Steeds meer bedrijven in de EU zien de noodzaak van een degelijk beleid omtrent cybersecurity. De realiteit dwingt hen daar dan ook toe, aangezien steeds meer bedrijven geconfronteerd worden met cybercrime. In Nederland is sinds 1 januari 2016 de Meldplicht voor Datalekken van kracht. Het is daarmee het eerste Europese land met dit type wetgeving. In België daarentegen heerst er vooral veel verwarring inzake een dergelijke meldplicht. Hoewel voorlopig enkel Belgische telecombedrijven verplicht zijn om datalekken bij de autoriteiten te melden, denkt de helft van alle bedrijven dat ook zij daartoe verplicht zijn. Dit blijkt uit een onderzoek van vakorganisatie BELTUG, maar weet niemand wat er moet gebeuren.
Er moet echter duidelijkheid en eenheid in het Belgische beleid geschapen worden. Nederland kan hier perfect als voorbeeld dienen. Daar is er een centrale overheidsdienst bij wie door iedereen datalekken gerapporteerd moeten worden. Ook is het er heel goed geregeld wat er precies moet worden aangegeven.
Datalekken worden niet alleen door cybercriminelen veroorzaakt
Het begrip “datalek” is natuurlijk erg ruim. Men spreekt van een datalek als er toegang tot of vernietiging, wijziging of vrijkomen van persoonlijke gegevens bij een organisatie heeft plaatsgevonden, zonder dat dit de bedoeling van deze organisatie was. Kortweg: als er sprake is van een inbreuk op de beveiliging van personengegevens.
Toch moet men niet altijd direct denken aan cybercriminelen. Men denkt meteen aan gerichte cyberaanvallen door hackers, die als doel hebben om persoonlijke gegevens buit te maken om er op allerlei manieren misbruik van te maken of spionage waarbij persoonlijkge gegevens ook het doelwit kunnen zijn van statelijke actoren, maar bv. een usb-stick of documenten waarop gegevens staan die op de trein zijn vergeten, of de diefstal van een laptop tellen evengoed als datalek.
Nederland als voorbeeld
Wanneer er in Nederland met de invoering van deze nieuwe wetgeving het vermoeden is van een datalek moet dit gemeld worden bij een officiële instantie, in Nederland de Autoriteit Persoonsgegevens (AP) in twee gevallen: als dit leidt tot ernstige nadelige gevolgen voor de bescherming van personengegevens, of als er een aanzienlijke kans bestaat dat dit het geval is. Als een organisatie nalaat dit te doen, kan de AP een bestuurlijke boete opleggen van maximaal 820.000 euro.
Het is echter zo dat als de gegevens van de betrokkenen voldoende beveiligd waren door bv. encryptie of hashing, het datalek enkel gemeld moet worden aan de AP. Een nuttige wet, want zo’n wet brengt talloze voordelen met zich mee. Nederland was de eerste in Europa waar een dergelijke wetgeving tot stand kwam, maar nu merken we dat veel andere EU-landen wel het voorbeeld beginnen te volgen.
Concrete wetgeving helpt bedrijven cybersecurity verder optimaliseren
En die voordelen zijn inderdaad niet gering. Een correcte wetgeving zorgt ervoor dat verkeerde incentives rechtgetrokken worden. Vroeger hadden bedrijven zelf niets te verliezen bij een datalek indien deze niet openbaar werd gemaakt. De gevolgen waren immers voor de personen die de gegevens kwijt waren. Bijkomend is dat veel bedrijven cybersecurity voor de wetgeving eerder op korte termijn als een extra kost bekeken terwijl men nu steeds meer een langetermijnvisie begint te ontwikkelen en de voordelen ziet. Hierbij helpt de huidige wetgeving wel aangezien veel bedrijven nu een datalek willen vermijden vanwege het grote risico op negatieve publiciteit in de media. Dit zorgt vandaag tot een ‘call to action’ om de cybersecurity verder op punt te zetten en ook een belangrijk punt op de agenda begint te worden in de C-Suite.
Daarnaast zorgt de optimalisering van cybersecurity in een bedrijf ook voor het veilig stellen van de financiële gezondheid van het bedrijf. De mogelijkheid bestaat dat aandeelhouders van een bedrijf dat een datalek gehad heeft en hier niet goed mee omgegaan is in het vervolg ook twee keer nadenken om verder te investeren in dit bedrijf. Zo zullen ook toekomstige investeerders twijfelen. De Meldplicht Datalekken zorgt dus ook voor meer zekerheid bij de aandeelhouders.
Verder zullen de betrokkenen ook sneller op de hoogte gebracht worden. Hierdoor kunnen zij sneller ingrijpen. Op die manier kunnen wachtwoorden of login-gegevens tijdig veranderd worden, vooraleer er schade berokkend wordt. Deze wet scherpt ook het vertrouwen van de consument in online services aan. Organisaties worden immers gedwongen om de volgende stap te nemen in hun cybersecurity.
Beter voorkomen dan genezen bespaart bedrijven geld en tijd
Het bekende adagium ‘beter voorkomen dan genezen’ is hier ook zeker van toepassing. Het is immers erg duur en tijdrovend om na te gaan wat precies gelekt is. Goed voorbereid zijn is cruciaal aangezien dit een bedrijf zeer vaak tijd en geld uitspaart.
Omdat die gegevens vaak niet verwijderd, maar gekopieerd of ingekeken zijn, is diepgaand forensisch onderzoek nodig om uit te zoeken wat precies gelekt is en wat niet. En dat kost geld. Maar als er daadwerkelijk sprake is van een datalek, moet de getroffen organisatie aantonen dat er snel gereageerd is op incidenten en dat de kans op én de impact van een lek zo klein mogelijk is. Wie adequaat antwoord kan geven op dergelijke procesvragen, zal de toezichthouder ongetwijfeld gunstig stemmen. Want niemand, ook de toezichthouder niet, zal ontkennen dat een lek mogelijk is.
Erik De Jong, Chief Research Officer bij Fox-IT
