‘Versleutelen, versleutelen, versleutelen’, dat is de oproep van de voorzitter van de Autoriteit Persoonsgegevens (AP) Jacob Kohnstamm (65). Bij veel bedrijven en organisaties die een datalek melden, blijken de gelekte gegevens niet versleuteld.
Sinds de meldplicht van datalekken op 1 januari 2016 in Nederland inging, zijn er bij de autoriteit al zevenhonderd meldingen binnengekomen. Vaak gaat het om onversleutelde gegevens op externe datadragers. Van alle meldingen worden er ruim 450 nader bekeken. Ongeveer veertig zaken zijn in behandeling. In die gevallen heeft de autoriteit een onderzoek ingesteld.
Onder de meldingen zijn veel gevallen waarbij medische gegevens zijn gelekt, vertelt Kohnstamm. Hij kan verder niet inhoudelijk ingaan op individuele meldingen in verband met de vertrouwelijkheid van die informatie. Een recent voorbeeld van een datalek dat bij de Autoriteit Persoonsgegevens is gemeld en waarbij de organisaties het lek via de media naar buiten bracht, is het Antoni van Leeuwenhoek Ziekenhuis. Dat meldde in maart dat de gegevens van 781 patiënten waren gelekt. Dat gebeurde nadat een harde schrijf met de gegevens van een onderzoeksgroep uit de auto van een externe onderzoeker was gestolen. Op de schijf stond privacygevoelige medische informatie over experimentele behandeling van kanker. Ook het VUmc maakte een datalek openbaar. Patiëntgegevens waren tijdelijk zichtbaar in het AMC door een fout in de koppeling van het epd.
Kohnstamm: ‘We zien vaak dat er op datadragers onversleutelde gegevens staan. Data kan door een fout of diefstal op straat komen te liggen. Maar als de persoonsgegevens versleuteld zijn, is de schade in eerste instantie beperkt. Versleuteling van data is dan ook prioriteit nummer één.’ Hij vervolgt: ‘Uiteraard moet je zorgen dat je beveiliging op orde is. Maar ook als je er alles aan hebt gedaan, dan kan het gebeuren dat je bestanden kwijtraakt. Dan is het belangrijk dat die gegevens versleuteld zijn.’
Volgens de oud-D66-politicus en oud-staatssecretaris van Binnenlandse Zaken gaat er een sterke preventieve werking uit van de meldplicht en de boetebevoegdheid van de Autoriteit Persoonsgegevens. ‘Bedrijven zijn niet alleen in overtreding van de wet als ze een datalek niet melden. De kans dat ze een hoge boete krijgen, en een overtreding dus veel geld kost, moet zorgen dat organisaties beter omgaan met de beveiliging van persoonsgegevens.’
In 2018 zal nieuwe Europese wetgeving over de beveiliging van persoonsgegevens in werking treden. Deze Europese privacyverordening bevat ook een meldplicht datalekken. De huidige meldplicht datalekken loopt hierop vooruit. De privacywaakhonden hebben dan een maximale boetebevoegdheid tot een bedrag van 20 miljoen euro of 4 procent van de wereldwijde omzet. Kohnstamm, die later dit jaar aan het einde van zijn tweede benoemingstermijn zijn functie bij de AP zal overdagen aan een opvolger, wijst op nog een aantal belangrijke zaken in die nieuwe wet. ‘Organisaties moeten rekening houden met het verantwoordelijkheidsprincipe (accountability) dat in de regels is vastgelegd.’ Verwerkers van persoonsgegevens zijn verantwoordelijk voor de naleving van de wet. Op hen zal de bewijslast rusten. Organisaties moeten bijvoorbeeld kunnen bewijzen dat ze aan mensen toestemming hebben gevraagd voor het gebruik van hun gegevens. Waar staat hun handtekening? En weten mensen waar ze toestemming voor hebben gegeven?
Ook wijst hij erop dat het voor publieke organisaties verplicht wordt om een functionaris gegevensbescherming (data protection officer) te benoemen. Commerciële organisaties zijn daartoe ook verplicht als het gaat om een bedrijf dat veel persoonsgegevens verzamelt of verwerkt. ‘Die functionaris gegevensbescherming is de privacywaakhond binnen de organisatie. Er zullen dus overal functionarissen ontstaan die toezien op naleving van de wet.’
Ook is het in de nieuwe verordening mogelijk om als groep een rechtszaak te starten tegen een organisatie die de wet overtreedt, vertelt Kohnstamm. ‘Die zogenoemde class-actions, ook wel groepsvordering genoemd, maken het mogelijk om namens een groep te procederen. Personen die zich onjuist bejegend voelen doordat gegevens gelekt zijn, kunnen gezamenlijk een rechtszaak voeren en zich daarbij laten vertegenwoordigen door een organisatie die hun belangen behartigd.’ Organisaties mogen dus namens burgers procedures starten.
Als gevolg van die nieuwe Europese wetgeving zullen bedrijven zich volgens de AP-voorzitter steeds meer bewust worden van het belang van de beveiliging van persoonsgegevens. ‘Dat onderwerp komt ook steeds hoger op de agenda van het management en wordt ook een zaak waar de directie mee te maken krijgt. Organisaties zullen bij het nadenken over nieuwe producten en diensten in een heel vroeg stadium nagaan of dat niet in strijd is met de Wet bescherming persoonsgegevens. Ik denk dat er ook een situatie ontstaat waarin privacy wordt gebruikt als manier waarop organisaties zich kunnen onderscheiden van concurrenten. Privacy wordt dan een selling point in bijvoorbeeld marketinguitingen. Zo van: ‘Kom bij ons wij scoren hoog op het vlak van gegevensbescherming en privacy’.’
Kohnstamm vertelt dat de meldplicht datalekken en de boetebevoegdheid die op 1 januari 2016 in Nederland zijn ingevoerd in de belangstelling staan bij de Belgen. ‘Staatssecretaris Bart Tommelein, die privacy in zijn portefeuille heeft, komt binnenkort met ons praten over hoe wij de meldplicht datalekken hebben ingevoerd. Ze willen leren van onze ervaringen en vooruitlopend op de Europese verordeningen kijken hoe in België een meldplicht en een boetebevoegdheid ingevoerd kunnen worden.’
Dit artikel is ook verschenen in Computable Magazine, jaargang 49, nummer 4, april 2016.
