Wet- en regelgeving die bedrijven verplicht om datalekken te melden, schiet het doel voorbij. Bedrijven houden incidenten vaak onder de pet uit angst voor imagoschade. Zeker wanneer ze verplicht zijn om ze te melden, denken ze wel twee keer na. Dat stelt rechtenstudent Bernold Nieuwesteeg in zijn masterscriptie over internet en recht.
Bernold Nieuwesteeg schrijft dat een meldplicht het doel voorbij schiet doordat bedrijven uit angst voor imagoschade de incidenten niet melden. De plicht leidt zo nauwelijks tot betere beveiliging van de gegevens van burgers en schiet zijn doel voorbij.
Nieuwesteeg onderzocht het resultaat van wetgeving door het aantal meldingen te vergelijken van voor en na invoering van een meldplicht in Amerika. ‘Het aantal meldingen nam iets toe, maar het effect was minimaal: over de onderzochte periode van acht jaar deed slechts 0,05 procent van de bedrijven in Amerika een melding, terwijl uit Brits onderzoek al bekend is dat ruim 80 procent van ondervraagde veiligheidsmanagers met een datalek te maken krijgt.’
Nieuwesteeg: ‘Relatief groeit het aantal meldingen nauwelijks na de invoering van een meldplicht. Ondanks de wettelijke plicht lijken bedrijven ervoor te kiezen datalekken niet te melden, bijvoorbeeld vanwege imagoschade die de melding kan opleveren. In Europa zou door overlappende regelgeving bovendien de situatie kunnen ontstaan dat bedrijven soms dubbel moeten notificeren, zowel aan de Europese als aan de nationale autoriteiten.’
XS4All
Een meldplicht heeft ook positieve effecten. Een notificatieplicht lijkt bij te dragen aan de bereidheid van bedrijven om te investeren in beveiliging en samen te werken op het gebied van security. Het zou bovendien kennis en het bewustzijn van consumenten over datalekken kunnen vergroten, concludeert de student van de Universiteit Utrecht en TU Delft.
Nieuwesteeg benadrukt dat ook in situaties waarbij er geen meldingsplicht is, incidenten toch vaak in de openbaarheid komen. Bijvoorbeeld door meldingen op blogs en in de media. Het voordeel van een centrale database is dat alle incidenten op een centrale plek gemeld worden en niet versplinterd raken over verschillende blogs en nieuwsites. Hij ziet hogere geldboetes als een mogelijkheid om de druk op te voeren op bedrijven die incidenten willen verzwijgen.
Nieuwesteeg won voor zijn scriptie de Internet Scriptieprijs. Die wordt jaarlijks uitgereikt door XS4All en Brinkhof Advocaten. De jury: ‘Het onderwerp dat Nieuwesteeg koos voor zijn onderzoek is hoogst actueel: zowel in Den Haag als in Brussel wordt gewerkt aan een meldplicht voor datalekken. De beoordelaars roemen zijn empirische aanpak: ‘Hij heeft de effecten van wetgeving daadwerkelijk gemeten. Daarnaast wist hij in zijn scriptie een uitermate complex en taai onderwerp helder en goed leesbaar te beschrijven zodat het belang van het onderwerp ook voor niet-ingewijden duidelijk wordt.’
Reputatie komt te voet en gaat te paard. Telkens komen er bij mij bij dit soort artikelen twee voorbeelden naar voren. Uiteraard de hacker vs de KPN van enkele jaren geleden en de enorme wanprestatie die men bij de KPN naar buiten toe ten toon stelde.
Het tweede is nog tenenkrommender. Een Donner die amechtig plechtig het goevolk kwam vertellen dat ‘hij maatregelen genomen had’ in de Diginotar affaire, en verder zwaar gesoufleerd werd in zijn ‘oortje’ om ook maar enige vragen aan de toegestroomde journalisten te beantwoorden. Die journalisten hadden ook geen enkele kaas van IT gegeten overduidelijk en verzanden in een vrij ‘stupide babbeldansje.
Tot op heden is er geen enkele ‘journalist’ geweest die zich heeft afgevraagd hoe het kan dat een miljoenen omzettend bedrijf zo snel failliet kan gaan en niemand vraagt zich af waar die circa, naar schatting €260M tot € 330M, naar verluid, toch allemaal naar toe zijn gegaan.
Niemand heeft ook maar enige verantwoording in dergelijke zaak afgelegd.
Kort en goed, je zou compleet Knettergek zijn de buitenwereld te laten weten dat je bepaalde basale processen niet eens op orde had, iets wat redelijkerwijs eenvoudig aantoonbaar is. Je laat liever je toko uitfikken dan dat.
Erg saillant detail hier in dit artikel, ik hoor niemand bij overheid of justitie iets roepen dat die ‘verduvelde bedrijven’ actief zulen worden vervolgd omdat zij datalekken niet hebben gemeld. Dat addergebroed, dat rapaille. Dat een studen dit voor zijn scriptie boven tafel weet te krijgen en ambtenaren en overheid klaarblijkelijk niet is wat dit betreft alleszeggend.
Goeie scriptie Bernold. Een beetje dikke kost op punten maar zeker de prijs waard. Gefeliciteerd.
Lijkt mij duidelijk een geval dat je met wetgeving niet zo maar gewenst gedrag kan afdwingen als je daar echt niet op zit te wachten.
Dat je als bedrijf je fouten niet openbaar maakt is enigszins logisch. Maar in dit geval moet je als bedrijf ook de afweging maken dat je klanten er toch wel achter komen en je dat dus voor moet zijn om de reputatieschade nog niet groter te laten worden.
