1 JAAR MELDPLICHT DATALEKKEN
Sinds 1 januari 2016 is het in Nederland verplicht datalekken te melden bij de Autoriteit Persoonsgegevens (AP). We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Een datalek moet bij de AP gemeld worden als het “leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”.
En gebeurt dat nu vaak? Nee. Het aantal meldingen voor geheel 2016 bedroeg minder dan 6000 stuks. Dus lang niet alle datalekken worden gemeld. Want alleen al het aantal verkeerd geadresseerde e-mails met daarin persoonsgegevens moet een veelvoud hiervan bedragen en dan hebben we het nog niet over de verloren usb-sticks, laptops en dossiers. Bij de AP werken overigens maar enkele tientallen mensen dus die hebben hier ook al de handen vol aan. Wat heeft de AP in 2016 met deze meldingen gedaan? Er is bij 4000 meldingen een ‘eerste onderzoek’ gedaan. En dat heeft geleid tot ruim 100 waarschuwingen. In enkele tientallen gevallen is nog nader onderzoek nodig. Boetes heeft de AP, voor zover bekend, niet opgelegd. Ondertussen wordt de bezetting bij AP uitgebreid en zullen we in de praktijk nog wel even bezig zijn om helder te krijgen welke gebeurtenissen gemeld moeten worden en welke niet. De ‘letter der wet’ is te vinden in de volgende link: richtsnoeren meldplicht datalekken.