Met de publicatie van cijfers rond datalekken opent de Autoriteit Persoonsgegevens meteen de aanval op de gemeenten. Maar zonder de broodnodige nuance is het beeld behoorlijk vertekend.
Met de publicatie van cijfers rond datalekken opent de Autoriteit Persoonsgegevens(AP) meteen de aanval op de Nederlandse gemeenten. Maar zonder de broodnodige nuance is het beeld behoorlijk vertekend.
Als je de cijfers droog bekijkt dan is er een explosie gaande van het aantal meldingen. In het eerste kwartaal meldden de gemeenten 331 datalekken waar dat er over 2016 nog 533 waren. Wat de cijfers niet vertellen is dat de meldplicht nieuw is sinds 2016. Veel bedrijven en overheden weten er iets van. Belangrijker: lang niet altijd is duidelijk wat nu precies een datalek is. Daarom loopt Autoriteit Persoonsgegevens allerhande bijeenkomsten af om precies die uitleg te geven.
Het begrip is nogal breed. Een verloren of verkeerd bezorgde brief, ransomware die een computer lam legt, een mobiele telefoon die zoek is: dat zijn voor veel organisaties minder bekende vormen van datalekken. Er hoéft niets gebeurd te zijn, maar als je dat niet kunt uitsluiten dan moet je melden. Een wat grotere gemeente zal – als ze zich dit realiseren – dus al snel fors meer incidenten melden. Dat maakt het beeld negatiever, maar zegt weinig over de vraag of gemeenten het slechter doen dan bijvoorbeeld veel MKB-bedrijven
De cijfers maken vooral duidelijk dat we beter zicht hebben op de enorme omvang van de problematiek. Over heel Nederland werden er namelijk vorig jaar 5849 meldingen gedaan tegen 2388 in het eerste kwartaal. Dat 331 van de meldingen voor rekening van de gemeenten komen, doet vermoeden dat veel van de bijna 1,5 miljoen ondernemingen bitter weinig melden.
Wolfsen
De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, opent de aanval op gemeenten. In de statistieken echter staat de zorg en niet het openbaar bestuur op de eerste plaats. Wolfsen verwijt de gemeente te weinig te doen. Maar in tegenstelling tot de zorg hebben gemeenten in reactie op Diginotar en het door mij georganiseerde Lektober besloten om de Informatie Beveiligings Dienst (IBD) op te richten. Die geeft advies, werkt aan normenkaders en coördineert bij incidenten. Zoiets bestaat in de zorg niet. Dat is ook nodig, want juist gemeenten staan dichter bij de burger dan veel andere overheidsinstellingen. Over die stap hoor je de Autoriteit in het geheel niet.
De AP vertelt gemeenten niet wanneer zij voldoende doen of wat zij minimaal verwacht. De wetstekst is vaag en een ‘nee, niet goed genoeg’ helpt dan niet. Ook de meldplicht is alleen maar een registratie en er vloeit geen informatie terug om lering uit te trekken. Wat daarbij steekt is dat sinds decentralisatie gemeenten opeens heel veel meer informatie moeten verwerken. Vanuit het Rijk is de ondersteuning voor digitale verantwoordelijkheden nu eigenlijk nagenoeg niet bestaand.
BSN
Ook de aandacht van Wolfsen op de gevaren van gelekte BSN’s miskent de onderliggende problematiek. Een identificatienummer is langzamerhand zo belangrijk geworden dat het mensen kwetsbaar maakt. Je kunt je BSN niet vervangen als deze is gelekt, waarbij een creditcardnummer wél kan worden vervangen. Om dan dit bij datalekken bij gemeenten nu zo centraal te stellen is wel wat misplaatst.
Tussen al het cijfergeweld is er één cijfer dat de Autoriteit Persoonsgegevens niet geeft. Sinds begin 2016 heeft die organisatie de bevoegdheid om boetes op te leggen of een last onder dwangsom te geven. Over dat handhaven hoor je nooit iets. Dat zou moeilijk zijn (en daar kun je over twisten). Ondertussen adviseren sommige advocaten vervolgens om een lek maar niet te melden.
Meer nuance
Datalekken zijn een groot probleem dat maar niet verdwijnt. Maar conclusies over groei kun je op basis van de cijfers van de AP niet trekken. Er zijn tenenkrommende voorbeelden van slechte gemeenten te vinden. Van Ede dat een veelvoorkomend SQL-injectielek tot geheim verklaart tot Rotterdam dat het liefst hele rapporten geheim verklaart.
De AP heeft dankzij de meldplicht een schat aan nuttige gegevens waar we veel van kunnen leren om herhaling te voorkomen. Maar die informatie wordt niet openbaar gemaakt. Het zou Wolfsen als toezichthouder sieren als hij iets beter naar het hele speelveld zou kijken, doorgraaft naar oorzaken van problemen en vooral eens meer details deelt, zodat we kunnen leren. Daar zou ons land digitaal echt veiliger van worden.