Melden moet, maar maak dan topprioriteit van aanpakken cybercrime

24-10-2016

'Niet melden van cybercrime is vaak verstandiger', meldt het FD vandaag. Kennelijk wordt het bedrijven soms geadviseerd hacks niet te melden. Ook wanneer daarbij persoonsgegevens zijn gelekt. Voor zo'n advies kan ik geen begrip opbrengen. Want aan de wet, in dit geval meldplicht datalekken van de Wet bescherming persoonsgegevens (wbp), moet je je houden. Punt. Maar tegelijkertijd kun je je afvragen of de prikkels wel de juiste zijn.

Criminele industrie
Voordat ik het vergeet: bedrijven zijn niet de veroorzakers van een hack. De boeven, dat zijn nog altijd de hackers. En dan hebben we het niet over het type digitale zakkenroller, maar over een georganiseerde criminele industrie. Die zich voortdurend aanpast en miljarden keer per dag aanvallen lanceert op overheden en bedrijven om buitgemaakte gegevens te verhandelen of om daar bijvoorbeeld fraude mee te plegen. Bedrijven moeten vanzelfsprekend hun informatiebeveiliging op orde hebben en blijven investeren om de digitale wapenwedloop aan te kunnen.

Melden kent risico's
Maar kijk je vanuit bedrijfsoogpunt naar meldingen en vraag je je af what’s in it for me?, dan kan ik melden: bijzonder weinig. Zoals in het FD terecht wordt genoemd, lopen politie en justitie achter, en leiden aangiftes of meldingen van een lek niet tot minder aanvallen. Wat je wél doet bij een melding is jezelf als gehackte organisatie de facto aangeven bij de Autoriteit Persoonsgegevens (AP). Maar: met het risico op een boete. De AP kan bovendien niet garanderen dat vertrouwelijke meldingen niet alsnog - door de WOB of door haar eigen openbaarmakingsbeleid- op straat komen te liggen, met de nodige publicitaire gevolgen. Dat is niet prettig.

Geen logica
De logica achter de verplichte meldingen is bovendien nog wel eens ver te zoeken. Zo moeten ondernemingen bijvoorbeeld post die zij geopend retourgezonden krijgen melden als lek. Pensioenoverzichten, bankafschriften en medische post zoals een rekening van een specialist die verkeerd zijn bezorgd. Mij dunkt dat als de verkeerde ontvanger criminele bedoelingen zou hebben, hij die post natuurlijk niet retour had gezonden! Oftewel, de maatregel draagt niet bij aan voorkomen van misbruik, maar vraagt wel dagelijks tijd en middelen van bedrijven.

Prikkels wegnemen
Is niet melden dan maar de oplossing? Nee, natuurlijk niet. Maar laten we dan wel zoeken naar oplossingen die negatieve prikkels wegnemen. Laat de politie van het aanpakken van cybercrime topprioriteit maakt. Of bijvoorbeeld een just culture zoals die in de vliegwereld piloten en luchtverkeersleiders juist stimuleert om fouten te delen met als doel ervan te leren: niet gericht op straf, maar op hulp en lerend effect. En denk aan een expliciete uitzondering van de WOB zoals dat is geregeld in het wetsvoorstel meldplicht cyberbreaches. Of aan een periodieke bulkmelding van verkeerd bezorgde post in plaats van het dagelijks invullen van een AP meldingsformulier. Daar hebben bedrijven tenminste wat aan.

 

David de Nood

secretaris ict en privacy