AP bezorgd over te weinig capaciteit bij organisaties voor privacytoezicht

Volgens de AP werden in 2025 ruim 44.000 datalekken gemeld, tegenover ongeveer 38.000 een jaar eerder. Door dat hoge aantal meldingen werkt de toezichthouder risico-gestuurd en richt zij zich vooral op incidenten met de grootste gevolgen voor slachtoffers. Preventief toezicht blijft daardoor grotendeels liggen.

Te laag beveiligingsniveau

De toezichthouder constateert dat het beveiligingsniveau bij organisaties 'zowel technisch als organisatorisch te laag ligt'. Uit zelfrapportages van organisaties blijkt dat een derde incidenten wijt aan ontbrekend beleid. Bij 40 procent is er wel beleid, maar ontbreekt het aan uitvoering of controle.

De AP roept organisaties op om cyberveiligheid structureel te verankeren in bestuur en organisatie. Audits, beveiligingstests en technische waarborgen zouden volgens de toezichthouder standaard onderdeel moeten zijn van het beveiligingsbeleid.

Daarnaast benadrukt de AP dat organisaties onvoldoende maatregelen nemen om de gevolgen van datalekken te beperken. De toezichthouder noemt daarbij dataminimalisatie, naleving van bewaartermijnen en snelle informatievoorziening aan slachtoffers als noodzakelijke basismaatregelen. 'Momenteel ziet de AP nog te vaak dat organisaties niet voldoen aan deze basismaatregelen.'

ICT-leveranciers preventief controleren

Ook ICT-leveranciers krijgen nadrukkelijk aandacht in het paper. Omdat veel organisaties afhankelijk zijn van externe systemen en diensten, wil de AP leveranciers preventief gaan controleren op hun digitale beveiliging.

Tegelijkertijd stelt de toezichthouder dat adequaat toezicht onder druk staat door een gebrek aan capaciteit. De AP wil meer risico-gestuurd preventief toezicht uitvoeren en vaker onderzoeken starten die tot sancties kunnen leiden, maar zegt daarvoor onvoldoende middelen te hebben.