41% van Nederlandse bedrijven houdt zich niet aan wet Meldplicht Datalekken

Vorig jaar werd op 1 januari 2016 de wet Meldplicht Datalekken ingevoerd, in die wet staat dat Nederlandse bedrijven en organisaties verplicht zijn eventuele datalekken of het verlies van data te melden, doen ze dat niet dan riskeren ze een boete. Kaspersky Lab heeft hier onderzoek naar gedaan en in totaal geeft 41 procent van de bedrijven toe geen tijdige melding te maken van dataverlies.

Kaspersky Lab heeft onderzoeksbureau Pb7 Research vorig jaar de opdracht gegeven om onderzoek te doen naar het melden van datalekken, het bureau ging in gesprek met 310 Nederlandse bedrijven en organisaties. Op de vraag of het laatste incident van dataverlies is gemeld aan de Autoriteit Persoonsgegevens geeft een groot gedeelte als antwoord; “Dat weet ik niet”. Daarbij zegt 47% ook niet te weten wanneer ze nu wel of niet een datalek moeten melden, er is dus nog veel onduidelijkheid over de wetgeving binnen bedrijven en organisaties. Waarmee ze al dan niet express de wet overtreden.

Op basis van het onderzoek zouden er bij de Autoriteit Persoonsgegevens zo’n 24.000 meldingen moeten zijn binnengekomen over datalekken, in werkelijkheid ligt dat aandeel een stuk lager, namelijk op 5500. Een deel van de datalekken is niet gemeld door onwetendheid, maar een ander deel is ook bewust niet gemeld.

In middelgrote- en enterprise-organisaties zijn de meeste recente datalekken gemeld, met respectievelijk 41 en 38 procent. Tegelijk betekent dit dus dat een groot gedeelte, respectievelijk 32 en 30 procent niet gemeld is. Als we kijken naar het MKB dan zijn de getallen een stuk minder positief, daar zijn van de laatste datalekken slechts 24 procent gemeld, 54 procent is niet gemeld en 22 procent is onduidelijk. In het MKB lijkt men vooral bang te zijn voor reputatieschade als ze een datalek naar buiten brengen, terwijl de schade veel groter is wanneer dit via een andere weg bekend wordt.

Hierover zegt Martijn van Lom van Kaspersky Lab: “Zwijgen over datalekken is struisvogelpolitiek. Stilte maakt onveilig. Uiteraard heb ik begrip voor organisaties die niet zitten te wachten op rompslomp en reputatieschade. Maar consumenten beschikken op deze manier niet over informatie om te kiezen welk bedrijf zij hun kostbare data en waardevolle klandizie toevertrouwen. Tegelijkertijd ontbeert het politie en Justitie aan informatie om inzicht te krijgen in de omvang van cybercrime en daarnaast om cybercriminelen op te sporen en te vervolgen. Door het niet te melden wordt het alleen maar lastiger om cybercriminaliteit te bestrijden en ontwikkelingen op dit gebied tegen te gaan. Zo blijven we achter de feiten aan lopen. Ook bedrijven hebben sterk de behoefte om van elkaar te leren. Dat kan alleen als we transparant zijn over het verlies van gevoelige informatie”.

Er is dus nog voldoende ruimte voor verbetering, iets waar de overheid of meer nadruk op moet leggen middels een campagne of door harder op te treden. Het is op dit moment nog onduidelijk of de overheid actie gaat ondernemen en hoe dat eruit komt te zien. Het is in elk geval duidelijk dat de wetgeving wat meer aandacht nodig heeft.