De ICO herziet haar aanpak van boetes voor de publieke sector: wat moet zij beslissen?

Door Phil Muncaster • 20 augustus 2024

De boetes voor datalekken worden steeds hoger. Volgens ISMS.online Rapport Staat van Informatiebeveiliging 2024, het gemiddelde boetebedrag dat bedrijven vorig jaar rapporteerden, steeg jaarlijks met bijna 4% naar £258,000. Toch houdt deze studie alleen rekening met de sectoren financiën, gezondheidszorg, productie, detailhandel en technologie. In de publieke sector heeft de toezichthouder voor gegevensbescherming, het Information Commissioner's Office (ICO), twee jaar lang een lichtere aanpak van boetes uitgeprobeerd.

In het najaar wordt een beslissing genomen over het al dan niet voortzetten van de handhaving. Het bewijs suggereert dat een heroverweging noodzakelijk is.

Twee jaar klappen uitdelen

Een analyse van ICO-boetes door URM-advies benadrukt het grote verschil in regelgevingsaanpak tussen de publieke en de private sector. Van de 29 berispingen die vorig jaar aan organisaties zijn gegeven, waren er 20 gericht tegen de publieke sector. Alle zeventien werden echter uitgevaardigd tegen particuliere ondernemingen als het om boetes ging.

Een van de meest opmerkelijke voorbeelden van de ICO die de afgelopen twee jaar zijn slag heeft geslagen met boetes voor de publieke sector zijn:

De politie van Noord-Ierland (PSNI), die per ongeluk gevoelige informatie over agenten heeft gelekt, is beschreven als een van de ergste inbreuken in zijn soort, gezien de gevoeligheden rond de politie. Maar hoewel de levens van dienende officieren en hun families aantoonbaar in gevaar waren, een eventuele boete van £ 5.6 miljoen werd teruggebracht tot £ 750,000

De Tavistock en Portman NHS Foundation Trust, die per ongeluk de e-mailadressen openbaar maakte van 1,781 Gender Identity Clinic-patiënten, van wie sommigen publiekelijk werden geïdentificeerd. Een mogelijke boete werd met 900%+ verlaagd slechts £ 78,400

Het Kabinetsbureau, wat blootlegde de namen en niet-geredigeerde adressen van meer dan 1,000 mensen die zijn aangekondigd op de New Year Honours-lijst, waaronder verschillende beroemdheden. Een boete van £ 500,000 werd verlaagd tot £ 50,000

Het Ministerie van Defensie (MoD), dat via e-mail zeer gevoelige informatie lekte over mensen die naar Groot-Brittannië wilden verhuizen nadat de Taliban de controle over Afghanistan hadden overgenomen. Een boete van £1 miljoen werd teruggebracht tot £ 350,000

NHS Hoogland, die 37 mensen e-mailde die waarschijnlijk toegang zouden krijgen tot hiv-diensten, waarbij ze hun gegevens met elkaar deelden. Een boete van £ 35,000 werd teruggebracht tot slechts een berisping.

De kiescommissie, die hackers toegang gaf tot informatie over 40 miljoen burgers na een reeks fundamentele veiligheidsfouten. Er werd helemaal geen boete opgelegd, maar eenvoudigweg kreeg een berisping.

Waarom gaat de ICO gemakkelijk?

Volgens gegevens van ISMS.online kregen vorig jaar meer Britse bedrijven boetes tussen £250 en 500 (26% versus 21% in 2022) en tussen £100 en 250 (35% versus 18%) dan in de voorgaande twaalf maanden. Toch ontsnapte de publieke sector. Dat ondanks de verslechterende statistieken over datalekken bij de overheid. Volgens de ICO's eigen gegevens, geanalyseerd door advocatenkantoor Mischon de Reyawas er tussen 8000 en 2019 een duizelingwekkende toename van 2023% in het aantal individuen dat getroffen werd door datalekken bij de centrale overheid. Ongelooflijk genoeg werden er alleen al in 195 2023 miljoen individuen getroffen door inbreuken gerelateerd aan ‘economische of financiële gegevens’, bijna drie keer zoveel de bevolking van Groot-Brittannië.

Dus waarom deze verandering in het ICO-beleid? Voor informatiecommissaris John Edwards komt het erop neer dat boetes het gedrag van de particuliere sector waarschijnlijk sneller zullen veranderen dan in de publieke sector. En het feit dat de overheidsfinanciën al gevaarlijk dun zijn.

“Ik ben er niet van overtuigd dat hoge boetes op zichzelf een even effectief afschrikmiddel zijn binnen de publieke sector. Ze hebben niet dezelfde impact op aandeelhouders of individuele bestuurders als in de private sector, maar komen rechtstreeks uit het budget voor dienstverlening.” schreef hij in juni 2022.

