Meerderheid IT-managers publieke sector kent meldplicht datalekken niet

Over iets meer dan twee maanden gaat de meldplicht datalekken in die organisaties verplicht om datalekken direct te melden, op straffe van hoge boetes. Uit onderzoek in opdracht van Sophos blijkt dat een ruime meerderheid van de IT-managers die bij overheid en instellingen betrokken zijn bij het IT-beleid, niet op de hoogte is van de invoering van de meldplicht. IT-beveiliger Sophos stelt dat de overheid een veel prominentere rol moeten spelen bij het informeren van instellingen en bedrijven over de meldplicht datalekken.

58 procent van de 262 ondervraagde IT’ers die bij overheid, in zorg, onderwijs en vervoer en bij financiële instellingen verantwoordelijk zijn voor de IT blijkt niet op de hoogte zijn van de meldplicht datalekken. Van de overige 42 procent zegt 49 procent via het eigen netwerk en 37 procent via de media geïnformeerd te zijn. 29 procent van de organisaties die de meldplicht kennen heeft actie ondernomen en 44 procent is van plan dit nog te doen. 15 procent heeft geen plannen op dit gebied, terwijl 13 procent weet niet wat de plannen van de organisatie zijn. De afdeling IT moet het voortouw nemen bij eventuele acties, zegt een derde (35 procent) van de organisaties die de meldplicht kennen. Een kwart (26 procent) vindt dat de bal bij het managementteam of de bestuurders ligt, een kleiner percentage noemt een speciaal projectteam (11 procent) of de juridische afdeling (10 procent).

Meldplicht bij Autoriteit Persoonsgegevens

Met ingang van 1 januari 2016 zijn bedrijven, instellingen en overheden in Nederland verplicht om inbreuken op de IT-beveiliging te melden bij de Autoriteit Persoonsgegevens – vanaf volgend jaar de nieuwe naam van het College bescherming persoonsgegevens (CBP) - die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. De meldplicht datalekken is een uitbreiding van de Wet bescherming persoonsgegevens (Wbp). Boetes voor het niet naleven van de meldplicht kunnen oplopen tot 810.000 euro of 10 procent van de jaaromzet.

Pieter Lacroix, managing director van Sophos Nederland, is verbaasd maar niet verrast over de geringe bekendheid van de meldplicht datalekken. “Wij merken dat veel organisaties de nieuwe richtlijn niet kennen. Ze schrikken wel als ze van ons horen wat de meldplicht inhoudt en wat de consequenties kunnen zijn van het niet naleven van de regels. Het verbaast me dat er niet veel meer aandacht aan besteed wordt. De overheid moet hier volgens mij veel meer ruchtbaarheid aan geven. Richting consumenten die meer rechten krijgen, maar ook richting Nederlandse bedrijven en instellingen die serieus aan de slag moeten met beveiliging en versleuteling van gegevens. Een eventuele sanctie kan namelijk het voortbestaan van een organisatie in gevaar brengen.”

Ook Europese wetgeving wordt strenger

Uit het onderzoek in opdracht van Sophos blijkt wel dat ruim de helft van de ondervraagden gegevensbeveiliging een van de belangrijkste onderwerpen vindt voor het IT beleid, vanwege de toename van het aantal inbreuken op de bescherming van persoonsgegevens en de aanscherping van de EU-privacyrichtlijnen. Volgend jaar wordt naar verwachting ook de nieuwe Europese privacyrichtlijn (GDPR) van kracht.