COMMENTAAR – Volgens advocaat en voormalig officier van justitie Aldo Verbruggen is het in veel gevallen verstandiger voor bedrijven om lekken van persoonsgegevens niet te melden, ook al moet dat wel volgens de wet.
Sinds januari dit jaar geldt in Nederland de meldplicht datalekken. Dat houdt in dat bedrijven verplicht worden een datalek te melden bij de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens. Doen ze dat niet, dan riskeren ze een boete van maximaal 900 duizend euro.
Lang niet alle datalekken hoeven gemeld te worden bij de privacywaakhond. Alleen de datalekken waarbij er kans is op “ernstige nadelige gevolgen”, zoals informatie over iemands politieke voorkeur of seksuele leven, inloggegevens of gegevens die gebruikt kunnen worden identiteitsfraude, zoals bijvoorbeeld een burgerservicenummer.
Verbruggen gaat met zijn opmerkingen niet alleen volledig voorbij aan het belang van de consument, er zijn daarnaast nog een aantal redenen te bedenken waarom de voormalig officier van justitie de plank misslaat met zijn opmerkingen.
1. De meeste hacks komen uiteindelijk toch wel naar buiten
Verbruggen haalt in zijn interview met het FD één van de grootste datalekken ooit aan, die bij Yahoo in 2014. De hack kwam pas dit jaar aan het licht, toen de database van Yahoo online werd gezet door criminelen.
Volgens Verbruggen “zegt dit voorbeeld genoeg”, waarmee hij impliceert dat Yahoo het lek expres zou hebben verzwegen.
Het lek bij Yahoo is misschien wel het slechtste voorbeeld dat Verbruggen had kunnen kiezen, alleen al omdat dit voorbeeld aantoont dat een datalek jaren later alsnog aan het licht kan komen, wanneer je als bedrijf misschien denkt dat het probleem is verdwenen.
Een vergelijkbaar geval is het gigantische lek bij LinkedIn, waar in 2012 wel melding van gemaakt maar waarvan vier jaar later bleek dat het om een veel groter lek ging dan in eerste instantie werd aangenomen. Ook toen was dat omdat de database door derden online werd gezet.
Wanneer criminelen een grote database met klantgegevens stelen, gebeurt dat meestal om die gegevens door te verkopen. Dat gebeurt op digitale zwarte markten, sites waar de gemiddelde internetgebruiker niet bij kan, maar die de doorsnee beveiligingsexpert eenvoudig weet te vinden.
Wanneer zo’n database wordt verkocht, weet iedereen er dus binnen de kortste keren vanaf. Bijvoorbeeld via een website zoals haveibeenpwned.com, dat dit soort databases downloadt en gebruikers via een mailtje vertelt of hun gegevens te koop worden aangeboden.
Als dat gebeurt zonder dat je de hack gemeld hebt, weet je als bedrijf in ieder geval zeker dat je niet alleen met een boete van de AP krijgt, maar ook staat je bedrijf voortaan bekend als bijzonder onsympathiek.
2. Erg veel invloed op de aandelenkoers lijken datalekken niet te hebben
Als beursgenoteerd bedrijf heb je naast de reputatieschade (die je vroeg of laat toch wel zult oplopen, zie punt 1) ook de koers van de aandelen om je zorgen over te maken. Maar er is tot dusver nog weinig bewijs dat een groot datalek grote invloed heeft op de prijs van een aandeel. Daar hoef je je dus minder zorgen om te maken.
Cybersecuritystrateeg Elena Kvochko schreef vorig jaar een stuk in de Harvard Business Review waarin ze dat goed illustreerde met vijf grote lekken bij de Amerikaanse winkelketens Home Depot, Target, Sears, bank JPMorgan Chase en de filmtak van Sony.
In al deze gevallen nam de koers vlak na het het bekendmaken van het datalek een kleine duik, maar werd dat al gauw gecorrigeerd.
Volgens Kvocho heeft een datalek weinig invloed op de koers van een aandeel omdat aandeelhouders (nog) geen goede middelen tot hun beschikking hebben om de impact van cyberaanvallen goed te meten, en de kosten van zo’n hack te vertalen in harde euro’s en dollars.
De effecten van een lek op de winstgevendheid, omzet en juridische kosten zijn simpelweg moeilijk in te schatten, waardoor een duidelijk gevolg op de beurs uitblijft.
Daarnaast geldt wellicht het cliché: “Er zijn maar twee soorten bedrijven: bedrijven die wel gehackt zijn en bedrijven die dat nog niet weten”, waardoor je je als gehackt bedrijf niet erg onderscheidt van andere bedrijven, in de negatieve zin.
3. De beveiliging van je bedrijf is niet op orde, schakel hulp in
Hoewel we in 2016 leven en ongeveer alles digitaal gebeurt, is cybersecurity bij veel bedrijven en instellingen nog een blinde vlek. Een datalek is vaak het gevolg van 'knulligheid'; de juiste processen zijn niet aanwezig of het bedrijf beschikt niet over de juiste technologie.
Als jouw bedrijf wordt getroffen door een datalek, betekent dat waarschijnlijk niet dat je slachtoffer bent geworden van een briljante hacker, maar dat de beveiliging niet op orde is. Het is dan zaak om zo snel mogelijk het lek aan te pakken om ervoor te zorgen dat het niet nog een keer gebeurt.
De meeste bedrijven beschikken niet zelf over een gigantische IT-afdeling die dit soort problemen snel kan oplossen, dus het inschakelen van een extern bureau is aan te raden. Misschien gaat het de volgende keer niet om paspoortnummers, namen en wachtwoorden van je klanten, maar om je eigen bedrijfsgeheimen. En dat kan pas echt een hoop schade veroorzaken.
In dat geval is het al een stuk lastiger om een groot datalek onder de radar te houden. Als zo’n lek alsnog aan het licht komt, betekent dat niet alleen dat jouw bedrijf, maar ook het beveiligingsbedrijf in het geding is - en dat terwijl deze bedrijven juist hun geld verdienen met het in veiligheid brengen van persoonsgegevens.
De meldplicht geldt niet voor derden, dus het valt natuurlijk te proberen. De Autoriteit Persoonsgegevens laat wel aan Business Insider weten dat zij "wel eens tips krijgen van anderen over bedrijven", en dat er dan naar wordt gekeken.
Bonuspunt: wat zou jij willen dat er met je gegevens gebeurde?
Los van alle redenen hierboven om een datalek toch te melden, kun je je ook afvragen wat jij zou willen dat er met je gegevens gebeurde. Stel, je geeft je naam, telefoonnummer en e-mailadres op bij een bedrijf, of zelfs je wachtwoord en BSN-nummer. En stel, zo’n dienst of bedrijf wordt gehackt.
Wat zou jij dan willen dat dat bedrijf doet in zo’n geval?
Precies.