Sinds 1 januari dit jaar zijn organisaties verplicht om datalekken te melden aan de Autoriteit Persoonsgegevens. Deze nieuwe regel in de aangescherpte Wet bescherming persoonsgegevens is om verschillende redenen in het leven geroepen. Er wordt momenteel in de media opgeroepen om datalekken niet te melden. Dit is wat betreft Audittrail onverstandig.
Deze week werd het artikel met de kop 'Voor onderneming beter om cybercrime niet te melden' geplaatst op Nu.nl. Aldo Verbruggen, partner bij een advocatenkantoor, heeft in een gesprek met het Financieel dagblad laten weten dat hij vindt dat er nadelen kleven aan het bekendmaken van cybercrime. ‘’Het blijft uiteraard hun eigen beslissing , maar ik heb mijn cliënten nu al een paar keer aangeraden geen aangifte te doen en weet dat afweging van belangen ertoe heeft geleid dat de hack ook niet is gemeld.” Ondanks dat het gaat om een mening van Verbruggen, neemt Nu.nl het over als nieuwsbericht waardoor het lijkt op een feit.
Goede redenen om wél te melden
Bij Audittrail staan we niet achter de uitspraak van Verbruggen. Naast het feit dat het melden van een datalek wettelijk verplicht is, komen er ook maatschappelijke aspecten kijken bij het melden van datalekken. Met het melden van datalekken die voortvloeien uit cybercriminaliteit wordt bijgedragen aan het in kaart brengen van dit fenomeen. Dit geeft (opsporings)instanties de mogelijkheid om te acteren op digitale criminaliteit. Daarnaast heeft de Autoriteit Persoonsgegevens sinds 1 januari van dit jaar een boetebevoegdheid. Het niet (of niet juist) melden kan een flinke boete opleveren.
Omgekeerde rationalisatie
Verbruggen stelt dat organisaties niet moeten melden, omdat de kans klein is dat organisaties betrapt worden op het niet melden. Wij zien dit als omgekeerde rationalisatie. Melden moet je willen doen. Daarbij duurt het niet lang voor dat de AP start met het beboeten van organisaties (zie daarvoor dit artikel). Ook zegt Verbruggen dat het melden imagoschade oplevert. De imagoschade kan echter nóg hoger zijn wanneer een organisatie er voor kiest om het incident niet te melden. De kans is aanzienlijk dat het lek vroeg of laat alsnog naar buiten komt. Bij het melden aan de AP en aan betrokkenen kan de organisatie tenminste bepalen hoe ze het nieuws brengt en wat ze doet om de impact zo klein mogelijk te houden. Wanneer het lek later naar buiten komt, kan er sprake zijn van een grotere negatieve impact op de organisatie.
Conclusie
Meld datalekken bij de Autoriteit Persoonsgegevens. De organisatie is hierdoor compliant aan de wet én handelt in het belang van de klant. Heeft u vragen naar aanleiding van bovenstaande informatie of wilt u hulp met de privacy van uw organisatie? Neem dan contact met ons op.
Bron: Audittrail
Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2016 te bekijken.
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.