CBP wil forse boete voor privacylekken

Wie niet horen wil, moet maar voelen. Alleen een forse boete en publicatieplicht voor beveiligingsincidenten zorgt ervoor dat organisaties hun klantgegevens beter gaan afschermen. Het College Bescherming Persoongegevens vindt het tijd voor sancties.

Aanleiding zijn de diverse lekken in adressenbestanden afgelopen dagen zoals bij telecombedrijf KPN en bierbrouwer Bavaria. Volgens deskundigen moet de overheid veel harder ingrijpen bij bedrijven als KPN die gegevens van burgers onvoldoende beveiligen. Een boete van honderd euro per consument van wie de persoonsgegevens gelekt zijn zal bedrijven miljoenen euro's kosten en hun dwingen klantgegevens beter te beschermen.

Er zijn volgens het CBP diverse Europese richtlijnen in de maak die de overheid meer mogelijkheden voor dit soort sancties geven. Zo is er een wet in de maak die internetbedrijven verplicht om lekken van persoonsgegevens te melden. In de nieuwe regelgeving is ook sprake van boetes van rond de 2 ton euro. In de voorstellen wordt ook de mogelijkheid tot zwaardere boetes ingebouwd met een groter afschrikwekkend effect. Deze bedragen lopen in de miljoenen euro's of zijn gerelateerd aan de jaaromzet van concerns die hun beveiliging niet op orde hebben.

Onder de pet
Nu worden beveiligingsincidenten waarbij klantgegevens buitgemaakt worden alleen bij een meldpunt aangegeven, waardoor het grote publiek er geen weet van krijgt. Het CBP heeft het afgelopen jaar vijftien meldingen gehad van organisaties die aangaven dat persoonsgegevens gelekt waren. Deze bedrijven hebben vervolgens een brief gekregen met de sommatie om adequate maatregelen te nemen. De succesvolle inbraakpogingen bij KPN en Bavaria belandden in het nieuws en zorgden voor grote ophef.

KPN heeft in de persoon van de nieuwe directeur KPN Nederland Joost Farwerck beterschap beloofd. “Een deel van de versnelde investeringen die zijn aangekondigd, zal met voorrang in onze IT-systemen worden gedaan”, meldde hij in een persbericht. “Een aantal verbeteringen is in de afgelopen weken al doorgevoerd. Niet alleen in security maar ook in modernisering van de systemen zelf. Daarnaast zullen we op korte termijn een aantal wijzigingen in de besturing van de IT-organisatie doorvoeren, om de kwaliteit en effectiviteit te vergroten. De afgelopen weken hebben de noodzaak daartoe nog eens onmiskenbaar duidelijk gemaakt. Om de dienstverlening aan klanten verder te verbeteren zal het KPN Webcare team in maart worden uitgebreid.”

KPN geeft fouten in de beveiliging ruiterlijk toe. Diverse experts hebben in hun analyse van de digitale inbraak gesuggereerd dat KPN met verouderde websystemen die niet regelmatig van updates werden voorzien. “Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel”, stelt Farwerck. “Dat gezegd hebbende, door onderzoek in de afgelopen weken hebben we gezien dat het onderhoud aan aan internet gekoppelde IT-systemen niet steeds optimaal is geweest. En daar trekken we lessen uit om de dienstverlening voor onze klanten beter en veiliger te maken.”