinig negatieve gevolgen met zich mee bracht. Er was geen sprake van een financiële schade, hoog uit wat reputatieschade’, laat Erik de Jong van Fox-IT weten. ‘Gelukkig kwam in 2002 de eerste wetgeving rond datalekken. In Californië weliswaar. Het doel van die wetgeving was om de markt weer recht te trekken en bedrijven te stimuleren om hun cybersecurity op orde te brengen. Dit met het doel om datalekken op de lange termijn te voorkomen. Het was eigenlijk een soort stok achter de deur.’
Belgische meldplicht
In Europa geldt een privacyrichtlijn uit 1995. Elk lidstaat uit de Europese Unie (EU) heeft zijn eigen privacywet. In België geldt een meldplicht voor de telecomsector. Zij zijn verplicht binnen 24 uur de eerste melding van een datalek te melden aan de Privacycommissie. Binnen 72 uur moet een uitgebreide uitleg van het lek beschikbaar zijn. Voor de andere sectoren is het momenteel een aanbeveling.
Echter loopt het aantal meldingen nog geen storm: voor 2016 ontving de commissie tot nu toe drie meldingen voor telecombedrijven en negen meldingen voor de andere sectoren. Volgens De Jong komt dit doordat bedrijven zich vooral bezig houden met andere zaken. ‘Cybersecurity lijkt bedrijven weinig op te leveren. Hierdoor hebben zij andere prioriteiten dan de beveiliging op orde krijgen.’
Nederland als voorloper
Ondertussen is in Nederland de Meldplicht Datalekken van kracht. Dit verplicht bedrijven en overheden sinds januari dit jaar om een melding te maken bij de Autoriteit Persoonsgegevens (AP) wanneer zij een ernstig datalek hebben. Van ernstig is sprake wanneer er kans is op verlies of bij onrechtmatige verwerking van persoonsgegevens. De AP is bevoegd om organisaties te beboeten. De maximale boete voor de Nederlandse wet is gesteld op 820.000 euro. De Autoriteit Persoonsgegevens heeft inmiddels tweeduizend datalek-meldingen ontvangen.
De Jong meent dat Nederland door deze meldplicht voorloopt op andere Europese landen. Dit komt volgens hem doordat Nederland veel te maken heeft gehad met cybercrime, wat veel media-aandacht heeft opgeleverd. Denk aan Diginotar (een Certificate Authority die werd gehackt, waardoor gebruikers niet meer wisten of ze zich op de echte website bevonden) lektober (een maand lang werd dagelijks een privacylek in een website of overheidsdienst bekendgemaakt) in 2011. Ook hadden grote banken last van fraude met internetbankieren en schreef onderzoeksjournalist Brenno de Winter veel over it-beveiliging en privacy.
Europese Verordening
‘België heeft niet op die schaal te maken gehad met cybercrime. Hier heeft alleen de Belgacom-lek plaatsgevonden. Hierdoor leeft cybersecurity hier iets minder.’ Dat wil volgens hem niet zeggen dat België het slecht doet op gebied van it-beveiliging. ‘Ik merk alleen dat Belgische bedrijven minder bezig zijn met het voorkomen van datalekken. Meestal komen bedrijven pas in actie op als er iets mis is gegaan. Dat is jammer. Zeker aangezien diverse security-experts graag willen dat België, als hart van Europa, een voortrekkersrol moet nemen op dit gebied.’
De Jong verwacht dat Belgische bedrijven pas echt in actie komen wanneer de Europese Verordening van kracht is (25 mei 2018). Vanaf dan geldt één privacywet in de hele EU, in plaats van 28 verschillende nationale wetten. De privacyautoriteiten kunnen dan twee soorten boetes geven, waarbij de hoogste variant kan oplopen tot een bedrag van twintig miljoen euro of 4 procent van de wereldwijde jaaromzet.
Voorbereiding
Ondanks dat deze Verordening pas over een paar jaar van kracht is, moeten Belgische bedrijven zich hier wel goed op voorbereiden, meent de Jong. ‘De wet stelt nieuwe verwachtingen van bedrijven. In geval van een datalek moeten ze een goede melding kunnen maken en moet een goed verhaal komen. Ze moeten aantonen welke data gestolen is en wanneer dat is gebeurd.’
Maar juist dat aantonen van welke data daadwerkelijk is gestolen, is nog niet zo eenvoudig. De oplossing hiervoor zit deels in techniek. De Jong: ‘Bedrijven moeten eerst in kaart hebben welke persoonsgegevens ze verwerken en waar dit gebeurt. Vervolgens moet techniek inzichtelijk maken wat er met de gegevens gebeurt.’
Die techniek is overigens nog maar de eerste stap. De meldplicht vraagt ook om een organisatorische verandering. ‘Dat is vooral van toepassing op bewustwording. Alle medewerkers moeten weten welke lekken wel of niet gemeld moeten worden. Zij moeten ook weten bij wie dat gemeld moet worden. Dit om te voorkomen dat een medewerker gaat bepalen of iets wel of niet is, een misvatting maakt en een datalek niet meldt’, sluit De Jong af.