Veel datalekken blijven mogelijk onopgemerkt

Het lijkt erop dat organisaties datalekken niet melden, terwijl ze dat sinds 1 januari 2016 wel verplicht zijn volgens de Meldplicht Datalekken. Dit concludeert de toezichthouder Autoriteit Persoonsgegevens. Voor het niet melden kan in het ergste geval een boete worden opgelegd van € 820.000 of 10% van de jaaromzet.

Volgens de Autoriteit Persoonsgegevens (AP) kan het niet anders of er worden veel datalekken niet gemeld. Dat is een statistische aanname; er zijn in Nederland 130.000 organisaties die persoonsgegevens verwerken. Gebaseerd op de cijfers van eerdere jaren werd verwacht dat er dit jaar 60.000 meldingen zouden komen. Nu we al weer bijna op de helft van het jaar zijn, zou je dus kunnen verwachten dat het aantal meldingen naar de 30.000 kruipt. In werkelijkheid heeft de AP pas tussen de 1.600 en 2.000 meldingen ontvangen. Voor een deel kan dit lage aantal komen omdat organisaties nog moeite hebben te bepalen wanneer iets nu precies een lek is. De AP wijst erop dat lekken niet alleen ontstaan door onveilige websites, maar vooral ook door slordigheid. Natuurlijk de verloren USB-stick of laptop, maar ook een mail met gevoelige informatie die naar de verkeerde persoon wordt gestuurd of papieren documenten die niet door de versnipperaar worden gehaald.

Melding via Meldloket Datalekken

Een lek moet gemeld worden als er nadelige gevolgen voor de bescherming van persoonsgegevens te verwachten zijn. Dit kan via het Meldloket Datalekken van de AP. Naast het doen van een nieuwe melding is het ook mogelijk een bestaande melding aan te passen of in te trekken. Ook is er een tipformulier als iemand een lek wil melden maar zelf niet bij de organisatie werkt die persoonsgegevens is kwijtgeraakt.