Gemeentehuis Utrecht

60% van de datalekken bij de provincies wordt niet gemeld

Laatst bijgewerkt: 18 maart 2019
Leestijd: 3 minuten, 8 seconden

Uit een onderzoek van het radioprogramma Reporter Radio in samenwerking met enkele regionale kranten blijkt dat de provincies in driekwart van de gevallen geen melding maken van een datalek. Sinds de regels in 2016 zijn aangescherpt  hebben de provincies 181 datalekken geregistreerd waarvan 110 datalekken niet zijn gemeld bij de Autoriteit Persoonsgegevens (AP).

AVG

Sinds 2016 zijn alle organisaties die met persoonsgegevens te maken krijgen verplicht om een datalekregister bij te houden waarin zij alle datalekken worden omschreven. Ook de provincies en andere overheidsorganisaties dienen zich hier aan te houden. Voorbeelden van datalekken zijn bijvoorbeeld een verloren telefoon of een e-mail die aan de verkeerde persoon is verstuurd.

Sinds 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) van kracht.  Dit heeft veel organisaties ertoe gedwongen om bewuster om te gaan met de persoonlijke gegevens die zij verzamelen. Toch werden er ook na het ingaan van deze privacywet maar 67 van de 91 datalekken bij de provincies gemeld aan het AP. Dit lijkt erg weinig, maar niet alle datalekken hoeven gemeld te worden zolang het waarschijnlijk is dat de data niet op straat is komen te liggen.

In de afgelopen jaren is er veel in de wetgeving omtrent cybersecurity veranderd. Bedrijven en organisaties moeten nog steeds wennen aan de meldplicht van datalekken. Om te zorgen dat de AVG goed wordt nageleefd moet er een bewustzijn worden gecreëerd bij medewerkers in alle lagen van de organisatie. Idealiter is iedereen op de hoogte van de beste methodes om appraten en software te vergrendelen en is er een groot bewust zijn van de gevoeligheid van persoonlijke informatie.  Toch is het niet te voorkomen dat er wel eens een lek voorkomt.  Het doel van de registratieplicht is om de datalekken inzichtelijk te maken en goed af te kunnen handelen.

Wat is een datalek

Een datalek vindt plaats wanneer informatie in handen komt van mensen die niet bevoegd zijn om deze data in te zien. Dit kan allerlei vormen aannemen, van een per ongeluk verkeerd verstuurde e-mail tot een fout in de code die een database aan gegevens bloot legt.  Sinds 2016 zijn organisaties verplicht om alle datalekken bij te houden, zelfs als het gaat om incidenten waarbij de informatie uiteindelijk niet op straat is komen te liggen. Wanneer er persoonsgegevens zijn gelekt dient de organisatie dit te melden bij de Autoriteit Persoonsgegevens (AP).

De hoeveelheid datalekken zegt nog niks over het aantal betrokken persoonsgegevens. Zo zijn er gevallen waarbij persoonsgegevens van een persoon worden gelekt maar zijn er ook incidenten waarbij het gaat over gegevens van duizenden burgers.

De mogelijke gevolgen van een datalek

De gevolgen van een datalek verschillen enorm. Het ligt aan het type data dat op straat is komen te liggen en wie dat in handen heeft gekregen.

Gezien er bij de provincie veel persoonsgegevens van burgers liggen is het cruciaal dat de organisatie de cybersecurity op orde heeft.

Mocht het zo zijn dat er bij een lek gevoelige persoonsgegevens in handen komen van criminelen dan kunnen zij hier identiteitsfraude mee plegen. Dit kan betekenen dat  ze in jou naam misdaden plegen, waarvoor de politie vervolgens bij jou aan de deur komt. De gevolgen van identiteitsfraude kunnen zeer ontwrichtend zijn voor het slachtoffer.

Steekproef van de AP

De Autoriteit Persoonsgegevens meldt gister nog dat ze grote verschillen concluderen tussen verschillende overheidsorganisaties en hoe zij datalekken registreren.  Uit een verkennend onderzoek van de AP bleek dat sommige overheidsorganisaties de  registers veel beter op orde hebben dan andere. Hieronder vallen ook de provincies. De AP geeft aan dat slechts 60% van de meldingen die geregistreerd worden aan alle verplichten elementen voldoen. In veel gevallen wordt dus niet duidelijk omschreven wat voor datalek het is, wat de mogelijke gevolgen zijn, en welke maatregelen de organisatie heeft genomen.  Ook in de methode van registreren is dus nog veel vooruitgang te boeken.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen

Op zoek naar een VPN?

Bekijk ons overzicht met de meest betrouwbare, snelle en veilige VPN-services.
Uitgebreid getest door experts.

Bekijk welke VPN het beste bij je past