“De gevolgen van een boete voor de publieke sector worden ook vaak getroffen door de slachtoffers van de overtreding, in de vorm van lagere budgetten voor vitale diensten, en niet voor de daders. In feite worden mensen die door een inbreuk worden getroffen, tweemaal gestraft.”

Toch is de logica rond boetes als afschrikmiddel een beetje zweverig. Uit onderzoek van ISMS.online blijkt dat slechts een vijfde (19%) van de ondervraagde bedrijven zegt dat hun voornaamste motivatie voor naleving het vermijden van boetes is. Er wordt veel vaker gesproken over concurrerend blijven (34%), het vergroten van de vraag van klanten (34%) en het beschermen van bedrijfs- (30%) en klantinformatie (29%). Geen van deze andere motiverende factoren is bijzonder relevant voor de publieke sector, waardoor boetes een van de weinige hefbomen zijn waarover de ICO beschikt.

Wat de verwarring nog groter maakt, is het feit dat er gemengde berichten afkomstig zijn van binnen de ICO zelf. John Edwards was pas onlangs gemeld door te zeggen dat zijn beleid om de publieke sector geen boetes op te leggen, maar in plaats daarvan niet-bindende berispingen te geven, “zeer effectief was, vooral in de publieke sector, waar reputatie meer waard is dan de portemonnee”. Maar dat heeft hij wel gedaan sindsdien toegelaten dat er beperkt bewijsmateriaal beschikbaar is, zelfs om de impact van geldboetes op de sector te beoordelen.

“Ik zou verwachten dat de komende evaluatie enkele gegevens en ander bewijsmateriaal zal bevatten, bijvoorbeeld als de ICO enig bewijs heeft gezien van een verbetering van de naleving in de publieke sector als gevolg van de aanpak van de publieke sector”, zegt Mishcon de Reya senior data beschermingsspecialist Jon Baines, vertelt ISMS.online.

“Anekdotisch zou ik zeggen dat we in plaats daarvan armer hebben gezien naleving. Ik ben er nog steeds niet van overtuigd dat er enige basis is om de publieke sector anders te behandelen dan welke andere sector dan ook. Ik vrees dat de ‘publieke sectorbenadering’ tot gevolg heeft dat de discretionaire bevoegdheid van de ICO om effectieve, evenredige en afschrikwekkende maatregelen te nemen, wordt belemmerd.”

Ruimte voor verbetering

Dus wat gebeurt er daarna? Baines legt uit dat de ICO vóór de AVG van een gegevensbeheerder eiste dat hij een ‘verbintenis’ tekende om verbeteringen aan te brengen – als hun organisatie in gebreke werd bevonden, maar een boete of handhavingsactie niet gerechtvaardigd was.

“Ik zie geen reden waarom de ICO deze aanpak niet in passende gevallen zou kunnen hervatten: het zou tot gevolg hebben dat senior managers verplichtingen worden opgelegd om ervoor te zorgen dat hun belofte wordt nagekomen. In mijn ervaring waren deze 'ondernemingen' zeer effectief in het concentreren van de gedachten van die senior managers op het belang van de naleving van de gegevensbescherming,' voegt hij eraan toe.

“Ik zou ook willen voorstellen dat de regering overweegt of zij via wetgeving formele bevoegdheden aan de ICO wil verlenen om dergelijke toezeggingen na te streven, met de mogelijkheid van sancties tegen individuen – maar ook tegen organisaties – als de toezeggingen worden verbroken. Ik denk dat er dan een reeks bevoegdheden beschikbaar zou zijn die, afzonderlijk of in combinatie, effectief zouden kunnen zijn.”

Te midden van deze verwarring is het proactief beperken van inbreukrisico's de beste manier voor organisaties in de publieke sector om hun lot in eigen hand te nemen. De ICO heeft op nuttige wijze de nadruk gelegd op de dingen die zowel bedrijven uit de publieke als de private sector in dit opzicht zouden moeten doen. Het heeft eerder actie ondernomen tegen organisaties die er niet in zijn geslaagd:

Implementeer multi-factor authenticatie (MFA) op externe verbindingen.

Registreer en bewaak systemen en onderneem actie wanneer er onverwacht data- of RDP-verbindingen worden onderschept

Reageer op eindpuntwaarschuwingen, zoals waarschuwingen die worden gegenereerd door anti-malwaretools

Gebruik sterke en unieke wachtwoorden voor interne accounts, vooral voor bevoorrechte accounts.

Patch bekende kwetsbaarheden.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster