De AP publiceerde woensdag een rapportage waaruit blijkt dat er in 2023 25.694 meldingen waren van datalekken. De privacywaakhond noemt dit zorgwekkend.

Arnoud Engelfriet, ICT-jurist en directeur van ICTRecht, vindt dat de AP bedrijven meer zou kunnen stimuleren om datalekken te melden. Bedrijven zijn daartoe wettelijk verplicht, maar volgens hem wordt een meldende organisatie te vaak als schuldige behandeld. „Melders worden aangepakt als een crimineel. De AP spreekt bedrijven aan op hun gebrek aan beveiliging, dringen aan op verandering en kijken of er een boete kan worden uitgedeeld. Ondertussen komen concurrenten die niets melden ermee weg.”

Engelfriet pleit voor een positievere benadering van organisaties die datalekken melden. „Organisaties die níet melden, moeten strenger aangepakt worden.”

Hij krijgt bijval van cyberexpert Dave Maasland van ESET Nederland, die aangeeft dat veel bedrijven nog altijd last hebben van „cyberschaamte”. „Bedrijven durven niet te melden, omdat ze bang zijn voor wat er op hen afkomt en hoe mensen zullen reageren”, zegt hij.

Volgens Maasland moet de AP daarom over op een daderaanpak, waarbij een „veilige cultuur voor de melders wordt gecreëerd”. „Maar er zijn ook bedrijven die willens en wetens datalekken onder het tapijt vegen. In die gevallen mag de AP hard optreden.”

Een onderliggend probleem is volgens Maasland en Engelfriet dat bedrijven de waarde van gegevens nog altijd onderschatten. „In veel gevallen gaat het om slordigheidjes”, zegt Engelfriet. Maar veel bedrijven gaan nonchalant om met data. „Ze zien data niet als iets waardevols. Daardoor worden datalekken gezien als een klein ongelukje, zoals het omstoten van een kop koffie. Terwijl: data is voor bedrijven wat horloges voor een juwelier zijn.”

Ook Maasland benadrukt de risico’s van dit soort lekken. Criminelen worden dankzij gelekte gegevens geloofwaardiger als ze mensen online willen oplichten. „Cybercrime wordt daardoor een goed verdienmodel voor criminelen. Dat raakt ons uiteindelijk allemaal.”