De Autoriteit Persoonsgegevens zou in Europees verband tot boetevermindering of zelfs boete-immuniteit moeten overgaan wanneer organisaties een datalek melden. Momenteel is naming and shaming de gebruikelijke aanpak. Wanneer organisaties een datalek melden, lopen zij naast reputatieschade het risico op ingrijpende onderzoeken, hoge boetes en schadeclaims. Melden wordt daardoor niet aantrekkelijk gemaakt, en het risico is groot dat datalekken onder het tapijt worden geschoven, zonder dat er aan schadebeperking wordt gedaan. Het toezicht kan daarom beter worden verlegd naar het delen en leren van elkaars ervaringen, in plaats van straffen. Boetevermindering of zelfs boete-immuniteit als beloning voor organisaties die transparant zijn en ook maatregelen treffen, zou een veel betere aanpak zijn in de strijd tegen cyberaanvallen.

Elisabeth Thole en Özer Zivali zijn advocaten privacyrecht bij Van Doorne.

Schrikbarende cijfers

In haar onlangs gepubliceerde jaarrapportage signaleert de AP een verdubbeling van het aantal datalekmeldingen veroorzaakt door cyberaanvallen, zoals ransomware. De schrikbarende cijfers gaan alleen over de gemelde datalekken en zijn waarschijnlijk slechts het topje van de ijsberg. De afgelopen jaren is een aanzienlijke toename waarneembaar van ransomware-aanvallen, waarbij vaak losgeld wordt geëist onder dreiging van publicatie van (bedrijfs)gegevens. Bijna elke organisatie krijgt er wel mee te maken. De reflex hierop is vaak victim blaming. De organisatie wordt verweten zo onverstandig te zijn om niet eventjes een lek te patchen of haar medewerkers goed te trainen. Eigen schuld dus. Maar niet alle lekken zijn door een update te voorkomen en geen enkele medewerker klikt bewust op een phishing link. Iedere organisatie is een potentieel doelwit en kan geraakt worden.

De ervaring leert dat victim blaming weinig zinvol is. Bovendien staat het slachtoffer van een ransomware voor genoeg uitdagingen. Denk aan een volledige productiestop, beoordeling van de omvang van het datalek en het papierwerk rondom de melding aan de toezichthouder en de betrokkenen.

Modaliteiten

Organisaties nemen nu besluiten op basis van beperkte kennis, soms ondersteund door externe deskundigen. Wanneer echter meteen de ervaringen openlijk worden gedeeld over bijvoorbeeld de modaliteiten van verschillende aanvallen, de maatregelen om de gevolgen voor de organisatie te beperken, in welke gevallen losgeld is betaald en of dat zinvol is geweest, dan kunnen andere organisaties daarvan leren. Soortgelijke datalekken kunnen beter worden voorkomen, of tenminste de gevolgen beter worden gemitigeerd. Ook zien wij dat wanneer een organisatie bereid is om ervaringen te delen met medeslachtoffers, daarvan gretig gebruik wordt gemaakt, waardoor ook de getroffen betrokkenen beter af zijn.

Onze oproep is daarom aan de Autoriteit Persoonsgegevens om na te denken hoe de noodzakelijke transparantie gestimuleerd kan worden. Dit kan worden afgekeken van het mededingingsrecht dat het systeem van de boete-immuniteit en boeteverminderingen kent voor het melden van een kartel. Organisaties die hun best doen om transparant een datalek aan te pakken, dienen – onder duidelijke voorwaarden – te worden beloond. Het zou dan ook een gemiste kans zijn wanneer de privacytoezichthouders dit niet alsnog in hun recent gepubliceerde concept boetebeleidsregels opnemen.