Bedrijven wachtten tot vorig jaar gemiddeld drie weken tussen het ontdekken van een datalek, en het rapporteren van het lek aan de nodige autoriteiten. Daarbij valt op dat veel bedrijven wachten tot het einde van de week om hun lek openbaar te maken. Dat moet blijken uit een analyse van 181 rapporten van datalekken die door securitybedrijf Redscan werden opgevraagd bij de Britse Information Commisioner's Office (de datawaakhond van het Verenigd Koninkrijk). Alle rapporten zijn van voor 5 april 2018 en werden dus ingediend voordat de Europese privacyregelgeving in voege ging. Volgens die regels moet een bedrijf een datalek aangeven binnen de 72 uur na de ontdekking.

In het ongewisse

Uit het rapport blijkt onder meer dat bedrijven er gemiddeld zo'n zestig dagen over doen om een lek te vinden. Eén bedrijf bleef zelfs 1.320 dagen in het ongewisse, een veertiental anderen zagen pas na honderd dagen dat er op hun systemen was ingebroken. Volgens Redscan zijn heel wat bedrijven niet uitgerust om een datalek te vinden, en is dat probleem alleen maar groter geworden nu de regels voor melding strikter zijn.

Eens gevonden, blijken financiële en juridische bedrijven het beter te doen dan anderen. Gemiddeld rapporteerden ze een lek respectievelijk 16 en 20 dagen na de ontdekking. Het algemene gemiddelde ligt op 21 dagen. Eén uitschieter bleef 147 dagen op de informatie broeden, voordat ze werd aangegeven. Een grote meerderheid van de rapporten (91 procent) was wel niet volledig, en bevatte geen informatie of cruciale elementen zoals de impact van het lek.

Opvallende vaststelling in deze gegevens: veel bedrijven wachten tot het einde van de week om een lek te rapporteren. Volgens Redscan kan dat een poging zijn om een PR-schandaal te vermijden, of alvast te milderen.

De gegevens komen van de Information Commisioner's Office en werden opgevraagd onder regels rond de vrijheid van informatie.