Wat deze meldplicht wel mogelijk maakt is dat mensen binnen het bedrijf makkelijker druk op de organisatie kunnen zetten om ze aan hun meldplicht te herinneren en in extreme gevallen zelf maar de klok te gaan luiden.
En wat het aantal digibeten in het Nederlandse management betreft kan ik je verzekeren dat de professionals van de werkvloer dit al jaren met lede ogen aanzien (overheid zoals bedrijfsleven) en wat dat betreft het gestuntel helemaal beu is. Wat dat betreft wil ik mijn collega’s en lotgenoten oproepen om op dit punt wat scherper te worden want het is hard nodig. Mocht je daarom worden ontslagen heb je nog steeds de eer aan jezelf en die nieuwe baan komt toch wel weer want er is nog steeds gebrek aan vaklieden.
De nieuwe wet meldplicht datalekken wordt straks gehandhaafd middels torenhoge boetes. Je haalt het risico op boetes niet weg als je een datalek niet aanmeldt.Een incident kan ook op andere manieren bij het CBP bekend worden. (Door de hacker? Door betrokkenen van privacy-schending? Door de pers?). Dan val je bij controle door het CBP alsnog door de mand met alle gevolgen van dien. Hetzelfde geldt straks voor de nieuwe EPV (Europese Privacy Verordening). Deze schrijft voor dat je PIA’s (Privacy Impact Assessments) moet laten uitvoeren. Boetes bij non-compliance zijn 5% van de wereldwijde jaaromzet. Dit betekent dat bedrijven straks problemen gaan krijgen bij de goedkeuring van hun jaarrekening als er geen PIA rapport is. Op de website van de NBA (Nederlandse Beroepsorganisatie van Accountants) staat een filmpje waarin dit alles nog eens haarfijn wordt uitgelegd. Tijdens de afgelopen NBA jaarvergadering van eind 2013 was dit een belangrijk onderwerp. Security is hierdoor op de agenda gekomen van de raad van bestuur. het gaat over “good governance” en niet meer over techniek. In plaats van discussies over hoe efficiënt de nieuwe wetgeving wel- of niet is lijkt het me verstandiger dat bedrijven nu eens beginnen met het goed inrichten van hun privacy- en security beleid. De cijfers en de feiten liegen niet. Begin eens met een inventarisatie. Veel bedrijven hebben geen idee welke informatie ze hebben, waar die informatie staat, in welke bestanden, wie er toegang hebben etc. etc. etc. Veel (helaas niet alle) cybercrime kan voorkomen worden door beter (security awareness) beleid en goede naleving.
@Rob Koch
Goede reactie. Wellicht dat de betekenis van “Good governance” verschuift van : het voorkomen van persoonlijk aansprakelijkheid van de CEO door het instellen van wat kosmetische compliance maatregelen naar : het actief dichten van kwetsbaarheden in de ICt infrastructuur middels een goed doordachte policy.
@Rob Koch. Mooie reactie.
Het melden van datalekken betreft een groot belang voor de samenleving vanwege de mogelijke maatschappelijke ontwrichting. Zeker bij organisaties binnen vitale sectoren, is handhaving dus niet meer dan logisch. Bij incidenten is het Nationaal Cyber Security Centrum (NCSC) altijd beschikbaar om advies te geven. https://www.ncsc.nl/actueel/nieuwsberichten/opstelten-versterkt-aanpak-bij-digitale-veiligheidsincidenten.html
Naar aanleiding van uitgeloofde beloning van BSA om gebruik van illegale software te melden heb ik 3 jaar geleden een opinie geschreven welke grote gelijkenis heeft met een aantal reacties die hier gegeven worden. Zoals KJ al zegt ga je dit niet oplossen met cosmetische oplossingen en in tussenliggende jaren heb ik meermaals de term ‘good governance’ voorbij horen komen maar weinig zien veranderen. Opmerking van Rob over inventarisatie is goed gezegd maar geeft precies aan waar de schoen knelt want hoewel ik me in die opinie beperkte tot de techniek zijn veel uitdagingen nog hetzelfde:
1. Gebrek aan kennis; mensen doen dingen waar ze net zoveel kaas van hebben gegeten als ik spruitjes.
2. Kennis is niet toegankelijk; benodigde informatie ligt besloten in systemen, mensen en organisatie.
3. Kennis wordt genegeerd; ICT wordt nog steeds gezien als een kostenpost en beveiliging kost geld.
Dichten van kwetsbaarheden waarover KJ spreekt klinkt makkelijker dan het is want het zijn de koppelvlakken die kwetsbaar zijn. Virtualisatie heeft dit niet echt makkelijker gemaakt en patching & hardening wordt dan ook vaak achterwege gelaten omdat de applicatieketens dan niet meer werken, DigiNotar was echt niet de enige die achter liep in dit onderhoud. Ook leuke zijn organisaties waar gebruikers alleen maar meer rechten krijgen, aansluiting van bijvoorbeeld een AD op HR systeem ontbreekt meestal waardoor rechten en rollen compleet uit de pas lopen. Jérôme Kerviel van Société Générale wist hier handig gebruik van te maken maar en er zijn meer voorbeelden van interne ‘hackers’ die schadelijk zijn geweest. Rob zegt dat cijfers en feiten niet liegen, jammer alleen dat ze niet altijd op de bestuurstafel komen want beveiliging komt nu misschien wel op de agenda maar meestal pas als laatste punt. Opmerking van Chris is leuk maar als waarschuwingen van NCSC (of buitenlandse counterparts) genegeerd worden worden we telkens verrast met bekentenissen als lekken niet meer onder pet te houden zijn, imagoschade weegt namelijk inderdaad zwaarder dan een wettelijke verplichting. Opstelten valt trouwens net als Donner onder categorie 1 en beiden ruiken ook nog eens sterk naar spruitjes.