“Misschien zijn we te ver doorgeschoten met wettelijke bescherming”. Volgens Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden, zijn de sancties die kunnen worden opgelegd bij het niet melden van een datalek zo zwaar, dat organisaties vrij snel in een soort van kramp schieten.
Beeld: Pixabay/pixel2013
Van den Berg deed haar uitspraken in het programma Reporter Radio, dat zondagavond aandacht besteedde aan de uitkomst van een onderzoek, uitgevoerd in samenwerking met de Leeuwarder Courant, dagblad De Limburger en Omroep Brabant. Met behulp van een Wob-verzoek (beroep op de Wet openbaarheid van bestuur) zijn bij provincies de cijfers opgevraagd van geregistreerde datalekken. Uit het onderzoek komt naar voren dat er vorig jaar een stijging is geweest van het aantal geregistreerde datalekken bij provincies. Waren dat er in 2017 nog 52, in 2018 steeg dit naar 90.
Meldplicht datalekken
Nederland kent sinds 2016 de meldplicht datalekken. Het verplicht organisaties (privaat en publiek) direct een melding te doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. Sinds de invoering van de nieuwe Europese privacywet, die sinds 25 mei 2018 geldt, valt de meldplicht onder de Algemene verordening gegevensbescherming. De AVG verplicht organisaties om alle datalekken te documenteren, zodat door de AP gecontroleerd kan worden of organisaties hebben voldaan aan de meldplicht.
Koploper als het gaat om geregistreerde lekken, is de provincie Fryslân. Vorig jaar werd daar 16 keer een datalek geregistreerd, tegen 1 datalek over het jaar 2017. In de provincie Noord-Brabant werden vorig jaar 14 datalekken geregistreerd, in de provincie Drenthe 13. De lijst wordt afgesloten door de provincie Zeeland, met één geregistreerd lek. Volgens Stef Altena, journalist van de Leeuwarder Courant, is er in 2018 vanuit de provincie Fryslân één datalek gemeld aan de AP. Het betrof een e-mail vanuit de afdeling P&O van de provincie, met daarin de salarisgegevens van 180 medewerkers. De e-mail was verstuurd naar tien managers binnen de provincie, die geen recht op inzage in de salarisgegevens hadden. “Bij de provincie proberen ze te leren van dit soort fouten”, aldus Altena. “Ze schrikken ook niet echt dat zij koploper zijn. Volgens de provincie Fryslân geeft het aantal geregistreerde meldingen juist aan dat zij goed op het onderwerp zitten.”
Veel en weinig
Ook Bibi van den Berg schrikt niet van het aantal datalekken bij de provincies. “Het is veel en weinig tegelijkertijd. Je hebt het wel over bijna een verdubbeling ten opzichte van 2017. In die zin is het veel, maar dat heeft alles te maken met de komst van de AVG in 2018. Het is weinig als je ziet naar het totaalaantal meldingen dat bij de AP binnenkomt. Vorig jaar kreeg de AP in totaal circa 21.000 datalekmeldingen binnen en dan is het aantal meldingen vanuit de provincies niet veel.”
Van den Berg zet wel vraagtekens bij de proportionaliteit van de huidige meldplicht. “Van die 21.000 meldingen is tweederde in behandeling genomen door de AP en uiteindelijk hebben een kleine 300 zaken geleid tot een reactie van de AP. Dat is ongeveer 1,5 procent van alle datalekken die zijn gemeld. De sancties zijn nu zo zwaar, dat organisaties snel in een kramp schieten en denken dat zij alles moeten melden. Je kunt twisten over de eisen die worden gesteld wanneer je moet melden. Wat is een risico voor natuurlijke personen? Is dat het geval als een lek gaat over één persoon? Hoe groot is die schade dan daadwerkelijk? Je kunt je afvragen of de wereld er veiliger van wordt door het op deze manier in te richten? Dat denk ik niet”, aldus Van den Berg.
Volgens Van den Berg is het zinvol als medewerkers in organisaties zich beter leren beseffen wanneer ze met persoonsgegevens in de weer zijn en dat dat kwetsbare data zijn waar je zorgvuldig mee moet omgaan. “Maar of het zinvol is om bij ieder e-mailtje dat je per ongeluk hebt verstuurd aan de verkeerde persoon gelijk te denken dat het een datalek is waar je vervolgens een dossier van moet aanleggen en moet melden aan de AP? Ik weet niet of dat iets oplost.”
Volgens mij valt het ook weer mee. Melden hoeft namelijk niet volgens art. 32 van de AVg als “het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.” Dit betekent dat er wel echt iets aan de hand moet zijn waar de betrokkenen echt hinder van kunnen ondervinden. Dat is bijvoorbeeld niet te geval als de ontvanger, zodra hij merkte dat de data niet voor hem bestemd waren, die heeft vernietigd. Als de data wel zijn ‘gelekt’, maar er gebeurt niets (noemenswaardigs) mee, of als de gelekte data geen risico op privacyschending opleveren, dan hoef je niet te melden. Kortom: melden datalek binnen 72 uur is verplicht, als er écht iets aan de hand is. Het zou goed zijn als de Autoriteit Persoonsgegevens hierop (met de andere Europese toezichthouders) duidelijk beleid ontwikkelt.