Melden cybercrime juiste om te doen voor bedrijf – niet alleen moreel gezien

Aldo Verbruggen van advocatenkantoor Jones Day adviseert bedrijven om geen melding te doen van cybercrime. Hij doet dat in een interview met Het Financieele Dagblad van 24 oktober. Verbruggen wijst terecht op de beperkingen van het strafrecht bij de aanpak van cybercrime en de effectiviteit van meldplichten. Dit is zeker relevant gezien de stapeling van meldplichten waarmee bedrijven dreigen te worden geconfronteerd. Maar het interview lijkt ook te suggereren dat de wettelijk verplichte melding van datalekken onderwerp gemaakt kan worden van een ‘interne belangenafweging’. Naar mijn mening is dit gevaarlijk voor zowel bedrijf als consument. En wel om drie redenen.

Ten eerste. Met de meldplicht datalekken en de mogelijkheid om boetes uit te delen heeft de Autoriteit Persoonsgegevens een krachtig middel gekregen. Verbruggen zegt niet onder de indruk te zijn van de maximale boete van € 820.000 en weet dat zijn cliënten intern de afweging hebben gemaakt om niet te melden. Ik vraag mij daarbij af of bedrijven zich ervan bewust zijn dat speciaal voor ondernemingen die opzettelijk de Wet bescherming persoonsgegevens overtreden (lees: niet melden), en op wie een bedrag van € 820.000 geen indruk maakt, er een boetecategorie tot 10% van de jaaromzet in het leven is geroepen.

Ten tweede. Verbruggen geeft aan dat het melden van een lek tot ernstige reputatieschade kan leiden. Maar naar mijn smaak levert het niet melden van een datalek pas écht onoverzienbare reputatieschade op. Uiteindelijk is elk bedrijf te hacken. De reputatieschade zit hem dan ook niet zozeer in het feit dat een bedrijf gehackt wordt, maar veeleer in hoe een bedrijf vervolgens met de hack omgaat. Zoals ook uit de recente Yahoo casus blijkt — waar het datalek na 2 jaar alsnog onthuld werd — komt er altijd een dag waarop het datalek toch bekend wordt. De voorbeelden van datasets die online geplaatst zijn door hackers zijn legio.

Het niet transparant zijn als bedrijf leidt dan juist tot extra wantrouwen bij consumenten, politiek en toezichthouder. Daarnaast is het niet melden van een datalek aantrekkelijk voor de media en groter nieuws dan een datalek op zich. In het geval van Yahoo brengt het zelfs de overname door Verizon in gevaar. Immers, welke lijken zouden zich nog meer in de kast bevinden en hoe groot gaan de claims van gedupeerde consumenten zijn?

En dit brengt mij bij het derde en belangrijkste gevaar. Bij het lekken van persoonsgegevens is het essentieel dat de consument snel geïnformeerd wordt, zodat deze de schade van het lekken zelf kan beperken (bijvoorbeeld door zijn wachtwoorden te wijzigen of beter te letten op verdachte transacties).

Wanneer een bedrijf bewust het lekken van persoonsgegevens onder de pet houdt, dan ontneemt het daarmee consumenten de mogelijkheid zichzelf te beschermen. Dergelijk gedrag zal niet meer goed te praten zijn. In de ogen van consumenten, politici en toezichthouders wordt een bedrijf dan snel gezien als een onbetrouwbare partij. Hiermee is de schade vele malen ingrijpender dan de mogelijke aandacht door een datalek.

Om deze redenen zou ik bedrijven die wettelijk moeten melden sterk aanraden dit ook te doen, juist om reputatieschade in de toekomst te voorkomen. Wanneer het bedrijf nog de controle heeft over de eigen boodschap en de afzender van die boodschap, kan het de schade beperken. Het nemen van verantwoordelijkheid voor je fouten als bedrijf is niet alleen moreel gezien het juiste om te doen, het geeft je controle over de situatie en de communicatie. Dit levert op korte en langere termijn een win-win situatie op voor bedrijven.

Op korte termijn kunnen zij de omvang van een incident inperken. Op de langere termijn versterkt dit alleen maar het vertrouwen van de consument en de toezichthouder in de onderneming.

Mr. dr. Bart Schermer is universitair hoofddocent privacyrecht in Leiden en partner bij juridisch en public affairs advieskantoor Considerati.

Bron: FD