Dekker: ‘Bewustwording voorkomt datalekken’

Netwerkkabel aangesloten op een switch board in een datacenter

Demissionair minister voor Rechtsbescherming Sander Dekker stelt dat bewustwording van groot belang is om datalekken te voorkomen. De Autoriteit Persoonsgegevens speelt daarbij een prominente rol, omdat voorlichting op dit vlak tot haar wettelijke taken behoort. Het kabinet gaat zich inzetten voor vergroting van het privacybewustzijn.

Dat schrijft minister Dekker in een brief aan de Tweede Kamer.

Toezichthouder ongerust over stijging datadiefstallen

Begin maart luidde de Autoriteit Persoonsgegevens de noodklok. In haar jaarverslag stelde de toezichthouder vast dat het aantal datadiefstallen afgelopen jaar met 30 procent was toegenomen ten opzichte van 2019. Alles bij elkaar opgeteld ontving de privacywaakhond 1.173 datalekmeldingen.

Het aantal privacyklachten van burgers, bedrijven en andere organisaties kwam in heel 2020 uit op 25.950. Dat zijn er bijna 2.000 minder dan in 2019. Deze daling is volgens bestuursvoorzitter Aleid Wolfsen te verklaren doordat de klachtenlijn onderbezet was. Tevens vermoedt hij dat burgers zijn ontmoedigd om een klacht in te dienen, omdat de behandeling ervan gemiddeld een half jaar op zich laat wachten. De enorme wachttijd wordt veroorzaakt door een gebrek aan personeel en budget, een standpunt dat hij eerder deze week nog eens herhaalde op BNR Nieuwsradio.

Wolfsen gaf aan zich grote zorgen te maken over de explosieve toename van het aantal datadiefstallen en hacks. “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging”, aldus de voorzitter van de toezichthouder. Tweestapsverificatie zou in zijn ogen overal de standaard moeten zijn.

Lastig om vast te stellen hoe vaak datalekken tot online misdrijven leiden

De bevindingen in het jaarverslag van de toezichthouder waren voor de PvdA aanleiding om kritische vragen te stellen aan minister Dekker voor Rechtsbescherming. Vier weken nadat Attje Kuiken schriftelijk vragen indiende over het onderwerp, heeft de minister haar vragen beantwoord. Hij zegt dat hij het een zorgelijke ontwikkeling vindt dat ‘geregistreerde cybercrime en gedigitaliseerde criminaliteit’ twee opeenvolgende jaren zijn gestegen. De coronapandemie heeft er volgens de bewindsman voor gezorgd dat cybercriminaliteit af afgelopen jaar nog verder is toegenomen.

Op de vraag in hoeveel gevallen de incidenten daadwerkelijk leiden tot misdrijven als oplichting en identiteitsfraude, kan minister Dekker geen antwoord geven. Dat komt omdat cybercriminelen en hackers vaak op verschillende manieren aan persoons- en andere vertrouwelijke gegevens komen (phishing, monitoren van sociale media, onderscheppen van de post). Daarnaast worden vaak meerdere datasets gecombineerd. Soms gaat er dusdanig veel tijd overheen dat het voor de politie en het Openbaar Ministerie lastig is om een direct verband aan te tonen. Tot slot hebben slachtoffers vaak zelf geen idee hoe de daders aan de gegevens komen, waardoor het niet herleidbaar is.

Minister Dekker: ‘Meer bewustwording vermindert het aantal datalekken’

Minister Dekker erkent dat het aantal datalekken vorig jaar fors is toegenomen. Dat bedrijven onzorgvuldig en laks met persoonsgegevens omspringen, is volgens hem niet per se de oorzaak daarvan. Hij sluit het echter ook niet uit. Meer bewustwording levert volgens Dekker wel een belangrijke bijdrage aan de oplossing. “De AVG verplicht tot het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen en het verlies van persoonsgegevens te voorkomen. De verbetering hiervan is in belangrijke mate een kwestie van bewustwording.”

