Sinds 2016 moeten bedrijven en overheidsorganisaties verplicht binnen 72 uur bij de toezichthouder melding maken van datalekken. De gedachte achter de meldplicht is dat organisaties vooraf betere beveiligingsmaatregelen nemen, teneinde reputatieschade te voorkomen, en dat sneller wordt gereageerd op incidenten. Hoewel die bedoelingen goed zijn, levert de huidige meldplicht datalekken echter geen betere bescherming van persoonsgegevens op.

Nederland behoort binnen de EU tot de koplopers als het gaat om privacybescherming. De meldplicht datalekken werd al in 2016 ingevoerd, nog voordat deze via de Algemene Verordening Gegevensbescherming (AVG) in de hele EU van kracht werd. Het eerste jaar werden er enkele duizenden datalekken gemeld. Inmiddels is dat explosief toegenomen en het einde is nog niet in zicht. Nederlandse bedrijven melden na Duitsland en het Verenigd Koninkrijk de meeste datalekken van de EU. Per hoofd van de bevolking is het aantal meldingen zelfs het hoogste in de hele EU. De meldplicht schiet daarmee zijn doel voorbij vanwege drie redenen.

Reputatieschade beperkt

Ten eerste werkt het mechanisme van naming & shaming niet meer bij deze grote aantallen. De redenering is dat een organisatie reputatieschade wil voorkomen en daarom preventief extra maatregelen neemt tegen datalekken.

Maar dit werkt alleen als een datalek ook echt aandacht oplevert en invloed heeft op de reputatie. Doordat er zoveel datalekken zijn, is het nauwelijks nieuws meer. Alleen saillante datalekken, zoals bij de overspelsite Ashley Madison of de ransomware-aanval bij de Universiteit Maastricht, worden nog opgemerkt door de media.

Als de reactie van organisaties op een datalek niet langer schaamte is, maar enkel een bureaucratische verplichting, zijn er minder prikkels om de (kostbare) beveiliging beter op orde te krijgen. Daar komt nog bij dat melden ook in financieel opzicht kosteloos is: niet of te laat melden kan leiden tot een boete, maar als tijdig is gemeld, worden er zelden boetes opgelegd.

Handhaving discutabel

De tweede reden waarom de meldplicht niet functioneert, is dat de aantallen zo groot zijn dat handhaving lastig wordt. De hoge boetes in de AVG hebben ertoe geleid dat iedereen nu goed op de hoogte is van het bestaan van de nieuwe regels, maar tegelijkertijd is er onduidelijkheid over hoe die regels in elkaar zitten.

Om hoge boetes te voorkomen, worden veel incidenten voorzichtigheidshalve gemeld. Het gevolg is dat vermeende en kleine datalekken op dezelfde stapel komen als enorme datalekken waarin gevoelige gegevens van honderdduizenden mensen betrokken zijn. De toezichthouder moet vervolgens al die situaties onderzoeken en beoordelen of verdere maatregelen nodig zijn. Ondanks de personele uitbreiding bij de toezichthouder is dat ondoenlijk.

Onverschilligheid

De derde reden waarom de huidige meldplicht niet goed werkt, is dat nog steeds heel veel incidenten niet worden gemeld. De toezichthouder geeft aan dat er, ondanks de grote aantallen, naar verwachting nog veel meer datalekken zijn. Zonder melding zijn datalekken veel lastiger te achterhalen.

Het gevolg is dat niet melden niet zonder meer tot een boete leidt en dat wel melden niet zonder meer tot reputatieschade leidt. Daardoor ontstaat ruimte voor organisaties om zelf te kiezen over wel of niet melden, terwijl het een verplichting zou moeten zijn.

Wat te doen?

1. Er zou er veel meer duidelijkheid moeten komen over wat wel en niet moet worden gemeld.

2. Onbeduidende datalekken zouden niet meldplichtig moeten zijn, zodat de serieuze datalekken veel beter opvallen. Het opstellen van minimumcriteria kan hierbij helpen, zodat de lat hoger wordt gelegd.

3. De toezichthouder zou de aandacht kunnen verleggen naar de opvolging van de meldingen, onder meer door verdere maatregelen te nemen bij ernstige datalekken, zoals het opleggen van sancties. Daarmee wordt een duidelijk signaal afgegeven dat melden niet betekent dat een zaak daarmee is afgedaan.

Bij elkaar zouden deze stappen een effectievere meldplicht opleveren en daarmee betere bescherming van persoonsgegevens.

*) Prof.mr.dr.ir. Bart Custers is hoogleraar Law & Data Science aan de Universiteit Leiden.

**) Photo by Chris Gallagher on Unsplash