Een menselijke fout is, naast ransomware en hacking, nog steeds de meest voorkomende oorzaak van een datalek. Om daar in België iets aan te kunnen doen, moet het aantal meldingen van datalekken fors omhoog. Datalekken worden ofwel niet opgemerkt, ofwel niet gemeld. Beide opties zijn problematisch.

Van de cyberaanval op Asco tot de recente economische missie naar China: cybersecurity is niet meer uit de nieuwsberichten weg te slaan. Dat het ook hoog op de agenda van Belgische bedrijven staat, bleek recent nog uit cijfers van Beltug, de grootste Belgische vereniging die leiders in ICT verbindt. Zij bevroegen 1.145 bedrijven, waarvan 45% verklaarde dat het budget voor cybersecurity het afgelopen jaar steeg. 46% van dezelfde groep respondenten gaf ook aan dat (een deel van) het budget voor cybersecurity actief werd ingezet op tools tegen datalekken.

Menselijke fouten

Het gaat er al lang niet meer over óf er een datalek komt, maar wanneer, en dus moet er voldoende aandacht aan besteed worden. Naast hacking, phishing en ransomware blijven menselijke fouten of onoplettendheid de meest voorkomende oorzaak van datalekken. Mensen sturen inderdaad e-mails naar de verkeerde bestemmeling of vergeten hun laptop op trein, tram, bus of in een taxi, maar in vele gevallen zijn datalekken ook het gevolg van de menselijke drang om te willen helpen of hun werk goed te willen doen. Een dringende e-mail van de CFO die nog snel een overschrijving moet doen alvorens op een vliegtuig zonder Wifi-verbinding te stappen of een persoon die naar een callcenter belt om zijn of haar gegevens op te vragen; voor je het weet zijn geld of gegevens in de verkeerde handen beland.

Het hoeven dus niet altijd hightech snufjes te zijn, want ook deze zachte aanpak, ook wel 'social engineering' genoemd, leidt maar al te vaak tot datalekken door niet de technologie, maar de gebruiker ervan aan te vallen.

Het gaat er al lang niet meer over óf er een datalek komt, maar wanneer, en dus moet er voldoende aandacht aan besteed worden

Wat een bedrijf moet doen als het verantwoordelijke voor of slachtoffer van een datalek is of denkt te zijn? Dan moét het dat zo snel mogelijk melden aan de Gegevensbeschermingsautoriteit, de opvolger van de Privacycommissie die toezicht houdt op de naleving van wetgeving zoals de GDPR. En 'zo snel mogelijk' betekent 'zo snel mogelijk', en in ieder geval niet later dan 72 uur na de vaststelling van het (mogelijke) datalek.

De Autoriteit kan dan, samen met de eventuele verantwoordelijke, het reële risico inschatten en aanbevelingen doen over de reductie van het risico, het naleven van de wettelijke regels en de beveiliging daarvan.

België hinkt achterop

Helaas is de verplichte melding van datalekken nog steeds te weinig gekend in België. Enkele cijfers: in 2018 kwamen er bij de Gegevensbeschermingsautoriteit 445 meldingen binnen. Er is vooruitgang in 2019, maar wellicht komen we ook dit jaar nog niet aan 1.000 meldingen. Leg dat naast de cijfers van onze noorderburen, en je ziet hoe we achterop hinken. In Nederland kwamen in 2018 namelijk meer dan 20.000 meldingen binnen.

De hypothese is dat ze ofwel niet opgemerkt worden, ofwel niet gemeld worden. Beide opties zijn natuurlijk problematisch

Ook bij de Gegevensbeschermingsautoriteit vindt men het niet normaal is dat er in ons land zo veel minder meldingen zijn dan bijvoorbeeld in Nederland. De hypothese is dat ze ofwel niet opgemerkt worden, ofwel niet gemeld worden. Beide opties zijn natuurlijk problematisch. Om ervoor te zorgen dat je datalekken ziet, moeten systemen en processen veel beter gemonitord worden. Een melding van een gegevenslek helpt de Autoriteit om cybertrends op te merken en afdoende advies te geven om de gevolgen van gegevenslekken in te perken.

Brandoefeningen om slagveld te vermijden

Dat het niet nemen van de gepaste technische en organisatorische maatregelen, waardoor het datalek zou kunnen veroorzaakt zijn, kan leiden tot geldboetes tot 10.000.000 euro of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, kan inderdaad ook een oorzaak zijn van het niet melden van een datalek. Op het niet melden van een datalek staat dezelfde theoretische boete, met dat verschil dat het niet melden een verzwarende, en het goed samenwerken met de Autoriteit een verzachtende omstandigheid is die de uiteindelijke grootte van een eventuele boete significant zal beïnvloeden.

Door het (laten) uitvoeren van 'brandoefeningen' voor crisissituaties kunnen bedrijven op een veilige manier inschatten welke de zwakke schakels zijn in hun proces, hoe en met wie ze over de hele situatie moeten communiceren, en wie ze moeten inschakelen om de oorzaken van het gegevenslek te achterhalen en de gevolgen ervan in te dijken. Want het is geen goed idee om pas op het slagveld visitekaartjes uit te wisselen.