De Autoriteit Persoonsgegevens (AP) heeft gedurende 2016 tientallen onderzoeken ingesteld naar datalekken die zijn gemeld onder de sinds 1 januari ingestelde meldplicht datalekken. Voorzitter Aleid Wolfsen waarschuwt dat uit de onderzoeken hoogstwaarschijnlijk ook boetes zullen voortkomen, zo meldt Nu.nl.
Sinds 1 januari 2016 zijn bedrijven en overheidsinstanties verplicht om grote en kleine datalekken te melden, en kan de Autoriteit Persoonsgegevens boetes opleggen als gegevens onvoldoende zijn beschermd.
WiFi-trackers
Onlangs tikte de Autoriteit nog een bedrijf op de vingers nadat bleek dat het in de openbare ruimte Wi-Fi-trackers had geïnstalleerd. Die technologie legde ongevraagd vast wie er voorbij liep, op basis van de unieke MAC-adressen van smartphones en andere elektronica met een Wi-Fi-chip. De toezichthouder besloot in dit geval geen boete op te leggen, maar een last onder dwangsom. Dit, omdat het traject was gestart nog voor de boete bestond. ‘Wij passen het juridisch instrumentarium toe dat bestond op het moment van het constateren van de overtreding. Dus die boetes zitten eraan te komen’, aldus Wolfsen.
Datalekken bij gemeenten
In het interview laat Wolfsen zich kritisch uit over de vele datalekken die door gemeentes worden gemeld. Onlangs bleek uit cijfers van de AP dat al bijna de helft van alle Nederlandse gemeenten een datalek heeft gemeld. De voorzitter denkt dat gemeenten zich nog onvoldoende bewust zijn van het feit dat ze over ontzettend veel data en ook heel gevoelige gegevens van mensen beschikken. Er is volgens Wolfsen ‘geen rechtvaardiging’ mogelijk voor de slechte beveiliging van privégegevens. ‘Als een kleine gemeente dat niet lukt, dan moeten ze de hulp van grote broer inroepen.’
Europese privacywet
In een Europese verordening, die op 25 mei 2018 van kracht wordt, is geregeld dat bedrijven transparanter moeten zijn over de manier waarop data worden verwerkt. Burgers moeten gemakkelijk inzage kunnen krijgen in hun eigen data, en om verwijdering kunnen vragen.
Onder het nieuwe systeem kunnen Europese privacytoezichthouders als de AP boetes van maximaal twintig miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf uitdelen. Nu ligt de maximumboete voor overtredingen van de Wet bescherming persoonsgegevens op 820.000 euro.
Ik begrijp even niet wat Aleid Wolfsen daar te zoeken heeft als digibeet zijnde. Dat even terzijde. Ik heb altijd een beetje een dubbel gevoel bij dit soort openbaarheid van IT incidenten. Het word een soort van openbare schandpaal waar ik professioneel niet zo voor ben.
Er word namelijk niet altijd een helder inkijk gegeven naar hoe iets tot stand is gekomen. Uiteraard is het wel zaak wanneer het echt persoonsgegevens betreft, daar dan wel weer opening van zaken naar alle betrokkenen van te geven. Ik zie Aleid Wolfsen dan ook nog zo pro actief zich richten naar de gemeenten met een ‘quickscan’ gezamenlijk orde op zaken stellen waar het datalekken betreft.
Een protocol van Aleid zou al een mooi begin zijn lijkt me ….. Toch Aleid W.?
Aleid draait vrolijk mee met de baantjesmolen. Een toonbeeld van alles wat mis is met de Nederlandse politiek.
Dat het AP tanden heeft gekregen en nu ook gaat bijten is m.i. een goede ontwikkeling. Maar nog dan steeds symptoombestrijding.
Dat ongeveer de helft van de Nederlandse gemeenten een lek heeft gemeld verbaasd me weinig. Die trekken zich overigens weinig aan van zo’n boete, want het is toch hun geld niet, maar zijn wel gevoelig als ze aan de schandpaal worden genageld.
Het verbaast inderdaad niet dat er vele datalekken zijn gemeld. Maar let wel, het hoeft niet aan falende IT systemen te liggen. De definitie van een datalek is veel breder. Het laten slingeren van een smartphone of het laten liggen van een kopie paspoort kan al een datalek zijn. In dat licht bezien is “opvoeding” van hele organisaties, ook niet overheidsinstanties, nodig.
Bewustwording is de eerste belangrijke stap, en die gaat (veel) verder dan de IT afdeling.