Datalekken moeten sinds 1 januari worden gemeld bij de Autoriteit Persoonsgegevens, maar die organisatie betwijfelt of dat wel altijd gebeurt. Vicevoorzitter Wilbert Tomesen vreest van niet, gezien het relatief lage aantal gemelde datalekken: ongeveer 1.600. “Als je bedenkt dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken, kan het bijna niet anders dan dat er meer datalekken zijn," zo vertelde hij de NOS. Ook privacyjurist Gerrit-Jan Zwenne is niet onder de indruk. "Vooraf werden 60.000 datalekken per jaar verwacht," zegt Zwenne. "Dan hadden er nu al 20.000 datalekken gerapporteerd moeten zijn."
Zij krijgen bijval van beveiligingsonderzoeker Sijmen Ruwhof, die bedrijven op verzoek hackt om de beveiliging te testen. Hij bevestigt dat datalekken vaak niet worden gemeld. "Ik zie in veel onderzoeken dat dat niet gebeurt," aldus Ruwhof. Bart Jacobs, hoogleraar ict-beveiliging, wijst er juist op dat er in werkelijkheid waarschijnlijk nog meer datalekken zijn, omdat niet alle lekken hoeven te worden gemeld. "Als ik kijk naar mijn eigen universiteit, hoeft slechts één op de tien datalekken te worden gemeld," aldus Jacobs. "In werkelijkheid ligt het aantal datalekken dus waarschijnlijk nog hoger."
Hoge boetes
Lekken moeten aan de privacywaakhond worden gemeld als het om belangrijke persoonsgegevens gaat, zoals een zoekgeraakte laptop met zorgdata of een hacker die inbreekt in een klantendatabase. Als bedrijven beveiligingsproblemen niet melden, kunnen daar hoge boetes op staan: ruim 800.000 euro of tien procent op de jaaromzet. Vooralsnog heeft de privacywaakhond echter geen boetes uitgedeeld voor het niet melden van datalekken.
Volgens Tomesen houdt de Autoriteit Persoonsgegevens echter nauwlettend in de gaten of datalekken wel netjes worden gemeld. "We houden de media in de gaten, we praten met mensen," zegt hij. Bij een datalek kan onder meer worden gedacht aan de gemeentes Oegstgeest en Rotterdam, waar de BSN-gegevens van in totaal 33.000 burgers uitlekten. "Maar het wemelt ook van de onveilige websites", zegt Tomesen.
Tomesen is echter terughoudend met het geven van informatie over gemelde lekken. "Bedrijven moeten in vertrouwen datalekken bij ons kunnen melden," zegt Tomesen. "Dan moeten we daar vervolgens niet de boer mee opgaan." De privacywaakhond wil wel kwijt dat veel datalekken het gevolg zijn van slordigheid. "Dan gaat het om kwijtgeraakte usb-sticks, niet-afgesloten bureauladen en documenten die niet worden vernietigd voordat ze in de prullenbak belanden."
Nader onderzoek
Opvallend is dat weinig datalekken nader worden onderzocht. Van de 1.600 datalekken zijn er in 70 gevallen aanvullende vragen gesteld - minder dan 5%. "Dan vragen we bijvoorbeeld wat er precies is gebeurd, of data zijn versleuteld en of getroffen klanten op de hoogte zijn gesteld," zegt Tomesen. Vorig jaar zei voorzitter Jacob Kohnstamm van de Autoriteit Persoonsgegevens al dat er te weinig personeel beschikbaar is om genoeg lekken te kunnen onderzoeken. Dat is nog steeds een probleem, zegt woordvoerder Lysette Rutgers. "Voor alle bevoegdheden die we hebben is 75 man personeel eigenlijk niet genoeg."
In sommige gevallen moeten bedrijven getroffen klanten op de hoogte stellen; het is niet bekend in hoeveel gevallen dat is gebeurd. Dat is bijvoorbeeld verplicht als er een kans is dat gevoelige persoonsgegevens, zoals DigiD-logins of medische dossiers, kunnen worden misbruikt. Mensen kunnen dan actie ondernemen, zoals het wijzigen van een wachtwoord.
Heeft u uw digitale risico's in kaart? En heeft u maatregelen genomen om deze te beperken of voorkomen?
Publicatiedatum: 22 juni 2016