Advocatenkantoren zijn gemiddeld genomen het snelst als het gaat om het melden van een datalek. Dat blijkt uit onderzoek van het Britse pentestbureau Redscan. Gemiddeld melden deze organisaties een lek binnen 10 dagen.
Geen keuze
In Nederland hebben organisaties sinds de invoering van de meldplicht datalekken in 2016 geen keuze: (vermoedelijk) ernstige datalekken waarbij de persoonlijke levenssfeer van betrokken mogelijk is aangetast, moeten zij binnen 72 uur melden bij de handhavende macht. Wie dat nalaat, riskeert een boete of moet met een hele goede reden voor de vertraging komen. In de rest van Europa gold deze verplichting vanaf de invoering van de AVG / GDPR.
21 dagen
Toch houden nog lang niet alle organisaties zich aan deze regel. De gemiddelde onderneming deed er volgens het onderzoek namelijk drie weken (21 dagen) over om een datalek na een cyberaanval te melden. Eén bedrijf maakte het in de onderzochte periode wel heel bont: 1.320 dagen na het datalek werd deze pas gemeld.
Opvallend was ook de dag waarop de meeste datalekmeldingen binnenkwamen. Om media-aandacht te vermijden, kozen organisaties voor het einde van de week: 44% van de meldingen kwam binnen op donderdag of vrijdag. Een kwart van de meldingen werd zelfs op zaterdag gedaan. De hacks die leiden tot een datalek vonden met name op zaterdagmiddag plaats, precies het tijdstip waarop IT-afdelingen onderbezet of geheel niet aanwezig zijn.
Procedures niet op orde
Volgens Mark Nicholls, director cybersecurity bij Redscan, beschikken de meeste bedrijven niet over de vaardigheden, technologie of procedures om datalekken op te sporen wanneer deze zich voordoen, Laat staan dat ze alle procedures op orde hebben om deze op de juiste manier te melden aan de handhavende macht. Dat was al een probleem voor de invoering van de AVG, en daar is inmiddels niet veel aan veranderd.
Topje van de ijsberg
Wat ons betreft is dit nog maar het topje van de ijsberg. Niet duidelijk (en niet meetbaar) is namelijk de hoeveelheid datalekken die in zijn geheel zijn verzwegen. In onze softwareoplossing hebben we alle procedures voor het melden van een datalek kant-en-klaar meegeleverd. Bovendien hebben we op onze website een datalekken-stappenplan gepubliceerd waarin precies staat beschreven wat je moet doen bij datalekken.
Alle berichten