Meldpunt datalekken geeft schijnzekerheid

Cybercriminaliteit is ernstig en de aanpak vergt veel meer dan een meldpunt, betogen Monique van Dijken-Eeuwijk en André Mikkers.

De noodzaak van het dichten van datalekken en het vergroten van de gegevensbescherming groeit. Het aantal gemelde affaires, waarbij meest persoonsgebonden, en daardoor waardevolle digitale gegevens door cybercriminelen worden gestolen, gekopieerd, vernietigd of gemanipuleerd, neemt immers explosief toe. De wetgever is zich hiervan bewust en werkt aan oplossingen.

In Brussel stemde het Europees Parlement begin dit jaar in met het concept van een nieuwe Dataprotectie Verordening. Ook in Nederland is men druk doende. Nadat in 2009 'aanbieders van elektronische diensten' (zoals telecombedrijven) al werden verplicht om datalekken te rapporteren, ligt thans een wetsvoorstel voor om deze verplichting uit te breiden naar alle bedrijven en instellingen die persoonsgegevens verwerken.

Geen expertise

Maar het invoeren van een meldplicht alleen is niet genoeg om de gegevensbescherming te vergroten. Een dergelijke maatregel heeft alleen zin als bedrijven en instellingen ook weten dat ze digitaal gecompromitteerd zijn, en de overgrote meerderheid heeft niet de digitale kennis en expertise in huis om digitale inbraken te herkennen, laat staan om ze op te sporen en te rapporteren.

Er zijn genoeg feiten en aanwijzingen om deze stelling te onderbouwen. Onderzoek laat zien dat het gemiddeld 229 dagen duurt voordat een digitale inbraak wordt geconstateerd. Maar de meeste incidenten worden nooit opgemerkt. Als onvoldoende ervaring en expertise met cybercrime voorhanden is, is de kans op ontdekking minimaal. En twee derde van de organisaties heeft naar eigen zeggen niet voldoende knowhow in huis.

Opvallend gegeven: het expertisegebrek is het grootst in sectoren waarin met zeer privacygevoelige data wordt gewerkt en de maatschappelijke en economische schade door integriteitsinbreuken het hardst aankomt. Zoals in de zorg, het onderwijs en bij de overheid.

Is het invoeren van een meldplicht daarom een slecht idee? Nee, het is een goede prikkel om de bescherming van (persoons)gegevens op orde te krijgen. Maar de meldplicht mag niet op zichzelf staan. Zonder aanvullende maatregelen om de digitale weerbaarheid van organisaties (en individuen) te helpen vergroten, is het gedoemd om een incidentenmaatstaf te worden. Zelfs kan het contraproductief blijken te werken; (te) laat geconstateerde datalekken zullen misschien niet meer worden gemeld uit angst voor sancties.

Opleidingen

Daarom moeten tegelijkertijd nationale initiatieven worden ontwikkeld om de kennis over datalekken binnen organisaties te vergroten en om de opsporings- en vervolgingscapaciteit (en kwaliteit) van het Openbaar Ministerie en de toezichthouders te verbeteren.

Investeer daarnaast in de opleiding van meer digi-experts en stel incentives (prikkels) in het vooruitzicht om deze met voorrang te plaatsen in sectoren waar de digitale verdediging het zwakst is.

Ontwikkel standaardnormen voor de anti-cybercrimevoorzieningen en controleprocessen waaraan organisaties minimaal moeten voldoen, en denk na over de invoering van een verantwoordingsplicht voor organisaties met een publiekelijk belang.

Pas als de cyber security-infrastructuur op orde is, hebben we het volle profijt van een meldplicht.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden