Na het eerste kwartaal van 2017 heeft de Autoriteit Persoonsgegevens (AP) de balans opgemaakt over het aantal binnengekomen datalekken. Ruim 2300 meldingen. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (27%), financiële dienstverlening (21%) en openbaar bestuur (20%). Een forse stijging in vergelijking met 2016 waar 1061 meldingen werden gedaan in het eerste kwartaal. En dat is eigenlijk een heel goed bericht. Het aantal datalekken was voor de verplichte melding bij de Autoriteit Persoonsgegevens namelijk ook al volop aanwezig alleen volledig aan het zicht onttrokken.
Met de huidige Wet Bescherming Persoonsgegevens zijn bedrijven en overheden per 1 januari 2016 verplicht melding te doen van bekende nieuwe datalekken. Een stijging in het aantal was dan ook te verwachten.
Opvallend genoeg melden media als Nos.nl en Tweakers.net specifiek dat gemeenten fors meer meldingen hebben gedaan. Van alle 484 meldingen binnen openbaar bestuur zijn 331 meldingen afkomstig van gemeenten. Dat is 15% van het totaal aantal meldingen. Een verdere analyse laat zien dat dat de meldingen een combinatie zijn van allerlei type datalekken. Van verkeerd geadresseerde post tot verlies van gegevensdragers. De berichten geven het beeld dat het bij gemeenten slecht gesteld is met data privacy.
Op basis van alle bedrijven en overheden die data verwerken is 15% van de meldingen voor gemeenten uiteraard een fors percentage, maar wellicht logisch te verklaren. De opvolger van de Wet bescherming persoonsgegevens, de Algemene Verordening Gegevensbescherming, verplicht gemeenten om een Functionaris Gegevensbescherming (FG) aan te stellen. En hier sturen veel gemeenten nu al op aan omdat dit per mei 2018 effectief dient te zijn. Het hebben van een persoon die specifiek toegewijd is om datalekken te melden en het voorkomen van datalekken door realisatie van bewustzijn, inrichting van processen en procedures zal in beginsel uiteraard leiden tot een stijging van het aantal meldingen.
Ondanks dat iedere organisatie zich zal moeten houden aan de regels van de Algemene Verordening Gegevensbescherming is het aanstellen van een Functionaris Gegevensbescherming niet voor iedereen van toepassing. Hierdoor zullen minder organisaties vrijwillig data privacy processen inrichten en toetsen waardoor ook minder zicht is op de mogelijk plaatsgevonden incidenten. Dat leidt vanzelfsprekend ook minder meldingen bij de Autoriteit Persoonsgegevens waarbij er een vertekend beeld ontstaat waarbij organisaties en overheden die de verplichtingen voor een Functionaris Gegevensbescherming wel hebben naar verhouding veel vaker meldingen zullen doen.
De sterke stijging van het aantal meldingen en specifiek bij gemeenten geven aan dat er nog een hoop werk te verzetten is om data privacy goed te borgen maar ook dat de borging van data privacy toe neemt als er meer focus op wordt gelegd. Immers, bewustwording van de problemen is de eerste stap naar de oplossing.
bron: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/meldingen_datalekken_openbaar_bestuur_q1_2017.pdf
http://nos.nl/nieuwsuur/artikel/2172451-meer-meldingen-van-datalekken-door-gemeenten.html https://tweakers.net/nieuws/124527/autoriteit-persoonsgegevens-krijgt-meer-meldingen-van-gemeentelijke-datalekken.html
door: Martijn Faber – Priviteers B.V.