28
mrt

SOPHOS-DIRECTEUR PIETER LACROIX: ‘Kom eens op met die boetes!’

Hoewel er afgelopen jaar bijna 5.500 datalekken zijn gemeld bij de Autoriteit Persoonsgegevens (AP), heeft de privacywaakhond nog geen enkele boete uitgedeeld. Een gemiste kans, vindt Sophos-directeur Pieter Lacroix. “Waarschuwingen schrikken te weinig af. Bedrijven moeten nu echt in beweging komen als het gaat om bescherming van persoonsgegevens.”

De sectoren die het afgelopen jaar het vaakst een datalek meldden bij de AP waren gezondheid en welzijn (29 procent van de meldingen), financiële dienstverlening (17 procent), openbaar bestuur (15 procent) en informatie en communicatie (11 procent). En hoewel de AP ruim vierduizend binnengekomen meldingen nader heeft bekeken, kregen naar aanleiding hiervan slechts rond de honderd organisaties een waarschuwing. “Op deze manier gaan we toe naar een pakkansdiscussie”, stelt Lacroix.

Maatregelen afdwingen

Lacroix roept de Autoriteit Persoonsgegevens dan ook nadrukkelijk op om eindelijk boetes te gaan uitdelen. “Als iemand een bankoverval pleegt of dronken achter het stuur gaat zitten en met een waarschuwing wegkomt, schrikt dat ook niet af. Het morele besef dat je zorgvuldig met privacygevoelige gegevens moet omgaan, moet er nog inslijten, het is relatief nieuwe materie.” De AP moet nu daadwerkelijk boetes aan opleggen. Alleen op die manier kan worden afgedwongen dat bedrijven maatregelen treffen om hun data te beschermen. “Het gevaar van maar blijven waarschuwen is dat de aandacht verslapt. Vorig jaar heeft datasecurity – mede door het instellen van de meldplicht datalekken – een boost gehad. Directies zien het inmiddels als riskmanagement, maar als er geen consequenties volgen na een datalek, ebt de aandacht uit de boardroom weer weg.”

Rechtszaken

De Autoriteit Persoonsgegevens is zeker voornemens om boetes te gaan opleggen, zei de nieuwe voorzitter Aleid Wolfsen eind vorig jaar tegen nu.nl. “We hebben een hele serie lekken, we hebben nu tientallen onderzoeken lopen, dus die boetes zitten eraan te komen.” Organisaties kunnen hun borst dus nat maken, maar realiseren zich volgens Lacroix nog steeds onvoldoende wat er op hen af komt. “De Europese privacytoezichthouders kunnen straks met de nieuwe General Data Protection Regulation (GDPR) boetes van maximaal twintig miljoen euro of vier procent van de wereldwijde omzet van een bedrijf uitdelen. Dat is fors meer dan de 820.000 euro die de AP kan opleggen. Maar daarmee is een organisatie er nog niet. Gedupeerden kunnen zich ook verenigen en een rechtszaak aanspannen tegen het bedrijf.”

Integrale securityaanpak

Een integrale visie op security helpt, zegt Lacroix. “Organisaties hebben vaak een lappendeken van oplossingen en hopen daarmee voldoende veilig zijn. Met de nieuwe wet- en regelgeving draait alles om aantoonbaarheid, om bewijs. Je moet als organisatie kunnen aantonen dat de gegevens op het moment van lekken beveiligd waren. Als een organisatie verschillende oplossingen heeft, is het lastig te bewijzen dat de gehele keten veilig is. Het is raadzaam om zoveel mogelijk security-oplossingen te integreren en te zorgen dat je rapportages kunt maken. Het is tijd om écht iets te gaan doen. De AP kan een vuurtje onder de billen van bedrijven houden door te starten met het uitdelen van boetes.

 

Leave a Reply