2300 Datalekken! Autoriteit Persoonsgegevens zoekt de publiciteit

2300 Datalekken! Autoriteit Persoonsgegevens zoekt de publiciteit 150 150 Ina Brouwer

Gisteravond bracht het programma Nieuwsuur een interview met Aleid Wolfsen, voorzitter AP, over de 2300 gemelde datalekken in het eerste kwartaal van 2017. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (27%), financiële dienstverlening (21%) en openbaar bestuur (20%).

Het meest voorkomende type datalek was het versturen van persoonsgegevens aan een verkeerde ontvanger (45% van de meldingen). Een gedupeerde caféhouder vertelde in de uitzending dat zijn BSN-gegevens per ongeluk door de gemeente waren gelekt. Weliswaar had hij een excuusbrief ontvangen, maar dat gaf hem nog geen veilig gevoel.  Met een BSN nummer kun je vrij simpel toegang krijgen tot persoonlijke- en financiële data. Weliswaar kun je de schade verhalen op de gemeente (die mogelijkheid is nog weinig bekend!) maar daarmee is je privacybescherming nog niet hersteld.

In een kleine 4% van de meldingen ging het om gegevens van 5.000 mensen. Bij een besmetting met ransomware ging het zelfs om datalekken met gegevens van 300.000 mensen, waaronder financiële gegevens en kopieën van ID-bewijzen. Geen kleinigheid dus!

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Wetgeving en handhaving worden strenger. De AVG versterkt de positie van de betrokkenen. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Nu blijft het  nog bij waarschuwingen, maar dan wordt er bij overtreding direct een boete uitgedeeld, zoals bij een snelheidsovertreding. Dat kan behoorlijk oplopen: tot maximaal 20 miljoen euro of 4% van de wereldwijde omzet van een organisatie.

Datalekken

Bijna niemand ontkomt eraan. Tegenwoordig verwerkt bijna ieder bedrijf of publieke organisatie gegevens van klanten, van burgers of patiënten. Vaak hebben veel medewerkers toegang tot bestanden met daarbij behorende wachtwoorden en inloggegevens. Omdat het zo gemakkelijk is! Slechts zelden staat men stil bij de noodzaak van privacy bescherming of het gevaar van lekken.

‘Maar’, aldus Aleid Wolfsen in Nieuwsuur, “met een boete van een paar miljoen zal die nonchalance gauw verleden tijd zijn”.  En dat zou weleens kunnen. Ook hier geldt dat een gewaarschuwd mens voor twee telt!

Zorg ervoor, zegt de AP vooruitlopend op 2018, “dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee!”

Nu een privacyscan laten doen of een Privacy Impact Assessment op basis van de nieuwe Europese regelgeving is dus geen luxe. Al was het maar om klanten en burgers te beschermen en boetes te ontlopen. En ja, het hoort gewoon ook bij fatsoenlijke bedrijfsvoering.

Datalekken

Auteur: Ina Brouwer, advocaat privacyrecht