De Autoriteit Persoonsgegevens heeft in de eerste week van 2016 ongeveer twintig meldingen binnengekregen van mogelijke datalekken. Volgens voorzitter Jacob Kohnstamm, zijn dat minder meldingen dan vooraf was verwacht. 'De eerste paar dagen leveren een ander beeld op dan bij andere collega-toezichthouders in Europa.'
Er zijn dus minder datalekken dan we tot nu toe dachten dat er waren’, zei Kohnstamm tegen Nu.nl. Zijn Britse collega’s hebben bij de introductie van de wet honderden meldingen gekregen op een dag waar Nederland er aan twintig kwam binnen een week. Hij houdt daarbij geen rekening met het gegeven dat Groot-Brittannië vele malen groter is dan Nederland.
De Autoriteit persoonsgegevens die tot 1 januari 2016 College bescherming persoonsgegevens (CBP) heette, heeft de bevoegdheid om boetes op te leggen aan organisaties die de Wet bescherming persoonsgegevens overtreden. Die boetes kunnen oplopen tot 820.000 euro. Bedrijven en overheden zijn met ingang van 2016 verplicht om vermoedens van het lekken van persoonlijke informatie direct te melden.
Kohnstamm uitte eerder kritiek op het aantal medewerkers dat de autoriteit tot zijn beschikking heeft. In een interview in het NRC zei hij dat de organisatie te weinig medewerkers heeft om de nieuwe nationale en Europese taken uit te kunnen voeren die de privacytoezichthouder er vanaf 1 januari 2016 bij krijgt. Hij gaf aan dat er minstens vijf keer meer personeel nodig is om de nieuwe regels te kunnen handhaven. Aan NU.nl meldt hij dat hij zich, ondanks het in vergelijking met andere landden lagere aantal meldingen van datalekken, zorgen blijft maken. ‘Of we dat grotere takenpakket met de huidige bezetting aankunnen, daar heb ik twijfels over’, stelt Kohnstamm tegenover de nieuwssite.
Overzichtelijk
Minister Ard van der Steur van Veiligheid en Justitie zei tijdens de bijeenkomst van de presentatie van de nieuwe autoriteit dat er ‘naar bewind van zaken’ zal worden gehandeld als het gaat om het bij de autoriteit benodigde personeel. Kohnstamm noemde het aantal meldingen tot nu toe overzichtelijk.
Deze cijfers zijn mij sec tamelijk nietszeggend. Ook niet het gegeven als men naar andere landen kijkt. Je zal dan namelijk ook moeten kijken naar de infrastructuur in andere landen en vooral het niveau van de infrastructuur.
Lek
Definieer lek. Is dit het moment dat er een hacker onbevoegd zich oneigenlijk en onwettelijk toegang verschaft tot mijn data die afgeschermd had moeten zijn of hebben wij het dan ook over oneigenlijk gebruik van persoonlijke data, lees door gebruik van allerhande technische IT trucs die persoonlijke data van houd(st)er ontfutselen?
Klein voorbeeld,
Ik word gebeld door een ‘cold caller’ die graag met mij wil praten over product of dienst x, y of z.
Wedervraag van mij aan beller hoe die aan mijn data en nummer komt en of die weet dat die van mij persoonlijk geen handtekening en toestemming heeft deze te gebruiken, levert een hakkelende reactie op. Persoonlijk vind ik dat ook een lek namelijk.
Hoe, Wat, Wie, Waar…..
Een lek kan op vele manieren tot stand komen en kan ook zeker voor langere tijd verborgen blijven. Een data lek kan de temp vrouw/man, inhuur zijn met een usb stick. Oncontroleerbaar.
Wie controleert wat….
Misschien is enig argwaan hier op zijn plaats. Met mijn kennis van het IT/ICT niveau van de overheid waag ik te betwijfelen, uitgaande van de beste intenties van het CBP, dat er te weinig IT/ICT kennis is binnen het CBP goed te kunnen wegen of een datalek nu een zaak is van pure onachtzaamheid of gewoon onwetendheid of misschien wel een samenloop van omstandigheden.
Ik kom dat van het CBP nog steeds niet helder te weten.