Privacywaakhond: datalekken worden niet gemeld

Bruno Cordioli
Geschreven door
Joost Schellevis
Researchredacteur

Datalekken moeten sinds 1 januari worden gemeld bij de Autoriteit Persoonsgegevens, maar die organisatie betwijfelt of dat wel altijd gebeurt. Vicevoorzitter Wilbert Tomesen vreest van niet, gezien het relatief lage aantal gemelde datalekken. Dat zegt hij tegen de NOS.

Lekken moeten aan de privacywaakhond worden gemeld als het om belangrijke persoonsgegevens gaat, zoals een zoekgeraakte laptop met zorgdata of een hacker die inbreekt in een klantendatabase.

Het kan bijna niet anders dan dat er meer datalekken zijn.

Wilbert Tomesen, Autoriteit Persoonsgegevens

Dergelijke datalekken zijn sinds 1 januari "ruim 1600" keer gemeld, zegt Tomesen. "Als je bedenkt dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken, kan het bijna niet anders dan dat er meer datalekken zijn", zegt hij.

Ook privacyjurist Gerrit-Jan Zwenne is niet onder de indruk. "Vooraf werden 60.000 datalekken per jaar verwacht", zegt Zwenne. "Dan hadden er nu al 20.000 datalekken gerapporteerd moeten zijn."

Beveiligingsonderzoeker Sijmen Ruwhof, die bedrijven op verzoek hackt om de beveiliging te testen, bevestigt dat datalekken vaak niet worden gemeld. "Ik zie in veel onderzoeken dat dat niet gebeurt", aldus Ruwhof.

Bart Jacobs, hoogleraar ict-beveiliging, wijst er juist op dat er in werkelijkheid waarschijnlijk nog meer datalekken zijn, omdat niet alle lekken hoeven te worden gemeld. "Als ik kijk naar mijn eigen universiteit, hoeft slechts een op de tien datalekken te worden gemeld", aldus Jacobs. "In werkelijkheid ligt het aantal datalekken dus waarschijnlijk nog hoger."

Hoge boetes

Als bedrijven beveiligingsproblemen niet melden, kunnen daar hoge boetes op staan: ruim 800.000 euro of tien procent op de jaaromzet. Vooralsnog heeft de privacywaakhond echter geen boetes uitgedeeld voor het niet melden van datalekken.

Volgens Tomesen houdt de Autoriteit Persoonsgegevens echter nauwlettend in de gaten of datalekken wel netjes worden gemeld. "We houden de media in de gaten, we praten met mensen", zegt hij.

Bedrijven moeten in vertrouwen datalekken bij ons kunnen melden.

Wilbert Tomesen, Autoriteit Persoonsgegevens

Bij een datalek kan onder meer worden gedacht aan de gemeentes Oegstgeest en Rotterdam, waar de BSN-nummers van in totaal 33.000 burgers uitlekten. "Maar het wemelt ook van de onveilige websites", zegt Tomesen.

Tomesen is echter terughoudend met het geven van informatie over gemelde lekken. "Bedrijven moeten in vertrouwen datalekken bij ons kunnen melden", zegt Tomesen. "Dan moeten we daar vervolgens niet de boer mee opgaan."

De privacywaakhond wil wel kwijt dat veel datalekken het gevolg zijn van slordigheid. "Dan gaat het om kwijtgeraakte usb-sticks, niet-afgesloten bureauladen en documenten die niet worden vernietigd voordat ze in de prullenbak belanden."

Nader onderzocht

Opvallend is dat weinig datalekken nader worden onderzocht. Van de 1600 datalekken zijn er in zeventig gevallen aanvullende vragen gesteld - minder dan vijf procent. "Dan vragen we bijvoorbeeld wat er precies is gebeurd, of data zijn versleuteld en of getroffen klanten op de hoogte zijn gesteld", zegt Tomesen. 

Vorig jaar zei voorzitter Jacob Kohnstamm van de Autoriteit Persoonsgegevens al dat er te weinig personeel beschikbaar is om genoeg lekken te kunnen onderzoeken. Dat is nog steeds een probleem, zegt woordvoerder Lysette Rutgers. "Voor alle bevoegdheden die we hebben is 75 man personeel eigenlijk niet genoeg."

In sommige gevallen moeten bedrijven getroffen klanten op de hoogte stellen; het is niet bekend in hoeveel gevallen dat is gebeurd. Dat is bijvoorbeeld verplicht als er een kans is dat gevoelige persoonsgegevens, zoals DigiD-logins of medische dossiers, kunnen worden misbruikt. Mensen kunnen dan actie ondernemen, zoals het wijzigen van een wachtwoord, zegt Tomesen.