De meldplicht datalekken kan een bijdrage leveren aan het beveiligen van securitysystemen. In het Financieele Dagblad van 12 januari jl. waarschuwt ESL-promovendus Bernold Nieuwesteeg echter voor de mogelijkheid dat hoge boetes het risico op ‘ meldingsmoeheid’ kunnen verhogen.
Sinds 1 januari 2016 is het verplicht om gelekte persoonsgegevens te melden bij de toezichthouder. Het controleren van bedrijven is lastig, waardoor de Autoriteit Persoonsgegevens alleen van datalekken hoort als de media hier aandacht aan besteden. Als voorbeeld geeft Nieuwesteeg het bedrijf Uber. Uber heeft geprobeerd om datalekken verborgen te houden, totdat de hele affaire door de media onthuld werd.
De boete voor het verzwijgen van datalekken is nu nog €820.000, voor een bedrijf als Uber niet schrikwekkend hoog. Daarom wordt het boetebedrag vanaf 25 mei 2018 verhoogd: bedrijven kunnen dan een boetes verwachten van 2% van hun wereldwijde omzet of van 10 miljoen Euro.
Wissewasje
Juist door die hoge boetes verwacht Nieuwesteeg dat er een risico ontstaat op ‘meldingsmoeheid.’ Bedrijven zullen hierdoor voor elk wissewasje melding maken bij de toezichthouder en de burger. Het gevolg hiervan is dat belangrijke meldingen niet opgemerkt zullen worden, omdat de Autoriteit Persoonsgegevens naar verwachting overspoeld zal raken door meldingen. Door de hoge boetes kan het voor bedrijven daarnaast minder aantrekkelijk worden om te investeren in securitysystemen.
Bernold Nieuwesteeg stelt daarom voor dat de Autoriteit Persoonsgegevens duidelijker moet maken wanneer een bedrijf wel een melding moet doen, maar ook wanneer dit niet hoeft.
Bron: Financieele Dagblad, 12 januari 2018.