Bar weinig Nederlandse datalekken worden onderzocht

Het is sinds 1 januari voor organisaties verplicht om dergelijke lekken te melden bij de Autoriteit Persoonsgegevens (AP). Sinds het begin van het jaar zijn er ruim 1600 datalekken gemeld, waarvan er 70 nader zijn onderzocht, zo bevestigt de AP na berichtgeving van de NOS. Dan vraagt de privacyautoriteit bijvoorbeeld welke versleuteling is gebruikt en of de getroffen klanten op de hoogte zijn gesteld.

Vicevoorzitter Wilbert Tomesen vindt het aantal meldingen laag en vreest dat lang niet alle datalekken worden gemeld. Hij denkt dat als er 130.000 organisaties zijn in Nederland die persoonsgegevens verwerken, 'het bijna niet anders kan zijn' dat er meer datalekken voorkomen. Bij een datalek wordt er vaak gedacht aan een hack, maar meestal is de fout menselijker: bijvoorbeeld een kwijtgeraakte usb-stick of papieren documenten die niet worden vernietigd bij het weggooien. De AP benadrukt dat veel datalekken het gevolg zijn van dit soort 'slordigheid'.

Hoge boetes

Als organisaties datalekken niet melden, kan de AP een maximale boete van ruim 800.000 euro of tien procent van de jaaromzet opleggen. De AP heeft nog geen boetes uitgedeeld voor het niet melden van datalekken. Als een organisatie een datalek meldt, wordt de informatie vertrouwelijk behandeld. De AP pleit al geruimde tijd voor meer budget. Eind vorig jaar zei de privacywaakhond dat het te weinig medewerkers heeft om de nieuwe nationale en Europese taken uit te kunnen voeren.