Meldformulier voor datalekken AP tijdelijk offline

Close-up van een man die aan het werk is op zijn laptop

Vanaf maandag 10 mei neemt de Autoriteit Persoonsgegevens een nieuw aanmeldformulier voor datalekken in gebruik. Om de vernieuwde digitale formulieren in gebruik te kunnen nemen, moet de bijbehorende webpagina aangepakt worden. Zodoende kunnen bedrijven en organisaties tussen vrijdag 7 mei om 9:00 tot maandag 10 mei 10:00 geen datalekken melden.

Dat schrijft de toezichthouder in een persbericht.

Meldplicht tijdelijk opgeschoven

Artikel 33 lid 1 van de Algemene Verordening Gegevensbescherming (AVG) verplicht bedrijven en organisaties om binnen 72 uur melding te maken als er zich een datalek voordoet. Dit moeten zij melden bij de ‘toezichthoudende autoriteit’. In Nederland is dat de Autoriteit Persoonsgegevens.

Doordat de digitale formulieren om datalekken aan te melden bij de toezichthouder komend weekend niet beschikbaar zijn, wordt de meldplicht tijdelijk opgeschoven. Bedrijven en organisaties die tussen 7 mei en 10 mei een datalek ontdekken, moeten daar uiterlijk vrijdag 14 mei melding van maken. Datalekken die vanaf 10 mei aan het licht komen, moeten binnen 72 uur gemeld worden.

De toezichthouder zegt dat het nieuwe formulier een aantal verbeteringen voor de gebruiker bevat. Het aanvullen van een eerdere melding wordt eenvoudiger. Verder kan de gebruiker tussentijds de aanmelding van een datalek opslaan om er op een later moment verder aan te werken. Dat laatste is een welkome aanvulling, omdat het behoorlijk wat tijd in beslag neemt om een complete en volledige melding te maken.

Beperkt aantal datalekken wordt daadwerkelijk onderzocht

Het onderzoeken van datalekken is een van de belangrijkste taken van de Autoriteit Persoonsgegevens. Door een tekort aan personeel en budget komt de toezichthouder daar echter amper aan toe. In het jaarverslag dat de AP in maart presenteerde, schreef de privacywaakhond dat het aantal meldingen van datadiefstallen met 30 procent was toegenomen in een jaar tijd.

De Autoriteit Persoonsgegevens ontving in 2020 in totaal 1.173 datalekmeldingen. Daaronder vallen grote datalekken zoals bij de GGD, Ticketcounter en Allekabels.nl, waarbij miljoenen gedupeerden zijn te betreuren. Ook kleinere datalekken zoals bij de Nederlandse Aardoliemaatschappij (NAM), energiemaatschappij Eneco en bouwbedrijf Heijmans belanden op dezelfde stapel.

Vicevoorzitter Katja Mur vertelde in februari aan de Tweede Kamer dat slechts 0,3 procent van deze meldingen daadwerkelijk wordt onderzocht door de toezichthouder. Gezien de beperkte capaciteit ligt het voor de hand dat alleen de grootste en meest ernstige datalekken onder de loep worden genomen.

Geen extra geld en personeel voor de Autoriteit Persoonsgegevens

Voorlopig ziet het er niet naar uit dat er verandering komt in de situatie van de toezichthouder. Afgelopen februari stelde SP-Kamerlid Maarten Hijink een motie op waarin hij het kabinet vroeg om het aantal fte uit te breiden van 184 naar 470 en het budget van de Autoriteit Persoonsgegevens te verhogen naar 66 miljoen euro in 2025, het bedrag dat volgens onderzoekers van KPMG noodzakelijk is om hun werk goed te kunnen doen.

Een ruime meerderheid van de Tweede Kamer stemde in met deze motie. Demissionair minister voor Rechtsbescherming Sander Dekker, verantwoordelijk voor het reilen en zeilen van de Autoriteit Persoonsgegevens, weigerde echter om gehoor te geven aan deze motie. Hij vindt dat de toezichthouder onvoldoende kan onderbouwen hoeveel geld ze nodig heeft om haar taken uit te oefenen. Daarnaast vindt hij het niet passend dat een demissionair kabinet een dergelijke verstrekkende beleidsmaatregel uitvoert. “Investeringen als deze vragen om fundamentele beleidskeuzes die aan een volgend kabinet zijn. Ik laat de besluitvorming over de uitvoering van deze motie daarom over aan een volgend kabinet”, zo zei minister Dekker begin maart.

Dekker: ‘Bewustwording voorkomt datalekken’

Het is niet zo dat minister Dekker ontkent dat het aantal datalekken afgelopen jaar fors is toegenomen. Extra geld en personeel is niet per definitie de oplossing voor dit probleem. Begin april stelde hij dat bedrijven en organisaties een eigen verantwoordelijkheid hebben in deze kwestie. Bewustwording van het probleem is een belangrijke eerste stap. “De AVG verplicht tot het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen en het verlies van persoonsgegevens te voorkomen. De verbetering hiervan is in belangrijke mate een kwestie van bewustwording.”

De Autoriteit Persoonsgegevens moet daarin volgens hem de voortrekkersrol in nemen. “De voorlichtende rol met betrekking tot de AVG ligt primair bij de AP”, zo schreef de minister aan de Tweede Kamer. Dekker stelt dat ook de overheid een verantwoordelijkheid daarin heeft en neemt het voortouw in het vergroten van het privacybewustzijn bij overheidsorganisaties.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen