Elke dag zeker twee meldingen van datalekken

Het Belgische groeibedrijf Datacamp werd vorig jaar slachtoffer van een datalek. ©Wim Kempenaers (WKB)

Vorig jaar zijn 861 meldingen van een datalek binnengelopen bij de waakhond GBA. Dat is een verdubbeling, maar mogelijk nog maar het topje van de ijsberg. Veel meldingen krijgen nu geen opvolging.

Is uw bedrijfslaptop gestolen op de trein? Stond een klantendatabase onbeveiligd op het web? Of legt een cyberaanval de IT-systemen van uw bedrijf plat? Sinds 25 mei 2018 moeten bedrijven daar meer attent op zijn. Die dag werd de GDPR, de Europese richtlijn inzake databescherming, van kracht. Die eist dat bedrijven bij een datalek binnen 72 uur nadat ze het lek hebben opgemerkt dat melden aan de bevoegde autoriteit. In ons land is dat de Gegevensbeschermingsautoriteit (GBA). 

2019 was het eerste volledige jaar waarin de meldingsplicht gold. Over het hele jaar liepen 861 meldingen binnen, bijna een verdubbeling van de 445 meldingen in 2018. Helemaal onlogisch is die stijging niet, bedrijven moesten pas vanaf midden 2018 datalekken melden. Maar de ondernemingen zijn onmiskenbaar gevoeliger voor het thema, geeft David Stevens, de voorzitter van de datawaakhond GBA aan. ‘Het bewustzijn groeit.’ 

Het aantal meldingen blijft wel bescheiden tegenover de buurlanden. In Nederland liepen in 2018 meer dan 20.000 meldingen binnen. Daar bestaat bij bedrijven al langer een cultuur om samen met de autoriteiten in te schatten of het verlies van gegevens al dan niet ernstig is. ‘In Nederland gold de plicht al voor de inwerkingtreding van de Europese datarichtlijnen’, stelt Filip Van Elsen, jurist en hoofd van het IT-departement van het advocatenkantoor Allen & Overy. ‘Het land heeft zelfs algoritmen om cases te screenen.’

861
Meldingen
In 2019 lag het aantal meldingen op 861, bijna het dubbele van het jaar voordien.

De 861 Belgische meldingen zijn vermoedelijk maar het topje van de ijsberg. Het nieuwe directiecomité van de GBA schoot ook pas in april vorig jaar uit de startblokken, na een communautair probleem. ‘De tijd van sit back and relax is voorbij’, zei Stevens toen. De eerste ‘GDPR-boete’ viel in juni, en in het najaar had de datawaakhond zijn strategisch plan klaar. ‘De toezichthouder was vorig jaar nog in gedaanteverandering, van het schrijven van adviezen naar het uitvoeren van controles en het uitdelen van boetes’, stelt Van Elsen. 

Als bedrijven een melding doen, is het met die controles of boetes in het achterhoofd. ‘Er is de vrees voor de boete als je niet aanmeldt. Bedrijven nemen het zekere voor het onzekere’, zegt Van Elsen. Die boete bedraagt maximaal 4 procent van de wereldwijde omzet. Toch is het voor bedrijven niet altijd evident om een datalek te melden, stellen experts.

Binnen een tijdspanne van 72 uur is het voor een IT-departement niet altijd duidelijk of de gegevens van betrokkenen effectief gevaar lopen, stelt Matthias Vierstraete, advocaat bij Deloitte Legal en expert in de materie. Te meer omdat bedrijven almaar vaker werken met dataverwerkers in opdracht of door een chaotische cyberaanval gaan. 

Wanneer melden?

Het is niet altijd nodig een datalek te melden. Dat moet alleen als er een 'risico' is voor de rechten van de betrokkene (klanten, werknemers, etc.). Het is vooral essentieel in te schatten of de gelekte data zichtbaar zijn voor derden. Zijn gegevens voldoende beveiligd of gaat het om niet bijster gevoelige of zelfs publiek beschikbare informatie, dan is een melding helemaal niet nodig. Melden gebeurt via een webformulier bij de GBA, waarin je kort de aard van het probleem beschrijft, de soort getroffen gegevens en de genomen maatregelen. 

De vrees voor de boete lijkt nog niet terecht. Meerdere bronnen in de sector geven aan dat bij een melding, behalve een automatische bevestiging zelden opvolging komt. De reden daarvoor is tweeledig, stelt Stevens. ‘Het is een bewuste keuze. We willen niet dat bedrijven die braaf incidenten melden meer kans lopen op een sanctie.’ Voor de GBA zijn de binnenlopende meldingen ook een hulpmiddel waarmee ze met aanbevelingen de praktijken bij bedrijven kan bijspijkeren. Maar er is ook te weinig mankracht, erkent hij. 

Advertentie
Advertentie
Advertentie

Gesponsorde inhoud

Gesponsorde inhoud