De afgelopen tijd zijn cyberaanvallen steeds vaker een probleem geworden. De storing in de beveiligingssoftware van Schiphol in juli 2024, de datalekken in de medische wereld en het incident van 12 januari op de Technische Universiteit in Eindhoven zijn prangende voorbeelden. Wat deze gevallen gemeen hebben is dat gegevens op grote schaal werden onderschept, omdat de instellingen onvoldoende voorbereid waren op een cyberaanval maar al wel te maken hadden met grote aantallen gegevens. Dit artikel verkent beknopt het huidige antwoord tegen de cyberaanvallen op persoonlijke gegevens.
Privacy is een recht dat verankerd is in de Grondwet en altijd een belangrijk onderdeel heeft gevormd van onze maatschappij, met name in de afgelopen jaren in steeds toenemende mate. Computervredebreuk, ook wel hacken genoemd, is strafbaar gesteld in artikel 138ab van het Wetboek van Strafrecht: “Strafbaar is het opzettelijk en wederrechtelijk binnendringen van een geautomatiseerd werk of een deel daarvan’’. Toch kunnen organisaties er baat bij hebben dat een hacker de code van hun websites kraakt, zodat incidenten in het vervolg wellicht kunnen worden voorkomen.
Bescherming van het recht
Het grote aantal gebruikers maakt het lastig om bescherming te bieden aan websites die vragen om persoonsgegevens, zeker gezien de voortdurende digitalisering van de maatschappij. Zoals wij vaak aan het verkeer deelnemen en gebruik maken van platformen zoals DigiD, zijn hackers aan de andere kant bezig om misbruik te maken van je identiteitsgegevens. Hierdoor is de bescherming van persoonlijke gegevens steeds belangrijker geworden. De wetgever zal via organisaties en grotere bedrijven bescherming moeten faciliteren door de ruimte te verschaffen om te innoveren. Tegelijkertijd moet zij ook strikte regels bieden om de privacy van burgers te waarborgen. In Nederland is de bescherming van persoonsgegevens vastgelegd in de Algemene Verordening Gegevensbescherming (AVG), die bedrijven en organisaties verplicht om zorgvuldiger om te gaan met persoonlijke data. Toch komt het regelmatig voor dat bedrijven onvoldoende beveiligingsmaatregelen nemen, wat leidt tot datalekken. Dit roept de vraag op hoe ver de verantwoordelijkheid van bedrijven moet reiken. Sommigen pleiten ervoor om de juridische aansprakelijkheid voor datalekken te beperken, vooral gezien de snelheid waarmee technologie zich ontwikkelt en de complexiteit van het beschermen van data. Anderen stellen dat bedrijven altijd verantwoordelijk moeten blijven, ongeacht de technologische uitdagingen, aangezien de privacy van individuen absoluut beschermd moet worden.
Inbreuk op het recht
Aan de andere kant zijn datalekken in de afgelopen jaren steeds impactvoller geworden, vooral door de snelle technologische vooruitgang en de toegenomen digitalisering van persoonsgegevens. Met de groei van het internet en de afhankelijkheid van digitale systemen, wordt steeds meer persoonlijke informatie verzameld door bedrijven, overheden en andere instanties. Dit brengt echter ook de nodige risico’s met zich mee, aangezien persoonsgegevens niet altijd veilig worden bewaard en daardoor blootgesteld kunnen worden aan misbruik. Datalekken, waarbij gevoelige informatie in verkeerde handen valt, hebben, zoals vaker geleid tot verontwaardiging.
Organisaties zijn dus druk bezig om het aantal data-onderscheppingen te verminderen. In Nederland zijn er daarom meerdere belangrijke instituten die hackers aansporen om die afname te bewerkstelligen. Onder andere op de universiteiten, hogescholen en banken maakt het openbaar bestuur grote organisaties en bedrijven verantwoordelijk voor het aansporen van ethische hackers.
Gevolg
Je zult als organisatie niet alleen moeten voldoen aan de regels, maar ook actief moeten bijdragen aan de bescherming van gegevens. Dit laatste zullen de meeste bedrijven nog in onvoldoende mate doen. Vaak ben je genoodzaakt om kosten te maken en ontstaat door de tweeledige manier van handelen in de situaties een tekort aan gepaste bescherming. Zolang er namelijk nog onvoldoende ethische hackers bijdragen aan het onthullen van een datalek, zal het voldoen aan de regels voor verwerking van persoonsgegevens, op zichzelf nooit voldoende zijn om cyberaanvallen tegen te gaan. Bedrijven zoals pensioenuitvoerder APG en de centrale bank, DNB bieden de hackers hierdoor extra faciliteiten om hun systemen binnen te komen, vaak in de vorm van een vergoeding. Andere organisaties, zoals de UvA en vermogensbeheerder Nationale-Nederlanden organiseren hack-evenementen waarin prijzen te winnen zijn.
Er is dan ook een continue zoektocht naar een evenwicht tussen de bescherming van persoonsgegevens en de flexibiliteit die bedrijven nodig hebben om zich te ontwikkelen in een snel veranderende digitale wereld. Strengere wetgeving kan helpen om datalekken te voorkomen, maar tegelijkertijd kan te rigide regelgeving de innovatie remmen. Het is dus essentieel om een balans te vinden tussen privacybescherming en technologische vooruitgang, waarbij bedrijven zowel hun verantwoordelijkheid nemen voor de veiligheid van data als de ruimte krijgen om nieuwe technologieën te ontwikkelen.
Conclusie
Er ontstaat steeds meer gezamenlijke verantwoordelijkheid voor organisaties om niet alleen te voldoen aan de wetgeving rondom gegevensbescherming, maar ook actief bij te dragen aan de beveiliging van persoonsgegevens.
In al deze sectoren komt namelijk een duidelijk plan naar voren: het positief benaderen van hackers om privacy te beschermen door actief zwakke plekken te signaleren. De huidige aanpak, waarbij ethische hackers worden ingezet om zwakke plekken te ontdekken, lijkt de beste oplossing voor de toekomst. Dit stelt bedrijven in staat om vroegtijdig kwetsbaarheden op te sporen en deze snel te verhelpen. Hierdoor kunnen incidenten, zoals die recentelijk plaatsvonden, sneller en efficiënter worden opgelost. Hoe meer bedrijven ethische hackers inschakelen, des te bewuster zij zich worden van de zwaktes in hun beveiliging. Dit draagt bij aan een steeds veiliger digitaal landschap, waar zowel privacy wordt beschermd als de technologie zich verder kan ontwikkelen. Er blijft echter een voortdurende zoektocht naar de juiste balans tussen het beschermen van persoonsgegevens en het bieden van ruimte voor technologische vooruitgang.
Bronnen:
https://www.cbs.nl/nl-nl/nieuws/2024/50/bijna-10-duizend-meldingen-van-een-datalek
https://student.uva.nl/artikelen/2023-doe-mee-met-halon-hack-een-universiteit-of-hogeschool