Op 16 september 2016 meldt de Autoriteit Persoonsgegevens dat sinds de invoering van de meldplicht begin 2016 in totaal al 172 gemeenten één of meerdere datalekken bij de toezichthouder hebben gemeld. Een week later bleken in de regio Groningen bij het UWV de gegevens van 11.000 werkzoekenden te zijn gelekt door een menselijke fout. Eind september wijdt de Volkskrant een artikel aan wat wordt omschreven als de “grootste datadiefstal in de geschiedenis van het internet” bij het Amerikaanse internetbedrijf Yahoo. Hackers stalen de gegevens van 500 miljoen (!) gebruikers.

Meldplicht datalekken

Sinds 1 januari 2016 geldt voor Nederlandse organisaties de meldplicht datalekken. Deze meldplicht houdt in dat zowel bedrijven als overheden direct (binnen 72 uur) melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). De sanctie op het niet naleven van deze meldplicht is een boete die kan oplopen tot € 500.000,- per overtreding.

Maar wat is nu precies een datalek? We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Voorbeelden van datalekken zijn bijvoorbeeld een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Voorkomen is beter

Om te voorkomen dat datalekken optreden moeten organisaties dus zorgen dat ze maatregelen nemen. Dat kan in de vorm van adequate databeveiliging. De Wet bescherming persoonsgegevens spreekt van ‘passende technische en organisatorische maatregelen’ om persoonsgegevens te beveiligen. De vertaling daarvan naar de praktijk blijkt met name voor de gemeenten nog lastig te maken. Een probleem zit er in de uniformiteit van de maatregelen. Verschillende gemeenten hebben verschillende beveiligingsbudgetten. Een beveiliging van € 5.000,- zal andere garanties bieden dan wanneer er € 20.000,- voor databeveiliging beschikbaar is. Daarnaast zou het onderwerp hoger op de agenda van de gemeenten moeten staan. Weten alle medewerkers wel hoe ze met gevoelige gegevens moeten omgaan en hoe te handelen als er iets mis gaat?

Maar ook de centrale regelgever zou hier meer kunnen doen. De privacy van onze burgers is een groot goed. Als blijkt dat de gemeenten hierin tekortschieten, moet de regering garant staan. Uit de berichtgeving van de Autoriteit persoonsgegevens blijkt dat de gemeenten dit jaar al meer dan 300 datalekken hebben gemeld. Dat is meer dan één datalek per dag! Ik ben bang dat het daar niet bij zal blijven. We hebben op het gebied van privacy en informatieveiligheid nog een lange weg te gaan….

Geselecteerd op basis van dit onderwerp

Deel deze pagina