Om meer bewustwording te creëren, is volgens Dekker een belangrijke rol weggelegd voor de Autoriteit Persoonsgegevens. “De voorlichtende rol met betrekking tot de AVG ligt primair bij de AP”, schrijft de minister aan de Tweede Kamer. Ook de overheid heeft een verantwoordelijkheid daarin en neemt het voortouw in het vergroten van het privacybewustzijn.

Niet meer geld naar de Autoriteit Persoonsgegevens

Kuiken stelde tevens een aantal vragen over het personeelstekort bij de Autoriteit Persoonsgegevens. Ze vroeg bij hoeveel datalekken de toezichthouder niet in staat was om actie te ondernemen doordat ze te weinig medewerkers in dienst heeft. Minister Dekker stelt dat het onmogelijk is om aan te geven of het niet oppakken van gemelde datalekken te wijten is aan een capaciteitsgebrek. “Het is immers niet zo dat elke melding automatisch om ingrijpen van de AP vraagt. De AP beoordeelt na binnenkomst van een melding of actie nodig is, waarbij de ernst van het datalek het zwaarstwegende criterium is.”

Op de vraag wanneer de minister meer geld vrijmaakt voor de toezichthouder, herhaalt Dekker zijn eerdere standpunt. “Het vergroten van de opdracht aan de AP door toekenning van meer middelen op bijvoorbeeld dit specifieke punt of in totaliteit, zoals is verzocht in de motie van het lid Hijink c.s., vraagt om investeringen en fundamentele beleidskeuzes die aan een volgend kabinet zijn. Zoals ik per brief van 1 maart aan uw Kamer heb laten weten, is het gelet op de demissionaire status van dit kabinet thans niet mogelijk om toezeggingen te doen over de verhoging van het budget van de AP.”

Tevens verwijst minister Dekker naar de afname van het aantal privacyklachten in het jaarverslag. “Dit impliceert dat niet meer capaciteit nodig is, maar een herprioritering van de bestaande capaciteit. Het is aan de AP om haar capaciteit risico-gestuurd in te zetten.”

Ook SP krijgt antwoord op schriftelijke vragen

Ook Michiel van Nispen (SP) richtte meerdere schriftelijke vragen over het onderwerp tot minister Dekker. Hij vroeg zich onder meer af of de Autoriteit Persoonsgegevens en politie voldoende capaciteit hebben om alle meldingen van hacks, phishing en malware te onderzoeken. De minister voor Rechtsbescherming stelt dat het opsporen van cybercriminelen geen taak is van de toezichthouder. “De AP houdt toezicht op de uitvoering van de AVG. Als door een datalek inbreuk wordt gemaakt op de persoonlijke levenssfeer van burgers, dan is een bedrijf verplicht daarvan een melding te doen bij de AP. De AP kan naar aanleiding van de melding onderzoek doen naar het datalek en eventueel een boete opleggen.”

Bij het Team High Tech Crime van de Landelijke Eenheid en de cybercrimeteams in de regionale eenheden is de capaciteit de afgelopen jaren met 100 fte uitgebreid. Daarnaast is 45 fte ingezet om de aanpak verder te versterken. “De politie werkt met een fenomeenaanpak, waarbij zij proactief kijkt naar de brede bestrijding van specifieke cybercrimefenomenen. Zeker gezien de digitalisering van onze samenleving is het aannemelijk dat cybercrime zal toenemen. Daarom wordt naast opsporing ook ingezet op alternatieve interventies met publieke en private partners, zoals verstoring en preventie”, schrijft de minister.

Minister Dekker is het met Van Nispen eens dat meerfactorauthenticatie (MFA) veiliger is dan enkel een gebruikersnaam en wachtwoord. Instanties als het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) adviseren om MFA zo veel mogelijk te gebruiken. Ook wordt hier volop aandacht aan besteed in bewustwordingscampagnes. “In het kader van het publieke-private Convenant Preventie Cybercriminaliteit, spreken de ministeries van Economische Zaken en Klimaat en Justitie en Veiligheid met diverse publieke en private partijen onder meer over hoe meerfactorauthenticatie breder kan worden gebruikt”, zo belooft de minister.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen