Automatiseerder steunt meldplicht datalekken
Gepubliceerd: Maandag 29 september 2008
Auteur: Tom Sanders
Bedrijven zijn slecht voorbereid op datalekken en klanten worden vaak niet ingelicht, blijkt uit Engels onderzoek. Een meldplicht moet daar verandering in brengen.
Zo'n 57 procent van de organisaties heeft geen inzicht in de gevolgen van een beveiligingslek waarbij vertrouwelijke gegevens worden gestolen. In de praktijk worden klanten daarom in slechts 40 procent van de gevallen ingelicht. Dat blijkt uit een onderzoek onder 300 Engelse IT managers, chief technology officers (CTO's) en beveiligingsmanagers in zowel de publieke als private sector. Het onderzoek is uitgevoerd in opdracht van automatiseerder Logica en de e-Media Group.
Het grootste probleem is dat 84 procent van de organisaties zijn data niet in kaart heeft gebracht, zo toont het onderzoek aan. Omdat firma's het risicoprofiel van hun gegevens niet kennen, kunnen zij ook niet besluiten welke beveiligingsmaatregelen zij moeten nemen om die gegevens naar behoren te beschermen.
De conclusie van Logica is dan ook snoerhard: "Het is evident dat het risico [van datalekken] nog altijd niet wordt aangepakt."
Tijd voor regelgeving
"Sommige organisaties laten het na om beveiligingslekken te melden. Deze inschikkelijke houding vergroot niet alleen het risico op financiële en reputatieschade van een organisatie, maar benadrukt ook de tekortkomingen in het beveiligingsbeleid en -protocollen van bedrijven in het Verenigd Koninkrijk. Het is tijd om actie te ondernemen: alle organisaties zouden verplicht moeten worden om belangrijke lekken van persoonlijke gegevens te melden aan de Information Commissioner of reguleringsinstantie," zegt Tim Best, director voor enterprise security solutions voor Logica. De Information Commissioner is een soort onafhankelijke toezichthouder op de privacy in Engeland.
"Alleen door een meldplicht kan de omvang van het probleem duidelijk maken, en zal leiden tot een werkbare oplossing leiden."
Lopende discussie
In tegenstelling tot grote delen van de Verenigde Staten, kent Europa geen algemene meldplicht bij informatielekken. Een mogelijke meldplicht staat wel op de politieke agenda in zowel Nederland als Engeland en de Europese Unie.
Bedrijven zouden daarbij verplicht worden om lekken van vertrouwelijke gegevens openbaar te maken. De verwachting is dat bedrijven hun beveiliging beter zullen regelen om schade aan hun reputatie te voorkomen. Zo wordt het recente faillissement van Tell Sell mede gewijt aan een lek van klantgegevens uit 2007.
