Geen enkel bedrijf of organisatie kan 100 procent veilig zijn voor datalekken en cyberaanvallen, is de consensus bij het AVG-symposium van PONT | Data & Privacy. Journalisten en media moeten dus gevoeliger omgaan met hoe ze incidenten in het publieke debat plaatsen, zegt advocaat Cees Plaizier.
Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) deden bedrijven en openbare instellingen in Europa aanzienlijke investeringen in interne beleidsmaatregelen voor verantwoord gebruik van persoonsgegevens. Ondanks dat halen berichten over cyberaanvallen wekelijks de krant.
De 'risk-based approach' die de AVG schetst ter bescherming van de privacy van burgers kan aanzienlijk bijdragen aan de cyberveiligheid van organisaties en ernstige gevolgen van kwaadaardige aanvallen voorkomen. Maar de afgelopen jaren werd ook duidelijk dat zelfs de grootste organisaties met de beste IT-specialisten en geavanceerdste beveiligingssoftware kwetsbaar zijn voor de geringste onoplettendheid van bijvoorbeeld een administratief medewerker. 100 procent compliance is dan ook onmogelijk, is de consensus bij het AVG Symposium dat PONT | Data & Privacy organiseerde ter gelegenheid van het vijfjarig bestaan van de AVG. Ongeacht de omvang en middelen van een organisatie.
En zelfs als dat niveau wel bereikt zou worden, zou het niet alle risico's van incidentele of zelfs kwaadaardige datalekken wegnemen. "Iedereen kan getroffen worden", zegt Cees Plaizier, advocaat bij Kennedy Van der Laan.
Illustratief is een voorval bij Nebu en Blauw, respectievelijk een bedrijf dat SaaS aanbiedt voor marktonderzoek en een bedrijf gespecialiseerd in marktanalyses voor grote klanten als Vodafone en NS. Na een datalek veroorzaakt door een externe aanval op de servers van Nebu, verzocht Blauw om onmiddellijke verstrekking van meer informatie over de aanval op basis van informatieverplichtingen in de AVG en de verwerkingsovereenkomst tussen beide partijen. Nebu weigerde aan het verzoek te voldoen, want het vrijgeven van dergelijke informatie zou de eigen bedrijfsgeheimen in gevaar brengen. De voorzieningenrechter in Rotterdam gaf Blauw gelijk (1).
Plaizier stond persoonlijk Blauw bij tijdens het incident en de rechtszaak. "Gevallen als deze leren ons dat het nodig is om de risk-based approach van de AVG te volgen en dus voorbereid te zijn op elke eventualiteit met preventieve maatregelen." Hier benadrukt Plaizier het belang van het beschermen tegen beveiligingskwetsbaarheden in andere delen van de supply chain waarmee bedrijven hun diensten leveren.
Aan de andere kant noemt Plaizier nog een ander sleutelaspect in het beleid van organisaties bij externe cyberaanvallen: de communicatie naar de media en het publiek. "Journalisten en het publiek realiseren zich niet de druk waaraan werknemers worden blootgesteld bij het onderzoeken van een datalek en het is dus heel gemakkelijk om in het oog van de storm te belanden. Er zou meer gevoeligheid moeten zijn, ook van de autoriteiten, over hoe deze incidenten in het publieke debat worden geplaatst." Een waardevol hulpmiddel in dergelijke situaties, volgens Plaizier, is de ondersteuning van PR-bureaus bij het opstellen van communicatiestrategie om reputatieschade te beperken.
Kees Dorresteijn, journalist bij BNR radio en dagvoorzitter tijdens het Symposium, erkent dat reporters soms te veel worden meegesleept door enthousiasme bij het onderzoeken van een cyberaanval. Anderzijds benadrukt hij de centrale rol van de media bij het levendig houden van het publieke debat over kwesties die de belangen van burgers raken, zoals de bescherming van hun gegevens.
"Wij verslaggevers handelen niet te kwader trouw, maar proberen de waarheid zo nauwkeurig mogelijk te reconstrueren. Als we voor een gesloten deur staan, zoals die van Nebu na het incident, kunnen we niets anders doen dan ons houden aan de feiten wanneer we rapporteren aan onze lezers en luisteraars. Dergelijke weigeringen en langdurige stiltes leiden alleen maar tot meer kritiek van het publiek. Er zou ook meer transparantie en eerlijkheid moeten zijn van de getroffen organisaties."
(1) https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Rechtbanken/Rechtbank-Rotterdam/Nieuws/Paginas/Nebu-moet-aan-Blauw-informatie-verstrekken-over-datalekken.aspx;
