Visie: Boetebeleid en bangmakerij informatieveiligheid werkt averechts

31-08-2015

Visie: Boetebeleid en bangmakerij informatieveiligheid werkt averechts

Ook onlangs werden we weer opgeschrikt door het zoveelste bericht over de dramatische beveiliging van online systemen: "4 jaar na Lektober is Nederland nog steeds lek". De overheid en hun toezichthouders eisen van bedrijven dat ze de privacy van hun gebruikers beschermen. Organisaties kunnen zelfs boetes opgelegd krijgen. Het huidige boetebeleid en de bangmakerij over informatieveiligheid werkt echter juist vooral averechts.

De Wet bescherming persoonsgegevens (Wbp) stelt dat bedrijven die persoonsgegevens van hun gebruikers of klanten opslaan, deze ‘adequaat moeten beveiligen’.  Wie dat niet doet riskeert hoge boetes als het mis gaat. De overheid, het WEF (World Economic Forum) en vele andere organisaties roepen bedrijven en overheden op om serieus aandacht te besteden aan informatieveiligheid en het onderwerp security op de directie-agenda te plaatsen. Je zou verwachten dat dit ondernemers zo langzamerhand aan het denken zet. Het gaat tenslotte om grote risico's, die zelfs impact kunnen hebben op het voortbestaan van hun onderneming. Desondanks is het effect van dergelijke berichten, het dreigen van de overheid en de awareness campagnes gering. De actiebereidheid van ondernemers in het MKB blijft onverminderd laag en de budgets voor security bij het MKB stijgen maar mondjesmaat.

Dreigen is contraproductief

Wijzen op de ernst van security en dreigen met boetes is niet effectief. Het leidt juist tot het tegenovergestelde van wat we willen bereiken. Dat komt door het gevoel dat het beleid bij MKB ondernemers oproept. Bangmakerij werkt bij ondernemers averechts. Het maakt ondernemers niet duidelijk wat zij moeten of kunnen doen om zich beter te beschermen, terwijl de berichtgeving wél leidt tot een gevoel van onmacht en gelatenheid. Een onwenselijke combinatie.

Een MKB ondernemer is gewend om tegen de stroom in te zwemmen en ondanks vermeende onmogelijkheden en risico's te volharden in zijn of haar visie en aanpak. Wie als ondernemer te horen krijgt dat iets niet kan of riskant is, is al snel geneigd juist harder in te zetten op deze lijn. Bovendien hebben ondernemers een hekel aan het investeren in het vermijden van risico's. Ze zijn juist gewend om hun geld en energie te steken in de kansen en niet in de onmogelijkheden of problemen.

Veel onduidelijkheid

De onduidelijkheid van het huidige beleid maakt het voor veel ondernemers nog veel gecompliceerder. De wet stelt dat bedrijven gegevens ‘adequaat moeten beveiligen’. Dit geeft weinig duidelijkheid en is net zo vaag als de opmerking dat bedrijven ‘naar de stand der techniek iets aan brandveiligheid moet doen’. Betekent dit dat de ondernemer een rookmelder moet opnemen? Of juist dat permanent een brandweerauto met bemanning voor de deur moet staan? Beide zijn mogelijk met de stand der techniek, terwijl niemand hem kan vertellen of hij daarmee de risico's af kan wenden of een boete kan voorkomen.

Het meest contraproductieve aan de huidige aanpak is echter het gevoel van onmacht en gelatenheid dat de griezelverhalen en dreigingen bij de ondernemer oproept. Deze verhalen geven het beeld dat het gevecht tegen hackers, online bedreigingen en de overheid dweilen met de kraan open is. FBI director Robert Mueller verwoordde het al in 2012 als volgt: "I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and will be hacked again." Ondernemers vragen zich hierdoor al snel af waarom zij zouden investeren in veiligheid als zij hackers toch niet buiten de deur kunnen houden.

‘We weten het nou wel van die lekken’

Een typische reactie van een bestuurder die ik onlangs uit de mond van een security expert mocht optekenen is: "Ach, dat van die lekken, dat weten we nu wel zo langzamerhand wel. Maar mijn websitebouwer zegt dat het best meevalt, en die vertrouw ik. En weet je, als ze echt binnen willen komen lukt ze dat echt wel. En die boetes? Die krijg je toch wel als ze (de overheid) willen. Kijk maar naar KPN, die doen van alles aan veiligheid en kregen een boete van een paar ton."

Kortom, de negatieve aanpak is funest voor de motivatie van bedrijven om te investeren in informatieveiligheid. En het "boy cries wolf" effect zorgt bovendien voor verlamming. We moeten onze aandacht niet langer richten op negatieve verhalen, maar juist op kansen. Ondernemers zouden verteld moeten worden hoe zij door serieus werk te maken van informatieveiligheid het vertrouwen in hun dienstverlening kunnen verbeteren, en dat zij door te investeren harder kunnen groeier dan een collega die dat niet doet. Ook zou beter uiteen moeten worden gezet hoe het imago en profiel van een secure ondernemer in zijn voordeel kan werken.

Houd het boete-instrument voorlopig in de kast

Ook de overheid heeft in dit verhaal een verantwoordelijkheid. Die moet het boete-instrument beslist in de kast houden totdat veel duidelijker is wat een security baseline, een minimaal pakket van maatregelen voor bescherming van informatie en privacy, feitelijk inhoudt en wat er van de ondernemers op dat gebied mag worden verwacht. Alleen dan heeft het zin om te dreigen met boetes om ondernemers die zulke maatregelen niet nemen tot actie te dwingen. Over het nut en noodzaak voor zo’n security baseline vertel ik u binnenkort meer in een andere blog!

Michiel Steltman is directeur DINL

Terug naar nieuws overzicht

Tags

Security, DINL
Security