Meldplicht datalek kan leiden tot publieke onverschilligheid
Meltdown en Spectre. We hebben het hier niet over twee James Bond-films, maar over twee van de grootste digitale achterdeurtjes in de geschiedenis. Uniek is dat ze ingebakken zitten in bijna elke processor. Vervanging van die chips lijkt de enige echte remedie.
Zowel Intel als Microsoft brachten na het lek een aantal updates uit die het gevaar verminderen. We weten echter van de Wannacry- en Petya-aanvallen afgelopen zomer dat lang niet iedereen die veiligheidsupdates zal installeren. Het is dus te verwachten dat we binnen enkele maanden op grote schaal meldingen van datalekken krijgen.
Problematisch is dat die stortvloed aan meldingen juist de publieke onverschilligheid kan vergroten. Het risico op ‘meldingsmoeheid’ ligt op de loer. De onderliggende oorzaak is een weeffout in het ontwerp van de meldplicht datalekken, die snel moet worden verholpen.
Het is sinds 1 januari 2016 verplicht om gelekte persoonsgegevens te meldenbij de toezichthouder: de autoriteit persoonsgegevens. Dat is in principe een goede zaak, want een melding kan leiden tot verbetering van de cyberveiligheid. En burgers krijgen te weten wat er met hun persoonlijke data is gebeurd.
Op het eerste gezicht lijkt ook de verplichting tot melden logisch: bedrijven hebben zelf weinig belang bij het melden van datalekken. Sterker nog, melden kost hen veel geld.
HANDHAVING LASTIG
Controleren of bedrijven een datalek niet onder het tapijt schuiven, is echter lastig. Want hoe zou de toezichthouder dat dan moeten aanpakken? De databases van elk Nederlands bedrijf controleren? Dit kost meer dan 130 miljoen euro per jaar, blijkt uit onderzoek. Een extreem dure exercitie.
Daarom controleert de Autoriteit Persoonsgegevens alleen die datalekken waarvan ze verneemt in de media. Eind vorig jaar maakte Uber bijvoorbeeld bekend dat de gegevens van 174.000 Nederlanders waren gestolen. Het ging om namen, e-mailadressen en telefoonnummers. Uber probeerde het lek geheim te houden, totdat persbureau Bloomberg de doofpotaffaire onthulde. De Autoriteit Persoonsgegevens stelt nu een onderzoek in.
Een veel gehoorde roep is dat een hoge boete een kleine pakkans kan compenseren. De boete is nu nog maximaal € 820.000, niet echt een bedrag waar een bedrijf als Uber wakker van ligt. En inderdaad, de gebeden werden verhoord: vanaf 25 mei 2018 kunnen bedrijven een maximale boete verwachten van 2 % van de wereldwijde omzet of van 10 miljoen euro, afhankelijk van welke hoger uitvalt.
WERKEN HOGE BOETES AVERECHTS?
Het is juist die torenhoge hoge boete die gaat leiden tot meldingsmoeheid. Normale bedrijven zullen namelijk het zekere voor het onzekere nemen en elke wissewasje gaan melden. Gevolg: we zullen, nog meer dan al het geval is, overspoeld worden door meldingen van datalekken.
De juist belangrijke meldingen dreigen dan onder te sneeuwen. Sterker nog, de astronomisch hoge boetes kunnen er zelfs voor kunnen zorgen dat bedrijven minder gaan investeren in systemen om de datalekken te detecteren, want dan hoeven ze die ook niet te melden.
We zien reeds de eerste tekenen aan de wand. Eind vorig jaar stelde de toezichthouder dat hij maar liefst 7.400 datalekken binnen had gekregen in de eerste drie kwartalen van 2017. Dat is veel. Ter vergelijking, de gezaghebbende website privacyrights.org verzamelde in totaal 7.870 datalekken in de gehele Verenigde Staten. Niet in 2017, maar over de afgelopen twaalf jaar! Zoveel mogelijk meldingen genereren zou niet het doel moeten zijn van de meldplicht. Net zoals het niet werkt om elke week een weeralarm of amberalert te ontvangen.
AP MOET ONDERSCHEID MAKEN
Wat moet de Autoriteit Persoonsgegevens dan wel doen? Zij moet heel duidelijk maken wanneer men wel en niet moet melden, ook in het geval van lekken die het gevolg zijn van Meltdown en Spectre.
En bedrijven die een datalek hebben? Ik adviseer om het lek eerst aan de Autoriteit te melden, tenzij de getroffenen direct actie moeten ondernemen. De toezichthouder kan dan beoordelen of ook burgers ingelicht moeten worden met het risico van meldingsmoeheid in het achterhoofd.
De meldplicht datalekken kan bijdragen aan cybersecurity. Maar een stortvloed aan meldingen kan leiden tot meldingsmoeheid. Die publieke onverschilligheid dienen we te voorkomen, zeker in een tijd waarin we zelfs de elementaire hardware in onze computersystemen niet meer volledig kunnen vertrouwen.