Attje Kuiken van de PvdA maakt zich grote zorgen over de explosieve toename van het aantal hackaanvallen en datadiefstallen. Ze vraagt aan minister Sander Dekker voor Rechtsbescherming om tekst en uitleg hierover te geven. Ze wil onder meer weten in hoeveel gevallen de incidenten leiden tot misdrijven als identiteitsfraude en oplichting.
Dat blijkt uit schriftelijke vragen die Kuiken heeft gesteld aan minister Dekker.
AP maakt zich zorgen over explosieve toename datadiefstallen
Maandag luidde de Autoriteit Persoonsgegevens de noodklok. De toezichthouder constateerde dat het aantal datadiefstallen afgelopen jaar met 30 procent is toegenomen ten opzichte van 2019. Daarmee kwam het aantal meldingen van datalekken uit op 1.173. Verder schat de privacywaakhond in dat er vorig jaar persoonsgegevens zijn gestolen van zeshonderdduizend tot twee miljoen Nederlanders.
Bestuursvoorzitter Aleid Wolfsen sprak zijn zorgen uit over deze explosieve toename. De oorzaak schuilt hem in een gebrekkige beveiliging. Een groot deel van het leed had in zijn ogen voorkomen kunnen worden door meerfactorauthenticatie of tweestapsverificatie te implementeren. “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meerfactorauthenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren.”
De Autoriteit Persoonsgegevens vindt het verontrustend dat cybercriminelen steeds vaker hun zinnen zetten op het stelen van persoonsgegevens. Deze data kan worden gebruikt voor identiteitsfraude, spam- en spearphishingaanvallen, WhatsApp-fraude of andere oplichtingspraktijken. Slachtoffers kunnen er jarenlang last van hebben, of al hun spaargeld kwijtraken. Door een tekort in personeel en budget komt de toezichthouder bij slechts een handjevol van dit soort meldingen in actie.
Kuiken: ‘Toezichthouder moet meegroeien met aantal privacyrisico’s’
Net als de Autoriteit Persoonsgegevens is Attje Kuiken van de PvdA niet gerust over deze ontwikkelingen. Voor de sociaaldemocraat was dat aanleiding om minister Sander Dekker voor Rechtsbescherming hierover aan de tand te voelen. Allereerst wil ze van de minister horen in hoeverre hij het verontrustend vindt dat het aantal incidenten van hacking, phishing en malware voor het tweede jaar op rij stijgt.
Kuiken vraagt aan minister Dekker of hij enig idee heeft hoeveel Nederlanders jaarlijks het slachtoffer worden van identiteitsfraude en oplichting, omdat hun persoonsgegevens zijn gestolen. Ook is ze benieuwd of de minister de mening van de toezichthouder deelt dat organisaties waar mensen hun persoonsgegevens aan toevertrouwen daar niet altijd even zorgvuldig mee omspringen.
Tot slot maakt Kuiken zich zorgen over het personeelstekort bij de Autoriteit Persoonsgegevens. Ze wil van minister Dekker horen bij hoeveel datalekken de toezichthouder niet in staat is om actie te ondernemen vanwege een gebrek aan capaciteit. De PvdA’er steekt niet onder stoelen of banken dat de toezichthouder moet meegroeien met de toename van het aantal privacyrisico’s. Alleen zo kan volgens haar de druk op de bescherming van persoonsgegevens minder worden. Kuiken wil van minister Dekker horen of hij het met deze stelling eens is.
Toezichthouder krijgt extra geld, personeel en werkruimte
De AP klaagt al langer over het gebrek aan budget en personeel. Vorig jaar november klaagde Wolfsen over ‘lachwekkende achterstanden’. Afgelopen jaar ontving de toezichthouder 27.800 privacyklachten. Door het personeelstekort duurt het momenteel gemiddeld een half jaar voordat de toezichthouder een privacyklacht afhandelt. Dat komt omdat minder dan één werknemer zich momenteel fulltime bezig houdt met deze taak. Zodoende wordt slechts 0,04 procent van alle klachten afgehandeld. Van alle datalekken die bij de AP worden gemeld, wordt slechts 0,3 procent onderzocht.
