Bedrijven melden sinds GDPR fors meer datalekken

Bij Orange Belgium ging het mis. ©AFP

De nieuwe Europese regels voor databescherming (GDPR) missen hun effect niet. In amper een maand tijd waren er dubbel zoveel meldingen van datalekken als in heel 2017.

Exact een maand geleden traden in de hele Europese Unie nieuwe regels in voege die persoonsgegevens digitaal beter moeten beschermen. Een van de maatregelen is de meldingsplicht bij datalekken. Als de gegevens van klanten of werknemers in gevaar komen, moet een bedrijf dat binnen 72 uur melden, zowel aan de betrokkenen als aan de nieuwe gegevensbeschermingsautoriteit (GBA).

Bedrijven konden voor 25 mei datalekken al spontaan melden aan de voormalige Privacycommissie. Enkel in de telecomsector gold een verplichting. De Privacycommissie beval in 2013 de melding van datalekken wel aan, maar dat maakte weinig indruk. In 2015 behandelde de Privacycommissie 13 dossiers, waarvan 2 verplicht. In 2016 en 2017 ging het telkens om 23 dossiers.

25 mei veroorzaakte een kentering, bevestigt Willem Debeuckelaere. Als uittredend voorzitter neemt hij voorlopig nog de honneurs waar bij de Privacycommissie. ‘Sinds 25 mei komen er dagelijks gemiddeld twee à drie meldingen van een datalek binnen’, stelt hij. In totaal gaat het om 55 dossiers, ruim het dubbele van heel 2017.

Niet per se hacking

Niet elk datalek is even ernstig. Er is ook al sprake van een datalek als iemand die daar geen toestemming voor heeft, uw gegevens te zien krijgt. Als een bedrijf uw data per ongeluk naar een andere persoon verstuurt, is er al sprake van een datalek. Het hoeft dus niet per se om hacking of andere kwaadaardige acties te gaan.

Sinds 25 mei komen er dagelijks gemiddeld twee à drie meldingen van een datalek binnen.
Willem debeuckelaere
voorzitter gBA

Het gros van de dossiers is onschuldig, bevestigt Debeuckelaere. ‘Het gaat meestal om het verlies van een fysieke drager van data, zoals bijvoorbeeld een laptop door een werknemer.’ Ook het fout versturen van bepaalde data komt vaak voor.

Het ernstigste incident tot nu toe deed zich voor bij de telecomoperator Orange Belgium. Bij een inbraak in een testserver gingen onbevoegden mogelijk met een beperkt aantal gegevens van 15.000 klanten aan de haal. Het bedrijf reageerde correct, vindt Debeuckelaere. ‘Ik heb het idee dat het incident accuraat, binnen het juiste tijdskader werd afgehandeld.’ Al is het mogelijk dat de volledige impact pas over enkele jaren duidelijk is.

Nederland

Voor veel bedrijven is het nog zoeken naar het juiste evenwicht. Welke incidenten moeten worden gemeld en welke niet? Waarnemers onderstrepen dat de verplichting om een datalek te melden niet altijd geldt. Bedrijven moeten ook het risico op schade inschatten. Als de gegevens goed versleuteld zijn, is het risico op inbreuken kleiner.

Toch lijkt het aantal meldingen in de toekomst alleen nog te zullen toenemen. De groeiende digitale voetafdruk van bedrijven vergroot de kans op datalekken. ‘Online is een bedrijf als een wolkenkrabber die elke negen maanden in omvang verdubbelt’, stelt Stijn Vande Casteele, de CEO van het Belgische cybersecuritybedrijf Sweepatic. Daardoor komen er steeds meer ramen bij waarlangs informatie kan lekken. ‘En 73 procent van alle info is gevoelige info.’

Nederland staat een stap verder dan België. Daar bestaat al langer meldingsplicht. In 2017 waren er 10.009 meldingen van datalekken. Ook daar staat het fout versturen van gegevens (47 procent) bovenaan in de lijst met oorzaken voor datalekken. Op de tweede plaats volgt de diefstal of het verlies van een laptop of ander apparaat met data op. 42 procent van de datalekken heeft daar slechts betrekking op één persoon.

Lees verder

Advertentie
Advertentie

Gesponsorde inhoud

Partner content