Een jaar AVG en er is nog flink wat werk aan de winkel

Philippe den Arend

Philippe den Arend, Security Consultant & Information Security Officer bij Traxion

Ruim een jaar na de deadline om te voldoen aan de Algemene verordening gegevensbescherming (AVG) lijkt het er op dat veel Nederlandse bedrijven nog niet compliant zijn. En dat het bij het merendeel van de gemelde datalekken om vals alarm gaat, is minder goed nieuws dan waar het op het eerste gezicht op lijkt.

Nederland is koploper in het melden van datalekken. De AVG schrijft voor dat bedrijven een datalek verplicht moeten melden aan de autoriteiten. In de laatste zeven maanden van 2018 alleen al leidde dat volgens een rapport van DLA Piper (pdf) in heel Europa tot 59.000 meldingen, waarvan 15.400 uit Nederland. Duitsland en Engeland volgen op de tweede en derde plaats, met respectievelijk 12.600 en 10.600 meldingen.

Zekere voor het onzekere

Uit de cijfers zou je de conclusie kunnen trekken dat zich in Nederland de meeste datalekken hebben voorgedaan. Maar van de meldingen die ik zelf heb gezien, was in zo’n 80 procent van de gevallen een notificatie aan de Autoriteit Persoonsgegevens (AP) niet nodig geweest. Bijvoorbeeld omdat het niet ging om gevoelige informatie. Of omdat de gegevens versleuteld waren opgeslagen.

Realistischer is het dus om te concluderen dat Nederlandse bedrijven gewoon meer dan in andere landen aan de bel trekken. Dat ze het zekere voor het onzekere nemen en liever een melding te veel dan te weinig doen. Dat beeld wordt versterkt door het aantal uitgedeelde boetes. In Nederland werden er nog maar vier AVG-gerelateerde boetes uitgedeeld. Een stuk minder dan de tientallen in het Verenigd Koninkrijk, of de zeventien in Malta. De hoogste boete werd uitgeschreven in Frankrijk.

Niet verstandig op lange termijn

Natuurlijk is het goed dat Nederlandse bedrijven hun verplichting om datalekken te melden serieus nemen. En op de korte termijn is onnodig melden wellicht zelfs een goede strategie om een boete zoals Uber kreeg te voorkomen. Dat bedrijf moest onlangs 600.000 euro betalen omdat het de meldplicht in 2016, toen nog onderdeel van nationale wetgeving, niet nakwam na een hack waarbij wél gevoelige gegevens werden gelekt.

Maar op de lange termijn is het doen van onnodige meldingen minder verstandig. Daarmee speelt een bedrijf zich namelijk in de kijker bij de AP. Daar kan het beeld ontstaan dat er nu dan wellicht geen lek is opgetreden – maar dat er bij het bedrijf wel iets aan de hand is. Dat het om een twijfelgeval ging bijvoorbeeld. Of dat het bedrijf zich op z’n minst niet genoeg in de wetgeving heeft verdiept om te weten welke informatie nou wel en niet onder de wetgeving valt. Iets dat duidt op een gebrek aan bewustzijn van privacy en het beschermen van persoonsgegevens.

Ongeautoriseerde openbaarmakingen

Een rapport (pdf) van de Data Protection Commission (DPC), het overkoepelende orgaan van de verschillende Europese autoriteiten die toezicht houden op naleving van de GDPR, toont aan dat 85 procent van de gemelde datalekken gerelateerd was aan ongeautoriseerde openbaarmaking. Daarmee worden vooral onbewuste, als gevolg van een menselijke fout lekken bedoeld. Denk aan een e-mail die aan een verkeerde persoon wordt verstuurd. Maar ook aan medewerkers die toegang kregen tot persoonsgegevens terwijl dat voor hun werk niet nodig is, zoals het interne datalek bij de gemeente Zoetermeer.

En of al die ongeautoriseerde openbaarmakingen nou wel of niet gemeld hadden hoeven te worden, de meldingen duiden er hoe dan ook op dat er veel misgaat.Dat bedrijven hun autorisaties niet op orde hebben, en medewerkers niet alleen op een need-to-know-basis toegang krijgen tot gegevens. Dat er geen cultuur is waarin medewerkers bewust omgaan met privacygevoelige informatie. En dat er bij veel bedrijven te weinig kennis is over de GDPR en hoe te reageren op incidenten. De AP heeft kortom een punt als ze vermoedt dat er iets aan hand is.

Basis van goed informatiebeveiliging

Toen de deadline om te voldoen aan de AVG in mei van 2018 inging, was het nog niet helemaal realistisch om er vanuit te gaan dat alle bedrijven direct volledig AVG-proof waren. En dat is ruim een jaar later nog steeds geen reële verwachting. Maar een aantal stappen zouden organisaties nu toch wel minimaal doorlopen moeten hebben. Zeker als het gaat om zaken als autorisaties en toegang tot gegevens, wat los van de wettelijke voorschriften gewoon de basis is van goede informatiebeveiliging. Dat daarmee het aantal terechte en onterechte meldingen van datalekken omlaag zal gaan, is alleen maar mooi meegenomen.

Philippe den Arend is Certified Information Privacy Professional Europe (CIPP/E) en Certified Information Privacy Manager (CIPM). Namens Traxion helpt hij bedrijven om hun informatiebeveiliging optimaal in te richten en te voldoen aan de eisen van onder andere de AVG.