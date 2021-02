Vorig jaar waren voor het eerst sinds de komst van een meldingsplicht meer dan 1.000 meldingen van een datalek bij bedrijven. 'Het massale thuiswerken speelt zijn rol', zeggen experts.

Bedrijven zijn sinds mei 2018 verplicht een datalek aan de waakhond te melden binnen 72 uur nadat ze het hebben ontdekt. Dat vragen de Europese databeschermingsregels, die toen van kracht werden. Volgens cijfers van de Gegevensbeschermingsautoriteit (GBA), die in ons land de gevallen turft, waren er vorig jaar al zeker 1.060 meldingen. Dat is een stijging van 21 procent tegenover het jaar voordien, toen er 869 meldingen waren. Het cijfer kan bovendien nog licht oplopen. In 2018 ging het om 445 meldingen.

De Belgische bedrijven schoten na de komst van de Europese regels traag uit de startblokken met het melden van datalekken. In Nederland waren er in 2019 al 27.000 meldingen van een datalek. Toch ziet de GBA langzaamaan beterschap. 'Er zijn twee verklaringen voor het hogere aantal meldingen. 2020 is het eerste volledige jaar waarin de GBA over een directiecomité beschikte', aldus voorzitter David Stevens. Dat trad pas in april 2019 aan, nadat een taalprobleem uit de weg was geruimd. 'Tegelijk hebben we het meldingsformulier enkele maanden geleden vereenvoudigd.'

Thuiswerken

Toch zien experts ook andere factoren voor de stijging. 'Het massale thuiswerken door de pandemie speelt zeker zijn rol', stelt Filip Van Elsen, een specialist in de materie bij het advocatenkantoor Allen & Overy. 'Er is een grotere kwetsbaarheid als mensen met hun eigen toestellen of vanop het eigen netwerk bedrijfsapplicaties gebruiken.' Dat wordt bevestigd door Matthias Vierstraete, een expert bij Deloitte Legal. 'Er zijn nog altijd bedrijven waar je zonder dubbele beveiliging van thuis uit op de bedrijfsnetwerken kan.'

Daar komt nog eens de 'professionalisering' van de hackers bovenop. 'Cyberaanvallen zijn een industrie op zich geworden. De vraag voor een bedrijf is eigenlijk niet langer of je ermee geconfronteerd zult worden, maar wel wanneer', zegt Van Elsen. Vierstraete noemt het onderwijs, de gezondheidszorg, IT-bedrijven, de industrie en de chemie als sectoren die vaak onder vuur liggen. 'In het onderwijs of bij IT-bedrijven proberen hackers grote volumes persoonsgegevens buit te maken. Bij de industrie en de chemie leggen ze bedrijven eerder lam met gijzelsoftware in ruil voor geld.'

Cloud

Voor een bedrijf is het niet altijd gemakkelijk een datalek te melden. Een datalek moet niet altijd gelinkt zijn aan een cyberaanval. Het kan bijvoorbeeld ook als een medewerker een laptop op de trein vergeet. Tegelijk maakt de opmars van cloud-toepassingen op de servers van een derde partij het melden van een lek niet altijd gemakkelijker. 'Bij systemen in de cloud kan je vaak maar voor een beperkte periode terugkijken welke acties gebeurd zijn. Bedrijven stellen bij vermoedens van een datalek soms vast dat ze niet genoeg weten', stipt Vierstraete aan.

Daartegenover staat dat er steeds minder schroom is om bij een datalek naar buiten te treden, vindt Van Elsen, en dat niet alleen naar de bevoegde waakhond, maar ook naar het brede publiek. Geruchtmakende gevallen van gijzelsoftware die bedrijven platlegden, zoals bij de West-Vlaamse weefmachineproducent Picanol, hebben de ogen geopend. 'Voor bedrijven is het eigenlijk ook een vorm van reputatiemanagement geworden. Ze tonen ermee: we care', besluit Van Elsen.