Uw profiel is aangemaakt

U heeft een e-mail ontvangen met een activatielink. Vergeet niet binnen 24 uur uw profiel te activeren. Veel leesplezier!

Datalekken blijft onbestraft

Home

Kristel van Teefelen

Organisaties die privégegevens van burgers verliezen, komen daar nog ongestraft mee weg. © studio Vonq

Organisaties die privégegevens van burgers verliezen, komen daar nog ongestraft mee weg. Sinds het begin 2016 verplicht werd een datalek te melden, zijn geen boetes uitgedeeld.

Dagelijks worden bijna dertig datalekken gemeld, blijkt uit de laatst beschikbare cijfers van de Autoriteit Persoonsgegevens (AP). Dat aantal is gestaag toegenomen sinds de meldplicht begin vorig jaar van kracht werd: van dik duizend in het eerste kwartaal van 2016, tot 2600 het derde kwartaal dit jaar.

Lees verder na de advertentie

Die lekken verschillen in ernst en omvang. Het kan gaan om gegevens van één persoon die aan de verkeerde geadresseerde wordt gestuurd. Maar het kan ook miljoenen mensen treffen. Zo werden na een hack bij taxi-app Uber van 57 miljoen klanten accountgegevens gestolen. Onder die klanten zaten 174.000 Nederlanders.

Dat de AP tot nu toe geen boete uitdeelde – in theorie kan die oplopen tot 820.000 euro – komt volgens de privacywaakhond zelf doordat boetes niet het doel zijn ‘maar een ultiem middel’. Tot nu toe bleek waarschuwen genoeg om het doel van de meldplicht te bereiken, aldus de AP: een betere beveiliging van gegevens.

Tot nu toe bleek waarschuwen genoeg om het doel van de meldplicht te bereiken: een betere beveiliging van gegevens.

Makkelijk wegkomen

Toch vraagt digitale burgerrechtenorganisatie Bits of Freedom zich af of organisaties niet te makkelijk wegkomen als zij de controle over gegevens verliezen. “Er zijn voortdurend datalekken, dus het probleem bestaat nog steeds”, zegt Rejo Zenger, onderzoeker bij de organisatie. Bits of Freedom voerde campagne voor een meldplicht. Vooral om de burger te beschermen. “Als jij weet dat de gegevens van jouw creditcard op straat liggen, dan kun je daarop handelen, zoals je melden bij de creditcardmaatschappij”, aldus Zenger.

Ondanks de meldplicht gebeurt nog steeds het tegenovergestelde: organisaties houden het verlies van gegevens liever voor zich. Experts gaan ervan uit dat het werkelijke aantal datalekken veel hoger ligt dan het aantal meldingen. Uber is daar een voorbeeld van. De hack van miljoenen accounts werd in eerste instantie onder de pet gehouden door het bedrijf.

Tekst loopt door onder infographic.

Meldingen datalekken. © Trouw L&F, SS

Bij de keuze om niet te melden, speelt angst voor reputatieschade mee, denkt Elisabeth Thole, partner privacyrecht bij Van Doorne Advocaten. Al kan het volgens haar ook te maken hebben met een gebrek aan kennis. “Het is voor organisaties lang niet altijd duidelijk wanneer er sprake is van een datalek en wanneer er gemeld moet worden, laat staan wat er gebeurt als het wel wordt gemeld.”

Juridisch advies

Desondanks heeft de meldplicht wel effect gehad, denkt Thole. “Bedrijven zijn zich veel bewuster geworden van de verplichtingen om gegevens goed te beveiligen. Dat merk ik aan de toenemende vraag naar juridisch advies. De meldplicht spreekt tot de verbeelding, helemaal door de boetes die boven de markt hangen.” Als de nieuwe Europese privacyverordening in mei van kracht wordt, kunnen die boetes bovendien oplopen tot 20 miljoen euro, of vier procent van de wereldwijde jaaromzet. Thole: "Het zou mij verbazen als de AP hier geen gebruik van gaat maken."

