Sophos kijkt reikhalzend uit naar eerste AP-boete

Oosterhout, 29 december 2016 – Als het aan managing director Sophos Nederland Pieter Lacroix ligt, deelt de Autoriteit Persoonsgegevens liever nog gisteren dan vandaag een boete uit voor gemelde datalekken. Afgelopen dinsdag verkondigde de Autoriteit Persoonsgegevens dat er in 2016 in totaal 5.500 datalekken zijn gemeld, onderzoeken naar deze lekken in volle gang zijn maar dat er tot nu toe geen boetes voor de autoriteit zijn opgelegd.

“Werkelijk onbegrijpelijk”, aldus Lacroix. “Het is te vergelijken met een brute bankoverval of een automobilist die met veel te veel alcohol in zijn bloed een politiefuik inrijdt en vervolgens alleen van de dienstdoende agent ‘voortaan niet mee doen, hè? te horen krijgt. Een regelrechte farce, als je het mij op de man af vraagt. Daarnaast denk ik dat het aantal van 5.500 meldingen geen goede weerspiegeling is van het werkelijk aantal datalekken dat in het afgelopen jaar heeft plaatsgevonden. Nederland telt zo’n 130.000 organisaties. Een verloren USB, een gestolen laptop, een confidentieel mailtje naar de verkeerde persoon en ransomware: stuk voor stuk datalekken die gemeld dienen te worden. De kans dat slechts vier procent van deze groep één datalek per organisatie in de afgelopen twaalf maanden ervaart én meldt, is minuscuul. En dat Aldo Verbruggen, voormalig officier van Justitie eerder dit jaar openlijk verkondigt dat het voor bedrijven in veel gevallen loont risico te lopen mogelijk later betrapt te worden en dan een eventuele boete te betalen, zet ook niet bepaald zoden aan de dijken.”

Zware boetes
Lacroix gelooft dan ook heilig in het opleggen van meer en zwaardere boetes. “Laat ik voorop stellen dat ik blij ben dat er een wet is die zich over onze veiligheid en privacy buigt. De discussie is aangezwengeld en heeft zelfs zijn weg naar de boardrooms van grote bedrijven gevonden. Maar zonder houtsnijdende repercussies zal de impact bij bedrijven nul zijn en het op termijn van de zakelijke agenda verdwijnen. Want waarom een melding doen als je er toch niet voor wordt gestraft?”

‘Frustrerend’
In mei 2018 gaat de General Data Protection Regulation (GDPR) van kracht, een wet die voor heel Europa zal gelden en die nog wat meer uitbreiding van de Meldplicht Datalekken vraagt. “De Meldplicht Datalekken is eigenlijk een light-versie van GDPR. Omdat de Nederlandse wetgeving minimaal aan de Europese eisen moet voldoen, krijgen de boetes hopelijk een afschrikkender karakter dan nu in Nederland het geval is. Je moet er als organisatie dan toch niet aan denken dat je mogelijk maximaal 4% van je wereldwijde omzet dient af te staan bij het niet melden van een datalek? De Autoriteit Persoonsgegevens zou naar aanleiding van de 5.500 gemelde datalekken haar geloofwaardigheid kracht kunnen bijzetten door het uitdelen van de eerste boetes. Maar tot nu toe blijft het hieromtrent akelig stil. Dit frustreert mij maar ook de gehele beveiligingswereld die dag en nacht aan privacy en security werkt. We kijken daarom uit naar een eerste financiële straf, anders is het concept Meldplicht Datalekken in mijn optiek niet meer dan een wassen neus.”

---

Over Sophos
Meer dan 100 miljoen gebruikers in 150 landen rekenen op Sophos voor de beste bescherming tegen complexe bedreigingen en dataverlies. Sophos levert security- en databeschermingsoplossingen die eenvoudig in te zetten, te beheren en te gebruiken zijn. Zo biedt Sophos prijswinnende oplossingen aan voor endpoint security, web security, e-mail security, network security, mobile security en encryptie. Deze worden ondersteund door Sophos Labs, een wereldwijd netwerk van threat intelligence centra. Het hoofdkwartier van Sophos bevindt zich in Oxford (UK) en in Boston (VS). Meer informatie over Sophos op: www.sophos.com.