De kleinste goedbedoelde actie kan grote negatieve gevolgen hebben. Dat is de vrees van sommige deskundigen: dat beveiligers hun werk niet goed meer kunnen uitvoeren door diverse privacywetten, niet in de laatste plaats de AVG (GDPR).

In sommige gevallen zorgen dergelijke wetten er namelijk voor dat het lastiger is om forensisch onderzoek te doen. Vaak is de wetgeving niet zo strikt dat dit niet mogelijk is, maar zijn bedrijven bang een actie te ondernemen die mogelijk hoge boetes oplevert.

"De boete voor het overtreden van GDPR is zo enorm dat het leidt tot deze onbedoelde effecten en tegelijkertijd is het dreigingsbeeld minder compleet vanwege het verlies van Whois-gegevens", zegt Caleb Barlow, beveiligingschef bij IBM Security. "Het aanvalsoppervlak is flink vergroot vanwege GDPR - niet een beetje, maar met een vergrotingsfactor."

Barlow, die voorstander is van privacybeheer, ziet gevallen waarin de reactiesnelheid van IT-beveiliging op een aanval afneemt, omdat de beveiligers niet bij de benodigde gegevens kunnen vanwege privacyzorgen. Diezelfde zorgen geven "aanvallers een plek om te schuilen en ermee weg te komen, want zij hebben óók privé-informatie."

"Dit kan leiden tot letterlijk de grootste privacylekken in de geschiedenis", voorspelt de IBM-chef. In sommige gevallen hebben bedrijven overtrokken gereageerd op hoe security kan reageren op incidenten. Want in de wetgeving (PDF) staat letterlijk dat beveiligingsteams gevrijwaard zijn van de regelingen als het gaat om het uitvoeren van hun taak:

De verwerking van persoonsgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerken informatiebeveiliging, d.w.z. dat een netwerk of informatiesysteem op een bepaald vertrouwelijkheidsniveau bestand is tegen incidentele gebeurtenissen of onrechtmatige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven persoonsgegevens in het gedrang brengen, en de beveiliging van de daarmee verband houdende diensten die door deze netwerken en systemen worden geboden of via deze toegankelijk zijn, door overheidsinstanties, computercrisisteams (computer emergency response teams), computercalamiteitenteams (computer security incident response teams), aanbieders van elektronische communicatienetwerken en -diensten en aanbieders van beveiligingstechnologie en -diensten, vormt een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. Zo kan er bijvoorbeeld sprake zijn van het verhinderen van ongeoorloofde toegang tot elektronische-communicatienetwerken en van verspreiding van kwaadaardige codes, alsook van het stoppen van „denial of service"- aanvallen en van schade aan

computers en elektronische communicatiesystemen.

Wat volgt is een aantal praktijkvoorbeelden van onbedoelde negatieve consequenties die beveiligingsteams hebben als gevolg van AVG-regels en andere privacyreglementen.