Amper 450 datalekken aangegeven in België

Sinds 25 mei vorig jaar zijn alle bedrijven en overheidsdiensten verplicht datalekken binnen 72 uur aan te geven. Die meldplicht was een onderdeel van de Europese Algemene Verordening Gegevensbescherming, de zogeheten GDPR. De datalekken moeten zowel gemeld worden aan onze privacywaakhond, de Gegevensbeschermingsautoriteit, als aan de mensen wier data zijn gelekt.

Bedrijven die de datalekken stilhouden, riskeren boetes tot 10 miljoen euro of 2 procent van hun wereldwijde omzet als dat meer dan 10 miljoen euro is. De nieuwe regels hebben al heel wat investeringen en maatregelen gevergd van bedrijven en overheidsdiensten.

De voorbije acht maanden zijn bij onze privacytoezichthouder welgeteld 442 datalekken aangegeven. Volgens Willem Debeuckelaere, voorzitter van de Gegevensbeschermingsautoriteit, is dat aantal opvallend laag vergeleken met andere landen. Zo maakte de Nederlandse privacytoezichthouder deze week nog bekend dat er vorig jaar bij onze noorderburen bijna 21.000 datalekken zijn gemeld. Dat waren er dubbel zoveel als het aantal meldingen dat Nederland het jaar voordien nog registreerde.

Verwonderd

In Nederland geldt de meldingsplicht wel al enkele maanden langer dan in ons land, al sinds januari vorig jaar. 47 keer meer meldingen blijft echter een groot verschil. Debeuckelaere: ‘We zijn echt verwonderd dat er zo weinig meldingen zijn. Vroeger was er alleen een verplichting voor lekken in de elektronische communicatiewereld, nu geldt dat voor iedereen. Het is natuurlijk moeilijk te zeggen waaraan dat nu juist ligt, maar we gaan dat grondig analyseren.’

Vorig jaar, in de eerste maanden na de invoering van de GDPR-regels, verschenen in de Belgische pers berichten dat het aantal aangiftes van datalekken explosief was gestegen. En dat klopte ook in vergelijking met het aantal aangiftes voor de invoering van de meldingsplicht. In 2017 kwamen er bij de privacycommissie, de voorganger van de huidige Gegevensbeschermingsautoriteit, een luttele 13 meldingen binnen.

Volgens Debeuckelaere zaten er tussen de 442 datalekken ook maar weinig echt grote lekken van databanken die uren- of maandenlang openstonden. ‘Het gaat vooral over laptops en USB-sticks die verloren zijn gegaan. Er is eigenlijk maar één echte data breach gemeld, die bij Orange. En het telecombedrijf heeft daar zeer snel en accuraat op gereageerd.’ In juni raakte bekend dat bij de telecomoperator Orange de gegevens van zo’n 15.000 klanten waren gelekt. Het lek had zich eind mei voorgedaan, dus kort nadat de meldingsplicht van kracht was gegaan.

Het lijkt weinig waarschijnlijk dat Belgische bedrijven en overheidsdiensten zo veel minder te maken zouden hebben met datalekken dan bedrijven in Nederland. In Nederland kwamen de meeste meldingen uit de gezondheidszorg en de financiële sector. Zo zijn er alleen al duizenden lekken gemeld van medische gegevens en zogeheten ‘burgerservicenummers’, een uniek nummer waarmee de Nederlandse overheid alle data over een burger kan terugvinden.

Besef?

De vraag is of Belgische bedrijven en overheidsdiensten het wel beseffen als hun databestanden zijn gestolen. Deze week pakte het federaal parket nog uit met het sluiten van de illegale marktplaats xDedic. Daar werden meer dan 1.000 gehackte Belgische dataservers te koop aangeboden.

Onze privacywaakhond plant geen specifieke sensibiliseringscampagne over de meldingsplicht. ‘Er is wel nog onduidelijkheid over welke datalekken juist gemeld moeten worden. We kregen ook meldingen van e-mails die aan de verkeerde mensen waren geadresseerd. Maar dat hoeft eigenlijk niet gemeld te worden. Tenzij de mail natuurlijk is verstuurd naar zeer veel ontvangers die daarmee aan de slag kunnen gaan.’

Bron : Financieel Economische Tijd