Eén jaar meldplicht datalekken: wat heeft het ons gebracht?

“In de periode 1 januari tot en met 15 december 2016 zijn bijna 5500 datalekken gemeld aan de Autoriteit Persoonsgegehens (AP)”, aldus diezelfde AP vandaag in een nieuwsbericht. Door de invoering van de meldplicht datalekken verwachtte de Autoriteit Persoonsgegevens jaarlijks zo’n 66.000 meldingen te krijgen. Maar nu we eind 2016 de balans opmaken, blijkt het daadwerkelijke aantal meldingen dus nog geen 10% van het verwachte aantal. De AP kan niet zeggen of bedrijven niet melden uit onbekendheid met de verplichting, of dat er sprake is van een weloverwogen keuze, zo berichtte het FD onlangs nog.

Veel onderzoek

Het aantal mensen dat wordt geraakt door een datalek varieert per melding van één tot (in enkele gevallen) honderdduizenden betrokkenen. In 4000 van de 5500 gevallen leidde de melding tot een onderzoek door de AP. Meer dan honderd organisaties kregen een waarschuwing. Enkele tientallen onderzoeken lopen nog.

Regelmatig voorkomende datalekken waren:

De meeste meldingen komen uit de zorg (29%), financiële dienstverlening (17%) en openbaar bestuur zoals gemeenten (15%). Nu het in deze sectoren vaak gaat om gevoelige persoonsgegevens (zoals gezondheidsgegevens, financiële gegevens en/of het burgerservicenummer (BSN), dient een melding aan de AP eigenlijk altijd plaatsvinden.

Topje van de ijsberg

“Het kan bijna niet anders dan dat er meer datalekken zijn”, zo zei vicevoorzitter Wilbert Tomesen van de AP al in mei tegen de NOS. Er zijn meer dan 130.000 organisaties in Nederland die persoonsgegevens verwerken. In de media verschijnen iedere week wel berichten over nieuwe datalekken. De AP houdt dan ook de media in de gaten om te checken of die datalekken wel worden gemeld. Waar gaat het dan mogelijk toch mis?

Vier mogelijke redenen

1. Open ‘vage’ normen
Niet elk datalek hoeft te worden gemeld. Of een datalek moet worden gemeld aan (1) de AP én (2) de betrokkene hangt namelijk af van een dubbele toets. Zo moet (1) de afweging worden gemaakt of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens’. En (2) of er ‘waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene’ zijn.

Zelfs voor grote bedrijven zal deze afweging zonder raadpleging van een privacy expert erg lastig zijn. Bovengenoemde normen zijn zó open, dat vrij weinig mensen er wat mee kunnen. De AP geeft weliswaar een scala aan voorbeelden in zijn beleidsregels, maar in de praktijk zien wij dat de omstandigheden toch elke keer weer nèt anders zijn. Juridische bijstand is dus bijna altijd noodzakelijk.

En áls we dan tot de conclusie komen dat een datalek niet hoeft te worden gemeld, dan nóg moet een bedrijf achteraf kunnen verantwoorden waarom het datalek niet is gemeld. Altijd (laten) documenteren dus, die afweging!

2. Onduidelijkheid over handhaving
Als een bedrijf een datalek niet meldt, kàn daar een hoge boete op staan: maximaal 900.000 euro of tien procent op de jaaromzet. Vooralsnog heeft de AP echter geen boetes uitgedeeld voor het niet melden van datalekken. Toch meldde Aleid Wolfsen in oktober van dit jaar dat de eerste boetes zullen volgen.

Nu de AP geen gedetailleerde onderzoeksresultaten toont, valt ook lastig te beoordelen hoe (streng) de AP handhaaft. Hoe streng past de AP bovengenoemde open normen toe? Geeft de AP in beginsel standaard een waarschuwing (‘bindende aanwijzing’) om bijvoorbeeld de beveiligingsmaatregelen aan te scherpen? Hoe snel gaat de AP over tot het opleggen van boetes (pas daar waar een bedrijf echt de beveiliging aan zijn laars heeft gelapt of het datalek verwijtbaar niet heeft gemeld)? We zullen moeten afwachten tot de AP de eerste boetes uitdeelt, meer informatie zal openbaar maakt of wellicht onderzoeksresultaten worden gewobt.

3. Bedrijven zijn niet-compliant
De AP geeft aan dat het de indruk heeft dat de bewustwording over het belang van beveiliging van persoonsgegevens bij mensen is gegroeid. Zo ontvangt de AP regelmatig tips en signalen over mogelijk onvoldoende beveiliging bij organisaties. Naar aanleiding hiervan heeft de AP meer dan 100 organisaties waarschuwingen gegeven dat zij hun beveiliging op orde moeten brengen, omdat er mogelijk een datalek kan ontstaan.

Uit het feit dat er nog zo weinig wordt gemeld kan gemakkelijk worden afgeleid dat bedrijven tot op heden té huiverig zijn om te melden. Bedrijven vrezen te worden onderworpen aan een onderzoek door de AP. Niet alleen beveiligingsrisico’s kunnen dan worden blootgelegd. Ook andere problemen kunnen aan het daglicht komen. Denk aan het ontbreken van noodzakelijke bewerkersovereenkomsten, geen logboeken en protocollen en niet of onvoldoende gewaarborgde rechten van betrokken.

Al eerder berichtten wij dat weinig bedrijven compliant zullen zijn met de huidige privacywetgeving, laat staan al zijn voorbereid op de Algemene Verordening Gegevensbescherming die vanaf 25 mei 2018 door de AP zal worden gehandhaafd. Nog maar 18 maanden tot de nieuwe privacywetgeving; de tijd tikt dus! Hier is juist een taak weggelegd voor de AP om bedrijven nog meer een helpende hand te bieden in de zoektocht naar compliance.

4. Angst voor reputatieschade
Het voldoen aan de meldplicht datalekken heeft in de ogen van veel bedrijven potentieel grote materiële en immateriële schade tot gevolg. Ze vrezen (terecht of onterecht) voor enorme reputatieschade. Veel bedrijven beschouwen het daarom lonend om het risico te lopen mogelijk later betrapt te worden en de eventuele boete te betalen. We zien datalekken die pas jaren later met de buitenwereld gedeeld worden. Hier is ook een taak voor de AP weggelegd om bedrijven juist te stimuleren een melding te doen wanneer dat noodzakelijk is.

Conclusie

Er is werk aan de winkel voor de AP om ervoor te zorgen dat bedrijven toch hun datalekken gaan melden. De AP zegt het belangrijk te vinden dat organisaties gegevens over de beveiliging van persoonsgegevens of over gelekte persoonsgegevens vertrouwelijk kunnen melden. De AP doet daarom geen uitspraken over specifieke meldingen. Wel geeft de AP algemene, anonieme informatie over de meldingen in jaarverslagen of andere publicaties. Het zou goed zijn als de AP hier snel mee komt.

Daarmee zou de AP ernaar moeten streven transparanter te zijn in zijn onderzoek en handhaving. Op die manier krijgt de (handhaving van) de meldplicht datalekken meer het gezicht van een sturingsmechanisme dan van een puur punitief correctiemiddel. Bedrijven worden dan minder huiverig om een melding te doen; minder bevreesd voor de gevolgen. De AP zou bijvoorbeeld duidelijk kunnen maken dat hij (waar nodig) in beginsel altijd eerst een bindende aanwijzing geeft. Uiteraard staat het voorop dat in geval van opzet of bewuste roekeloosheid een boete altijd een passende maatregel blijft.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.