Sinds begin dit jaar moeten bedrijven officieel een digitale hack melden bij de Autoriteit Persoonsgegevens. Maar dat is veelvuldig niet in het belang van de bedrijven zelf.
Die stelling poneert Aldo Verbruggen, partner bij advocatenkantoor Jones Day maandag in het Financieele Dagblad. Verbruggen is zelf een voormalige officier van justitie in Rotterdam.
“Het blijft uiteraard hun eigen beslissing , maar ik heb mijn cliënten nu al een paar keer aangeraden geen aangifte te doen en weet dat afweging van belangen ertoe heeft geleid dat de hack ook niet is gemeld.”
Melden cybercrime verplicht
Volgens Verbruggen maakt de overheid niet goed duidelijk waarom het in het belang van ondernemers zou zijn een hack te melden, met het risico dat die in de openbaarheid komt. Het argument dat rapportage bijdraagt aan het algemeen belang en de criminaliteitsbestrijding, vindt hij niet overtuigend.
De overheid loopt in de optiek van de advocaat hopeloos achter op hackers en is simpelweg niet in staat om grote hacks op te lossen. Mede vanwege het grensoverschrijdende karakter van cybercrime.
Daar staat voor bedrijven tegenover dat het reputatierisico van het melden van hacks bij de Autoriteit Persoonsgegevens groot is. Verbruggen: "Dan komen ze kijken en wat blijkt? Ze vinden jouw IT-beveiliging net niet helemaal geavanceerd genoeg en kunnen overgaan tot openbaarmaking. Klanten denken meteen: oh, bij dat ziekenhuis, dat advocatenkantoor of die provider moet ik niet zijn, want daar liggen mijn gegevens op straat."