58% van de IT-managers kent meldplicht datalekken niet

Over iets meer dan twee maanden gaat de meldplicht datalekken in die organisaties verplicht om datalekken direct te melden, op straffe van hoge boetes. Een ruime meerderheid van de IT-managers die betrokken zijn bij het IT-beleid is echter niet op de hoogte is van de invoering van de meldplicht.

Dit blijkt uit onderzoek in opdracht van Sophos. In het onderzoek geeft 58 procent van de 262 ondervraagde IT’ers die bij overheid, in zorg, onderwijs en vervoer en bij financiële instellingen verantwoordelijk zijn voor de IT aan dat ze niet op de hoogte zijn van de meldplicht datalekken. Van de overige 42 procent zegt 49 procent via het eigen netwerk en 37 procent via de media geïnformeerd te zijn. Volgens IT-beveiliger Sophos zou de overheid een veel prominentere rol moeten spelen bij het informeren van instellingen en bedrijven over de meldplicht datalekken.

‘IT-afdeling moet het voortouw nemen’
29 procent van de organisaties die de meldplicht kennen heeft actie ondernomen. 44 procent is van plan dit nog te doen, 15 procent heeft geen plannen en 13 procent weet niet wat de plannen van de organisatie zijn. De afdeling IT moet het voortouw nemen bij eventuele acties, zegt een derde (35 procent) van de organisaties die de meldplicht kennen. Een kwart (26 procent) vindt dat de bal bij het managementteam of de bestuurders ligt, terwijl een kleiner percentage een speciaal projectteam (11 procent) of de juridische afdeling (10 procent) noemt.

Met ingang van 1 januari 2016 zijn bedrijven, instellingen en overheden in Nederland verplicht om inbreuken op de IT-beveiliging te melden bij het College bescherming persoonsgegevens (CBP), die vanaf volgend jaar ‘Autoriteit Persoonsgegevens’ heet. De meldplicht datalekken is een uitbreiding van de Wet bescherming persoonsgegevens (Wbp). Boetes voor het niet naleven van de meldplicht kunnen oplopen tot 810.000 euro of 10 procent van de jaaromzet.

Een taak van de overheid
Pieter Lacroix, managing director van Sophos Nederland: “Wij merken dat veel organisaties de nieuwe richtlijn niet kennen. Ze schrikken wel als ze van ons horen wat de meldplicht inhoudt en wat de consequenties kunnen zijn van het niet naleven van de regels. Het verbaast me dat er niet veel meer aandacht aan besteed wordt. De overheid moet hier volgens mij veel meer ruchtbaarheid aan geven. Richting consumenten die meer rechten krijgen, maar ook richting Nederlandse bedrijven en instellingen die serieus aan de slag moeten met beveiliging en versleuteling van gegevens. Een eventuele sanctie kan namelijk het voortbestaan van een organisatie in gevaar brengen.”

Uit het onderzoek in opdracht van Sophos blijkt wel dat ruim de helft van de ondervraagden gegevensbeveiliging één van de belangrijkste onderwerpen vindt voor het IT beleid. Vooral de toename van het aantal inbreuken op de bescherming van persoonsgegevens en de aanscherping van de EU-privacyrichtlijnen zijn hiervoor aanleiding. Volgend jaar wordt naar verwachting ook de nieuwe Europese privacyrichtlijn (GDPR) van kracht.