Het eerste jaar met de meldplicht datalekken

Het eerste jaar met de meldplicht datalekken

Begin dit jaar werd de Wet Bescherming Persoonsgegevens uitgebreid. Bedrijven die verantwoordelijk zijn voor een datalek van persoonsgegevens, riskeren een boete die kan oplopen tot 10 procent van de jaaromzet. Met deze aanpassing van de WBP, waarbij de – inmiddels – Autoriteit Persoonsgegevens meer boetebevoegdheden heeft gekregen, is nu bijna een jaar actief. Wat levert het op?

Bedrijven en instellingen hebben sinds dit jaar de plicht om een datalek te melden. Doen ze dat niet binnen 72 uur, dan riskeren ze een hoge boete. Tot begin deze maand werden er 4.700 meldingen gedaan. Ruim 300 daarvan waren afkomstig van ziekenhuizen.

Het idee achter de boete is dat bedrijven voorzichtiger met hun data en persoonsgegevens omgaan. Maar tot nu toe heeft geen van de meldingen geleid tot een boete, al geeft de autoriteit aan dat dit er wel aan zit te komen. Toch merken we dat de aanpassing in de wet haar doel niet mist, echter nog onvoldoende bij de eindgebruikers. Steeds meer instellingen zoals accountants, verzekeraars, juristen en brancheverenigingen zien de noodzaak van beveiligen in voor hun achterban. Een veilig Nederland maakt ons allen sterker en juist met een veilig Nederland hebben we een exportproduct in handen dat simpelweg geld, arbeid en status gaat opleveren.

Toch wil ik ook een kritische noot plaatsen; eindgebruikers denken veelal nog steeds dat het allemaal wel losloopt. Als je hen vraagt hoeveel risico zij lopen op een datalek, schatten ze dat laag in. Vraag je hen naar het risico van de buurman, dan is dat ineens veel hoger.

Verplichten

Wordt het niet eens tijd dat bedrijven verplicht wordt om hun persoonsgegevens goed te beveiligen? Dat bijvoorbeeld bij de jaarrekening een hoofdstuk over beveiliging moet. Lever je dat niet goed in, dan wordt de jaarrekening niet goedgekeurd. Of dat de verzekeraar een verplichting neerlegt om tot een beter inzicht te komen rond beveiliging van data. In de fysieke wereld is dat allang gemeengoed; waarom kan en mag elk bedrijf in de digitale wereld omgaan met (persoons-)gegevens zonder dat daar ook maar enige controle op uitgevoerd wordt? Ook de overheid zou een rol kunnen spelen, maar de vraag is daarbij wel hoe je dat gaat handhaven. Hoe dan ook, in mijn optiek moeten eindgebruikers nog veel bewuster worden en er mag vanuit stakeholders rond de bedrijven meer ‘druk’ uitgeoefend worden om werkelijk tot betere beveiliging te komen. Nu is nog steeds meer dan 75% van de netwerken en websites onvoldoende beveiligd en wij maken ons graag hard om dat gewoon te gaan verbeteren!

Kortom, de aanpassing van de Wet Bescherming Persoonsgegevens is, denken wij, een goede eerste stap om bedrijven en instellingen bewuster te maken van de risico’s die zij kunnen lopen. De periferie pakt het nu op en in 2017 moeten eindgebruikers echt aan de slag. Er is nog een hele wereld te winnen; laten we daar in 2017 vooral mee doorgaan!

 
 
Deel dit artikel