Nederlandse bedrijven en overheden krijgen een meldplicht voor datalekken. Ook moeten zij het melden als zij misbruik van privégegevens hebben geconstateerd. Dat blijkt uit het donderdagmiddag gepresenteerde regeerakkoord. Als de meldplicht niet wordt nageleefd, mag de toezichthouder boetes uitdelen (bron).
Veel beveiligingsincidenten die we voorbij zien komen, komen uit Amerika of Engeland. Niet omdat daar zoveel meer gebeurt maar omdat dergelijke incidenten daar openbaar gemaakt moeten worden. Deze verplichting was er in Nederland nog niet, waardoor een berg incidenten in de afgelopen jaren onder de pet zijn gehouden. Met het nieuwe regeerakkoord lijkt zo’n verplichting er nu ook voor Nederland te komen.
Juich niet te vroeg want alles moet eerst nog uitgewerkt, goedgekeurd en ingeregeld worden. Maar we lijken een stap in de goede richting te zetten. Ja, klopt, ik ben er voorstander van. Ik hoef zeker niet alle details te weten maar hoor graag als mijn gegevens mogelijk zijn gecompromitteerd.
Hopelijk krijgt informatiebeveiliging hiermee ook meer de aandacht die het verdient. De Security Managers krijgen het een stuk drukker maar krijgen wellicht ook een luisterend oor bij het (top)management. Doen we het als organisatie niet goed dan komen we negatief in het nieuws, imagoschade is iets waar het management wel ontvankelijk voor is.
En voor dat we allerlei doemscenario’s gaan verkondigen. Dit legt ons als beveiligingsexperts ook een verplichting op, namelijk om professioneel advies te geven waarbij we reële risico’s en verwachtingen moeten toe passen.
Waarschijnlijk gaan we dezelfde weg in als met “compliance”. Eerst zorgen we dat we “security compliant” zijn (beter bekend als het afvinken van vinklijstjes) waarna we meer en meer zullen groeien naar “in control” zijn. Voor wat betreft compliance verlaten we nu zo’n beetje de eerste fase en gaan we toe naar beheersing, beveiliging zal daar achteraan lopen en het zal nog even duren voordat we de volgende fase bereiken. Maar ik ben positief gestemd, “in control” op het gebied van beveiliging, security management zoals het ooit bedoeld was, een professionalisering van het vakgebied.
De vlag hangt uit, een mijlpaal op beveiligingsgebied (voor de datalekken tenminste).