Odido, Booking.com, Basic-Fit, Canvas: het lijkt alsof het aantal hacks explosief toeneemt. Maar advocaat en hoogleraar Gerrit-Jan Zwenne nuanceert dat beeld. ‘Een belangrijke reden dat we er nu zoveel over horen, is niet per se dat er meer wordt gehackt, maar dat de meldplicht zijn werk doet,’ zegt Zwenne. Bedrijven moeten een lek binnen 72 uur melden bij de toezichthouder en vaak ook bij de gedupeerde klanten. Waar hacks vroeger nog wel eens uit de publiciteit werden gehouden, is dat volgens Zwenne nu veel minder het geval, omdat niet melden op zichzelf al een overtreding is waar flinke boetes op staan.

Onvoorspelbaar

Bovendien kan de overheid nooit exact voorschrijven hoe een bedrijf zich moet beveiligen. Zwenne: 'De wet werkt met vage, open normen zoals "passende technische en organisatorische beveiligingsmaatregelen".' Dat is volgens hem een bewuste keuze. 'Je kunt niet op voorhand bedenken wat er in de toekomst nodig is.' Daarnaast is de menselijke factor onvoorspelbaar, zegt Zwenne. Geen wet kan voorkomen dat een medewerker per ongeluk een e-mail naar de verkeerde persoon stuurt of op een verkeerde link klikt.

Wetgeving werkt averechts

Wetgeving schiet dus tekort in het voorkomen van lekken en is er soms zelfs de oorzaak van dat er zoveel gegevens worden verzameld. Een grote frustratie voor veel burgers is dat bedrijven erg vaak om persoonsgegevens vragen, zoals een kopie van het paspoort. Terwijl de privacywet (AVG) vraagt om zo min mogelijk data te verzamelen, dwingen andere wetten bedrijven juist om klanten zorgvuldig te identificeren, legt Zwenne uit.

Als voorbeeld noemt hij telecomproviders die een nieuwe klant aannemen. 'Wanneer je een abonnement met een "gratis" telefoon afsluit, wordt dat gezien als kredietverlening, zo heeft de Hoge Raad besloten. Een provider als Odido moet daardoor aan strenge regels voldoen om te voorkomen dat mensen te veel schulden maken.' Ook financiële instellingen hebben te maken met strengere regels van anti-witwaswetgeving. 'ING kreeg een boete van bijna 100 miljoen euro omdat zij onvoldoende maatregelen hadden genomen om witwassen tegen te gaan.' Ook andere grote banken kregen vergelijkbare boetes, aldus Zwenne. Daarom verzamelen banken mogelijk liever te veel dan te weinig gegevens om aan die plichten te voldoen.

Massaclaims

Wat kun je zelf doen als het misgaat met jouw gegevens? Voor een individuele burger is het nagenoeg onmogelijk om een juridische strijd aan te gaan met grote bedrijven na een datalek. Dergelijke procedures zijn complex en tijdrovend. Daarnaast kunnen grote bedrijven teams van dure advocaten inzetten om het een individu juridisch zeer moeilijk te maken. Massaclaims (collectieve acties) lossen dit probleem op, zegt Zwenne, die zelf verschillende claimstichtingen bijstaat in collectieve acties. 'Waarom is zo een collectieve actie nuttig en nodig? Omdat je dan een gelijk speelveld creëert. Een kapitaalkrachtige claimstichting kan het wel opnemen tegen grote ondernemingen, ook als de procedure jaren gaat duren. Als individu kun je dat niet alleen.'

Volgens de hoogleraar gaat er van massaclaims een preventieve werking uit die bedrijven dwingt om hun digitale beveiliging serieuzer te nemen. ‘De dreiging van een grootschalige claim draagt bij aan een betere bewustwording bij bedrijven. Cybersecurity is een essentieel onderdeel van de normale bedrijfsvoering. Je moet als ondernemer ervan doordrongen zijn dat dit gewoon bij verantwoord ondernemen hoort.’ Volgens Zwenne hoort dat net zo vanzelfsprekend bij goed ondernemerschap als een sluitende boekhouding.

• cyberveiligheid
• privacy

Delen op Facebook Delen via Bluesky Delen op LinkedIn Delen via WhatsApp Delen via Mastodon Mail de redactie