Bedrijven en organisaties die met een datalek te maken krijgen moeten dit niet alleen bij de Autoriteit Persoonsgegevens melden, maar gegevens over het incident ook openbaar maken. Dat vergroot het bewustzijn, maakt trends inzichtelijk en laat zien welke investeringen echt helpen.

Dat stelt onderzoeker Bernold Nieuwesteeg van Erasmus School of Law. Organisaties kunnen maar beter open en eerlijk zijn als het een keer gebeurt, zegt Nieuwesteeg. Die transparantie leidt er uiteindelijk volgens hem toe dat bedrijven veel effectiever kunnen investeren in cybersecurity. Onder de Algemene verordening gegevensbescherming (AVG) zijn bedrijven wettelijk verplicht om datalekken te melden, afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

Details over datalekken of incidenten worden meestal niet gegeven. “Begrijpelijk”, zegt Nieuwesteeg, “Want vertellen dat je bent gehackt, maakt je kwetsbaar. Toch is er een enorm verschil tussen de vrees van mensen en de daadwerkelijke gevolgen. De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn.”

De onderzoeker is dan ook voor het openbaar maken van datalekken. “De kennis die de meldplicht oplevert, wordt niet benut. De meldingen komen binnen bij de Autoriteit Persoonsgegevens, maar verdwijnen vervolgens in de digitale bureaulade. Het is een bureaucratische exercitie, terwijl het een kans kan zijn om te zien waar je kwetsbaarheden liggen, trends te analyseren en kijken welke veiligheidsmaatregelen effect hebben.”

Het blijven melden van datalekken kan verder helpen bij het vergroten van bewustzijn en het herkennen van trends. “Investeren in beveiliging is prima, maar vervolgens moeten we wel kritisch kijken naar de baten van maatregelen. Je kunt een euro maar één keer uitgeven, dus dan wil je ook dat het effect heeft”, aldus de onderzoeker.

Image