Toezicht op datalekken

February 16, 2021

De Autoriteit Persoonsgegevens (AP) is regelmatig in het nieuws. De Tweede Kamer sprak onlangs weer over het budget van de toezichthouder waarbij de kamer heeft besloten dat de AP ruim twee keer zoveel personeel moet krijgen. In een recent persbericht naar aanleiding van een tweede onderzoek om te onderbouwen dat meer budget voor de AP nodig is noemt de AP zelfs expliciet dat Nederland niet aan de wettelijke toezichtseisen voldoet. De AP bedoelt daarmee specifiek artikel 52(4) van de AVG waarin voorgeschreven wordt dat lidstaten hun toezichthouder moeten voorzien van voldoende mankracht, technische middelen, budget, huisvesting en infrastructuur.

Op 9 Februari is er een motie aangenomen dat de AP vanaf 2022 moet groeien van 184 naar 470 fte. Ook inhoudelijk krijgt het werk van de AP veel aandacht, bijvoorbeeld naar aanleiding van de GGD-datalekken over geschreven is door Daniel Verlaan en ook door Nieuwsuur vier maanden eerder. Het is dan vanzelfsprekend dat er vragen komen waarom de achterliggende problemen niet eerder opgelost zijn, maar ook waarom de toezichthouder niet eerder heeft ingegrepen. De druk op de toezichthouder is zo hoog dat de AP de GGD onder ‘verscherpt toezicht’ zegt te hebben gesteld, een begrip zonder wettelijke basis waarvan de AP ook niet heeft uitgelegd wat dat precies betekent en hoe dat in de toezichtsstrategie past.

Over die toezichtsstrategie in het kader van datalekken wil ik het hebben. Als uitgangspunt voor de huidige situatie neem ik de cijfers van 2019 omdat dat de meest recente cijfers zijn die beschikbaar zijn. Voor het behandelen van signalen over niet-gemelde datalekken heeft de AP nul fte beschikbaar en voor het actief veredelen van signalen, waaronder signalen over niet gemelde datalekken 0.2 fte. Het is daarbij belangrijk om op te merken dat het hier niet gaat over het zelf opsporen van ongemelde datalekken, maar het veredelen van signalen die er al zijn en dat de aandacht wordt verdeeld over meerdere onderwerpen, inclusief datalekken. Van alle klachten en signalen die zijn binnengekomen over niet-gemelde datalekken heeft de AP in ongeveer 70 gevallen actie ondernomen richting de organisatie waar het datalek plaatsvond. Het is duidelijk dat er veel meer aandacht besteed wordt aan gemelde datalekken dan aan ongemelde datalekken. Mijn persoonlijke ervaring is dat het vinden van datalekken die waarschijnlijk onterecht niet gemeld zijn relatief makkelijk is. Zo komt de Politie bijvoorbeeld af en toe in het bezit van grote lijsten van slachtoffers van cybercriminelen die de AP zou kunnen gebruiken in haar toezicht. In dergelijke lijsten staan vaak een hoop organisaties die de inbreuken zouden moeten melden aan de Autoriteit Persoonsgegevens en vaak ook aan de betrokkenen.

Voor organisaties die hebben ontdekt dat er een inbreuk is geweest op de beveiliging levert dat hele vervelende situaties op. Ik zal nooit een organisatie adviseren om een datalek niet te melden als ik er van overtuigd ben dat de inbreuk gemeld moet worden. Door zorgvuldig te melden kan een organisatie de kans dat de AP vervolgvragen stelt of een onderzoek start zo klein mogelijk maken. Maar de risico-afweging voor verantwoordelijken die overwegen om te melden is lastig. De kans dat na een melding de AP besluit om toch actie te ondernemen is klein, maar niet verwaarloosbaar. En de gevolgen kunnen best prijzig zijn omdat een vraag van de toezichthouder bijvoorbeeld kan betekenen dat er een externe audit uitgevoerd moet worden naar de oorzaak en gevolgen van het incident. Terwijl de pakkans voor niet melden veel lager lijkt te zijn. Bovendien heeft de AP onder de AVG-meldplicht niet laten zien dat organisaties een boete krijgen vanwege het onterecht niet melden. Uit anekdotes lijkt de handhaving zich vooralsnog te beperken tot een verplichting om alsnog te melden. Door de keuze van de AP om met beperkte middelen vooralsnog meer aandacht te besteden aan de melders van datalekken ondervinden organisaties die besluiten om datalekken niet te melden minder toezichtsdruk. Op de langere termijn zal die houding waarschijnlijk vooral non-compliance bevorderen.

Het zal voor organisaties die netjes de wet willen naleven enorm schelen als de Autoriteit Persoonsgegevens zou laten zien dat ze vooral actief ongemelde datalekken opsporen en handhaven waar dat gepast is. Natuurlijk moeten de meldingen van datalekken ook beoordeeld worden, maar als die vooral gebruikt kunnen worden om organisaties te helpen, bijvoorbeeld door voorlichting te geven over hoe veel voorkomende datalekken beter voorkomen en opgemerkt kunnen worden laat de AP gelijk zien dat de meldplicht meer is dan alleen een administratieve verplichting.

Heeft u vragen over het melden van datalekken, het opstellen van interne procedures of aanverwante vragen, neem dan contact op via info@privacycompany.nl.

Download
Floor
Adviseur