Een nieuw jaar brengt nieuwe kansen, voor cybercriminelen en voor ondernemers. Een goed voornemen voor ons allen is verankerd in de meldplicht voor datalekken. Wie niet horen wil, krijgt boetes. Forse boetes.
Op 1 januari is het zover: 2016 gaat van start met de officiële inwerkingtreding van de meldplicht datalekken. Het startschot betekent uiteraard niet meteen het begin van een betere wereld. Eerst moeten de details nog duidelijker worden: wie moet er precies wat en wanneer melden. Wat is een ernstig datalek, wat is de (potentiële) impact van het datalek? Voer voor juristen, privacy-experts en andere specialisten.
Vervolgens kan het ook nog even duren voordat er handhavend optreden komt van toezichthouder CBP (College Bescherming Persoonsgegevens, straks Autoriteit Persoonsgegevens geheten). Die instantie geeft nu wel de beleidsregels en noemt alvast enkele voorbeelden van ernstige lekken. Zoals die van speelgoedfabrikant Vtech, waarbij persoonsgegevens van bijna 125.000 Nederlandse kinderen en zeker 100.000 ouders zijn gestolen. En zoals de datalekkage van het Groene Hart-ziekenhuis.
De wortel van goede security
Deze meldplicht komt na jarenlang hameren op het belang van goede security en verantwoorde omgang met security-incidenten, waaronder ook datalekken. Securityleveranciers zoals Kaspersky Lab wijzen er al jaren op dat gedegen security en volwassen incidentafhandeling organisaties veel voordeel kan opleveren. Ook na aftrek van de benodigde security-investeringen.
Natuurlijk is er allereerst het voordeel van niet-gehackt te zijn. Het uitzoeken, opruimen en herstellen van cybercrime kan een kostbare zaak zijn. Wij kunnen uit eigen onderzoek melden dat het gemiddelde budget nodig om te herstellen van een beveiligingsinbreuk 504.000 euro bedraagt voor grote ondernemingen en 34.750 euro voor kleine en middelgrote bedrijven.
Kostenposten
Verder kunnen bedrijven die gevoelige gegevens kwijt zijn ook business kwijt raken. Bijvoorbeeld doordat een ander ineens hetzelfde product veel goedkoper kan aanbieden. Of doordat een ander bedrijf aan de haal gaan met een deal, dankzij details in een uitgelekte offerte. De kostenpost van gemiste bedrijfskansen kan oplopen tot wel 185.000 euro.
Daarnaast is er nog de lastig kwantificeerbare kwestie van reputatieschade, die kan oplopen tot wel 187.000 euro, blijkt uit ons onderzoek uitgevoerd door B2B International.
Reputatieschade kan klantvertrouwen en daarmee ook business kosten doordat consumenten, afnemende bedrijven en partners kiezen voor een concurrent die beter beveiligd is. Goede security en goed reageren kunnen dus waardevolle USP’s zijn. Zeker in het privacygevoelige tijdperk waarin we leven en werken.
De stok van slechte security
De spreekwoordelijke wortel is voorgehouden. Toch lijkt dat niet afdoende te zijn. Dus komt er nu de dreiging van de stok bij. Niet voldoen aan de meldplicht voor datalekken kan organisaties op forse boetes komen te staan. Oplopend tot wel acht ton. En er komt nog een Europese meldplicht aan, hoewel die niet komend jaar al valt te verwachten.
Ondertussen begint nieuwjaar over enkele weken met het goede voornemen van betere security, om datalekken in te dammen. Weliswaar een goed voornemen dat door de overheid wordt opgelegd, maar al met al toch een goed voornemen. Zeker als we ons er met z’n allen goed aan houden. En elkaar helpen om het vol te houden! Alvast een gelukkig en veilig nieuwjaar!
Martijn van Lom, General Manager Benelux bij Kaspersky Lab
