Cybercriminaliteit ontmoedigen; dat is een van de belangrijkste doelstellingen achter de meldplicht datalekken die recent unaniem door de Eerste Kamer is aangenomen. De wet heeft grote gevolgen voor bedrijven en (keten)partners die werken met persoonsgegevens.
Met de meldplicht datalekken heeft de overheid een belangrijke stap genomen om bedrijven ertoe te zetten privacygevoelige gegevens beter te beschermen. De wet verplicht bedrijven melding te maken als deze door middel van datalekken in verkeerde handen zijn gevallen.
Kop in het zand
‘De kop in het zand steken, kan met de nieuwe wetgeving niet meer’, zegt Henk G. van der Linde, Managing Partner bij Europe Compliance en deskundige op het gebied van gegevensbescherming. ‘Een datalek moet voortaan ‘onverwijld’, oftewel binnen 24 uur, worden gemeld bij het College Bescherming Persoonsgegevens (CPB) en betrokkenen. Doet een bedrijf dit niet dan kan het CBP een boete opleggen van 810.000 euro of (in het geval van nalatigheid) een boete van 10 procent van de omzet.
Maar misschien nog wel de belangrijkste bepaling is volgens Van der Linde de ketenaansprakelijkheid die in de wet is opgenomen. ‘Voor bedrijven geldt niet alleen een meldplicht voor een lek dat binnen de eigen organisatie is ontstaan, de meldplicht geldt ook als het lek is ontstaan bij een bewerker. Bij bewerkers kun je denken aan een Cloud Provider, een Managed Service Provider, partijen als KPN, Ziggo, Eurofiber, maar ook de leverancier van een firewall of softwareproducent.’
Beter organiseren
Van der Linde verzorgt in samenwerking met First Lawyers en Duthler Associates scholing op het gebied van gegevensbescherming. Ook is Van der Linde in gesprek met partijen als Securitas. Hij vindt het belangrijk dat bedrijven zich realiseren dat de risico’s toenemen. ‘Bedrijven riskeren hoge boetes en vervolgschade als ze niet zijn voorbereid op een datalek. Binnen ketens en netwerken moeten daarom deugdelijke contracten worden opgesteld die de risico’s beheersen en organisaties weerbaar maken. Dit kan een juridisch gevecht voorkomen tussen de verantwoordelijke en een eventueel nalatige bewerker. Volgens het Ponemon onderzoeksrapport bedraagt de gemiddelde schade voor de afwikkeling van een datalek in 2014 maar liefst 3,8 miljoen dollar.’
Gijzeling en chantage
Strenge wetgeving, transparantie en hoge boetes zijn volgens Van der Linde de enige manier om cybercriminaliteit te ontmoedigen. De schade bedraagt wereldwijd tussen de 400 en 550 miljard dollar, het gaat om enorme bedragen, bijna de Nederlandse begroting. Cybercriminelen scannen kwetsbaarheden in websites en zoeken voortdurend naar beveiligingslekken. Een cybercrimineel oppakken is heel moeilijk. ’
‘Datalekken kunnen slachtoffers veel schade berokkenen,’ vervolgt hij. ‘Persoonsgegevens zijn op de cybercrimemarkt geld waard. Van een paar dollar voor adresgegevens met creditcard of bankrekeningnummer tot en met 70 dollar voor een medisch of werknemersdossier. Recente ontwikkelingen zijn gijzeling en chantage waarbij wordt gedreigd persoonsgegevens te publiceren. Hier gaan bedragen tot wel 30.000 dollar in om. Het is tijd dat Raden van Bestuur uit hun stoel komen’, aldus Van der Linde.