Als de nieuwe Europese pri­va­cy­ver­or­de­ning in mei van kracht wordt, kunnen die boetes bovendien oplopen tot 20 miljoen euro.

Ook Annetje Ottow, als hoogleraar economisch publieksrecht aan de Universiteit Utrecht gespecialiseerd in toezichthouders, noemt het logisch dat de AP enigszins terughoudend is in het uitdelen van boetes. “Ik vind dat boetes en de effectiviteit daarvan overschat worden. Vooral op een nieuw terrein is het logisch dat de toezichthouder de nadruk legt op voorlichting en waarschuwen.”

Geniale hacker

Laat de zaak-Uber niet bij uitstek zien dat bedrijven blijkbaar weinig vrezen van de autoriteit? Als het gaat om opzettelijk niet melden, of bewust roekeloos gedrag, lijkt het Thomas van Essen, partner bij SOLV advocaten, logisch dat er boetes volgen. Maar volgens hem is het goed dat de AP niet alle datalekken over een kam scheert. “Je hebt organisaties die de beveiliging van gegevens echt niet op orde hebben, maar je hebt ook bedrijven die ondanks alle maatregelen slachtoffer worden van een geniale hacker. Dan zit de schuldvraag anders in elkaar.”

Het zou volgens Rejo Zenger helpen als er veel meer transparantie komt over de meldingen en de oorzaak van de lekken. Nu maakt de AP alleen cijfers, branche en aard van de gelekte gegevens bekend. “Ik begrijp dat de AP voorzichtig moet omgaan met bedrijfsvertrouwelijke gegevens”, zegt Zenger. “Maar met wat meer informatie zouden we veel meer lering kunnen trekken uit de datalekken die er zijn. Wat ging er mis? En is dat bij meer organisaties gebeurd?”

Wat zijn de gevolgen van een datalek

Het is moeilijk te bepalen wat de gevolgen van een datalek zijn. Dat komt doordat bij een lek vaak wel duidelijk is dat mensen die daar geen recht toe hebben bij bepaalde gegevens konden komen, maar dat lang niet altijd duidelijk is wie dat zijn. Laat staan of de data ook daadwerkelijk misbruikt wordt.

Ook hangt de ernst van een datalek samen met welke informatie gelekt wordt. Gaat het om bsn-nummers, namen en geboortedata, dan is er risico op identiteitsfraude. Iemand zou onder jouw naam een rekening kunnen openen, of abonnementen kunnen afsluiten. Hoe groot dat risico daadwerkelijk is, is onbekend. Bij het Centraal Meldpunt Identiteitsfraude zijn geen voorbeelden bekend van slachtoffers van identiteitsfraude als gevolg van een datalek.

Er zijn ook nog andere risico’s van misbruik. Denk aan phishingmails, waarbij internetcriminelen zich voordoen als een bedrijf en zo bijvoorbeeld inloggegevens en wachtwoorden proberen te stelen. Of denk aan de bekende spamberichten. De verzenders kunnen aan een bulk e-mailadressen (en soms ook namen en wachtwoorden) zijn gekomen door een datalek. Wie wil controleren of zijn e-mailadres betrokken was bij een (bekende) datalek, kan terecht op de website haveibeenpwned.com.

Los van de vraag of gelekte data misbruikt worden, kan het vooral ook een onprettig gevoel geven dat bepaalde informatie op straat ligt. Zo zijn er voorbeelden bekend van een arts die medische dossiers op een usb-stick op straat verloor, of van dossiers die naar de verkeerde patiënt zijn gestuurd. 

Deel dit artikel

Tot nu toe bleek waarschuwen genoeg om het doel van de meldplicht te bereiken: een betere beveiliging van gegevens.

Als de nieuwe Europese pri­va­cy­ver­or­de­ning in mei van kracht wordt, kunnen die boetes bovendien oplopen tot 20 miljoen euro.