Bedrijven die slachtoffer zijn geworden van een digitaal misdrijf, kiezen er vaak om goede redenen voor het incident binnenskamers op te lossen. Dat zegt Aldo Verbruggen, partner bij het internationaal opererende advocatenkantoor Jones Day in een gesprek met het FD. Het doen van aangifte of voldoen aan de wettelijke verplichting het verlies aan persoonsgegevens te melden, kan tot grote materiële schade leiden. Bovendien is door het grensoverschrijdende karakter van cybercrime de kans op vervolging en veroordeling minimaal.
Verbruggen informeert bedrijven die zijn diensten inroepen dan ook nadrukkelijk over de nadelen van het doen van een melding. ‘De overheid kan mij niet duidelijk maken wat het mijn cliënten brengt om zaken aan te kaarten met het gevaar dat ze in de openbaarheid komen. De redenering blijft steken in de formulering dat het bijdraagt aan het algemeen belang. Ik betwijfel dat zeer. Recht en justitie lopen hopeloos achter op techniek.’Volgens Verbruggen, ex-officier van justitie, is het voor bedrijven in veel gevallen lonend het risico te lopen mogelijk later betrapt te worden en de eventuele boete te betalen.
Haaks op de wet
Met deze opstelling gaan bedrijven lijnrecht in tegen de wet Datalekken die sinds januari van dit jaar bedrijven verplicht om een hack of digitale aanval te melden bij de Autoriteit Persoonsgegevens. Verbruggen denkt dat steeds meer bedrijven het melden achterwege zullen laten: ‘Ik voorspel dat de verplichting tot melden op substantiële schaal niet gaat worden nageleefd.’
Hij baseert zich onder meer op ervaringen uit landen waar al langer een meldplicht bestaat. Ter ondersteuning van zijn voorspelling noemt Verbruggen voorbeelden van cyberincidenten die pas na vele jaren in de openbaarheid komen. ‘Een van de grootste computerinbraken uit de geschiedenis vond plaats bij Yahoo. Dat kwam onlangs naar buiten, maar de hack met datalek dateert uit 2014. Dit voorbeeld zegt genoeg, lijkt me.’
‘Verontrustend signaal’
De Autoriteit Persoonsgegevens, die toezicht houdt op het gebruik van persoonsgegevens door organisaties, noemt de uitspraken van Verbruggen ‘een zeer verontrustend signaal’. Deze maand maakte de toezichthouder bekend bijna 4000 meldingen te hebben gekregen. De Autoriteit noemt dit aantal ‘bemoedigend’, maar geeft toe dat het nog gering is, aangezien Nederland 130.000 organisaties telt die op de een of andere manier met privacygevoelige informatie werken.De Autoriteit Persoonsgegevens kan niet zeggen of bedrijven niet melden uit onbekendheid met de verplichting, of dat er sprake is van een weloverwogen keuze.Naar aanleiding van de meldingen die tot nu zijn gedaan, is de toezichthouder tientallen onderzoeken gestart waar hoogstwaarschijnlijk ook boetes uit zullen voortkomen.
Bron: FD 24-10-2016