Een datalek moet in Nederland binnen 72 uur zijn gemeld

Wie in Nederland een datalek constateert moet daarvan binnen 72 uur melding maken. Die regel geldt voor elke type organisatie. Dat klinkt kort, maar in Amerika gaat voor een type data 36 uur, de helft dus, gelden

72 uur en geen discussie

Amerika-CongresDe Autoriteit Persoonsgegevens legt het helder uit op de website. Een datalek moet worden gemeld en wel binnen 72 uur. Door de uren vast te leggen voorkomt men discussies over de vraag of het alleen geldt voor werkdagen en wat de status van erkende feestdagen is. Een dergelijke discussie is in het verleden een paar keer gestart, maar de toezichthouder is daar nooit in mee gegaan. Die stugge houding is goed. Iedereen weet waar hij aan toe is. In de boetebesluiten die de AP heeft gepubliceerd staat ook elke keer te lezen of een partij tijdig, te laat of helemaal niet heeft gemeld. In die twee laatste gevallen kan dat leiden tot het naar boven afronden van de boete. Iedere specialist die organisaties bijstaat in het geval van een datalek zal daarom aansturen op het tijdig melden.

Ransomware

Toen die 3x 24 uur werd ingesteld zag de wereld er nog iets anders uit. Bij datalekken dachten overheid en toezichthouder eerder aan een verloren laptop of verkeerd beveiligde server. De omvang van ransomware was veel geringer. In 2021 is ransomware helaas alom aanwezig. De schade die dat veroorzaakt is bekend. Hopelijk weet de lezer ook dat een ransomware besmetting als datalek gemeld moet worden. De situatie die door ransomware kan ontstaan is anders dan toen de meldplicht datalekken werd ingevoerd. Dat geldt in ieder geval voor in Nederland, de EU en Amerika. We weten inmiddels ook dat de cybercriminelen die ransomware aanvallen uitvoeren ook heel snel tot het gedeeltelijk publiceren van de buit over gaan. Daarmee willen ze de slachtoffers verder onder druk zetten. Consequentie van die afpersing is dat de data van slachtoffers veel sneller misbruikt kan en zal worden dan voorheen het geval is.

72 uur te lang

Dat gaat niet voor alle data op, of bij elk type aanval. De ervaring leert dat vooral data nodig voor e-commerce snel online wordt gezet en vervolgens misbruikt. Een meldplicht van 72 uur is voor dat soort data te lang. De Amerikaanse toezichthouders voor het bankwezen (vergelijkbaar met de AFM en DNB) hebben daarom in april van dit jaar al gehint op het inkorten van de termijn om “financiële” datalekken te melden. Nu zes maanden later is die hint omgezet in wetgeving. Dat is dus heel snel gegaan. Amerikaanse banken en verzekeraars moeten per volgend jaar binnen 36 uur melden.

Meldplicht: er is meer dan privacy

Weet daarbij dat deze instellingen maar minimaal geprotesteerd hebben tegen deze forse aanscherping. Zij hebben de afweging gemaakt dat de meerkosten van snel kunnen rapporteren opwegen tegen de kans op claims en boetes als te laat wordt gemeld. De Amerikaanse regel is ook niet bedoeld om de privacy van burgers te beschermen. Dit is er alleen maar te zorgen dat minder bankrekeningen worden geplunderd. De boodschap die Washington afgeeft is dat er meer in het geding bij ransomware dan privacy. Dat wordt hier nog wel eens vergeten, maar wie weet komen de Europese toezichthouders voor het betaalverkeer ook tot conclusie dat een aparte meldplicht nodig is.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein