Achtergrond
image

'Laat bedrijven boeten voor datalekken' (interview)

vrijdag 28 december 2012, 11:17 door Redactie, 8 reacties

Om bedrijven te overtuigen van de noodzaak om gegevens beter te beveiligen, zouden ze een boete moeten betalen als er gegevens worden gelekt. Dat stelt Wim van Campen, vicepresident Noord-Europa, van beveiligingsbedrijf McAfee tegenover Security.nl. "Op dit moment hoeven bedrijven waar gegevens worden gestolen dit niets eens te melden." Er wordt al geruime tijd over een meldplicht gesproken.

Niet alleen moeten bedrijven volgens Van Campen lekken melden, er moet ook een boete volgen. Dan wordt het uiteindelijk een financiële afweging voor bedrijven als ze hun gegevens niet beveiligen. "Dan krijg je op bestuurlijk niveau hiervoor aandacht, omdat dan de risico's heel tastbaar worden." Een datalek brengt daardoor niet alleen reputatieschade met zich mee, maar ook een kostenplaatje.

Schade
Daarnaast hoeft het niet alleen om gegevens van klanten te gaan, maar kan ook de informatie van het bedrijf zelf op straat komen te liggen of in verkeerde handen terechtkomen. "Daar hoor je heel weinig van." Hoewel de schade door een datalek niet altijd bekend is, wijst Van Campen naar Sony als een bekend voorbeeld waar dit wel het geval was.

"De kosten voor het beveiligen waren een schijntje vergeleken met de boetes die ze moesten betalen en de 11 miljard beurswaarde die ze verloren en nog steeds niet terug is."

Van Campen stelt dat een boete voor datalekken omstreden lijkt en kijkt daarbij zowel naar zelfregulering als wat de overheid zou kunnen opleggen. "Dat is de richting waar het debat nu naar toegaat. Mensen zien dat het met zelfregulering niet snel genoeg gaat."

Volgens de vicepresident helpen boetes voornamelijk om de aandacht voor informatiebeveiliging op een hoger niveau te krijgen en ervoor te zorgen dat het serieus geïmplementeerd wordt.

Reacties (8)
28-12-2012, 11:30 door Anoniem
Laten bedrijven dan die boete betalen aan getroffen klanten, en niet aan de overheid. En bedenkt daarbij - uiteindelijk wordt de boete opgehoest door de klanten doordat het in de prijs wordt doorberekend (net zoals alle andere kosten die bedrijven maken).
28-12-2012, 13:40 door Anoniem
In een wijzigingsvoorstel van het wbp is een meldplicht opgenomen.
28-12-2012, 13:43 door Anoniem
Dit heeft alleen maar nut als het mogelijk zou zijn om 100% te beveiligen, en dat gaat nou eenmaal niet.
28-12-2012, 21:54 door AA_CS
Door Anoniem: In een wijzigingsvoorstel van het wbp is een meldplicht opgenomen.
Het is helaas nog niet duidelijk wanneer deze wijziging ook echt wordt doorgevoerd. Daarnaast gaat het (dacht ik) niet voor alle bedrijven gelden.
Ik zie ook meer in een meldplicht en een hoge boete voor het niet nakomen van die plicht. Als bedrijven bij het melden al een boete krijgen zullen ze waarschijnlijk geen haast maken met het melden zolang de hackers de hack niet openbaar hebben gemaakt. En wat doe je als er gegevens door een tot dan toe onbekend lek buit worden gemaakt? Als bedrijf kan je er dan weinig tot niets tegen doen, een boete lijkt me dan niet echt terrecht
29-12-2012, 10:46 door Anoniem
Mooi plan alleen dat gaat nooit werken, een multinationale onderneming zou dan gelijk failliet zijn.
En uiteraard zal de datalekboete, een zeer groot bedrag, rechtstreeks bij de burger op de bankrekening gestort moeten worden, belastingvrij !
29-12-2012, 19:38 door Charley51
De hoogte van de boete moet gerelateerd zijn aan de gemaakte fout. Een zero-day exploit levert geen boete op, daar kan niemand iets aan doen, behalve de hacker natuurlijk.
De laatste update "vergeten" te installeren = kleine boete. Naarmate de update ouder is, de boete verhogen.
Ook zal een relatie moeten zijn met het belang van de gegevens. NAW-gegevens leveren een lage score op, want die kan je "overal" vinden. Dit geldt niet voor bankrekeningnummers, bsn-nummers, patiënt-gegevens etc. Dat levert de maximale boete op.
Ook het "tijdelijk" verzwijgen van het lek levert een hogere boete op. Iedere week/maand zwijgen: boete verdubbelen.
En als het bedrijf de boetes gaat doorberekenen: dan ga je toch naar een ander? Zo werkt concurrentie nu eenmaal.
En als zo'n bedrijf dan failliet gaat: prima! Liever zij, dan dat ik straks met de gebakken peren zit.
29-12-2012, 21:07 door Anoniem
"En als zo'n bedrijf dan failliet gaat: prima! Liever zij, dan dat ik straks met de gebakken peren zit."

Vaak zit jij als consument met de gebakken peren, omdat het bedrijf de boete doodleuk in de kostprijs naar de klant doorberekent. Waar komt immers uiteindelijk het geld vandaan waarmee de boete betaald wordt ?
31-12-2012, 16:53 door Wim van Campen
Voor de context - als het gaat over potentiele boetes dan gaat het naar mijn mening vooral en in eerste instantie om organisaties en bedrijven die persoonsgegevens niet goed beveiligen. Voor bedrijfseigen informatie zou de gangbare regulering met economische afwegingen voldoende moeten zijn.

Als ik echter mijn gegevens achterlaat op een website of als deze door een instantie online beschikbaar worden gesteld dan moet ik er op kunnen vertrouwen dat ze goed beveiligd worden. En dat kan niet (alleen) mijn verantwoordelijkheid zijn. Als ik ergens ga eten dan hoef ik toch ook niet eerst de keuken te keuren - daar heeft de Keuringsdienst van Waren een rol en daar zou je varianten op kunnen bedenken.

Wim
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search