Het goede nieuws is dat er verandering in aantocht is. In februari nam de Tweede Kamer een motie aan waarin ze het kabinet oproept om het budget voor de Autoriteit Persoonsgegevens dusdanig te verhogen dat ze haar taak naar behoren kan uitoefenen. In de motie wordt tevens gevraagd om het aantal fte te laten groeien van de huidige 184 naar 470. “Met de brede steun voor de motie om de AP meer slagkracht te geven, is vandaag nogmaals onderstreept hoe belangrijk Nederland de bescherming van persoonsgegevens vindt”, zei Wolfsen in een eerste reactie.
Om al deze mensen te huisvesten, besloot staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops dat de Autoriteit Persoonsgegevens dit jaar gaat verhuizen. Het nieuwe onderkomen wordt een pand aan de Lange Voorhout in Den Haag. Deze locatie biedt ruimte aan 400 medewerkers.
Update (3 maart 2021): ook de SP heeft schriftelijke vragen gesteld aan minister Dekker over de toename van het aantal datalekken en datadiefstallen. Michiel van Nispen wil van de minister horen wat er concreet wat gedaan om te voorkomen dat de overheid persoonsgegevens naar de verkeerde ontvangers verstuurt.
Net als Attje Kuiken is het SP-Kamerlid kritisch over de capaciteit van de Autoriteit Persoonsgegevens. Hij vermoedt dat er te weinig personeel en financiële middelen zijn om datadiefstallen en hacks goed te onderzoeken. Ook wil Van Nispen van minister Dekker horen hoeveel daders er zijn opgespoord en gestraft die zich schuldig hebben gemaakt aan datadiefstal.
Tot slot vindt de SP dat meerfactorauthenticatie de norm zou moeten zijn als men inlogt. Van Nispen vraagt aan minister Dekker of hij wil onderzoeken of het mogelijk is om daar de standaard van te maken.
Update (1 april 2021): zowel de PvdA als SP heeft antwoord gekregen van minister Dekker. Hij geeft aan dat hij het zorgelijk vindt dat cybercrime twee jaar op rij is toegenomen. De coronacrisis speelt daarbij in belangrijke mate parten. De bewindspersoon is van mening dat meer bewustwording over de gevaren van datalekken bijdraagt aan het terugbrengen van het aantal datadiefstallen. “De AVG verplicht tot het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen en het verlies van persoonsgegevens te voorkomen. De verbetering hiervan is in belangrijke mate een kwestie van bewustwording.”
Minister Dekker geeft opnieuw aan dat een volgend kabinet moet besluiten of er meer geld naar de Autoriteit Persoonsgegevens gaat. Hij zegt niet hardop dat er een capaciteitstekort is bij de toezichthouder. “Het is immers niet zo dat elke melding automatisch om ingrijpen van de AP vraagt. De AP beoordeelt na binnenkomst van een melding of actie nodig is, waarbij de ernst van het datalek het zwaarstwegende criterium is”, aldus minister Dekker. Hij zegt dat er niet meer capaciteit nodig is, maar ‘een herprioritering van de bestaande capaciteit’.
Aan de SP laat de minister weten dat het opsporen van cybercriminelen geen taak van de toezichthouder is. “De AP houdt toezicht op de uitvoering van de AVG. Als door een datalek inbreuk wordt gemaakt op de persoonlijke levenssfeer van burgers, dan is een bedrijf verplicht daarvan een melding te doen bij de AP. De AP kan naar aanleiding van de melding onderzoek doen naar het datalek en eventueel een boete opleggen.”
Tot slot geeft minister Dekker aan dat hij meerfactorauthenticatie (MFA) een veiliger middel vindt dan inloggen met een gebruikersnaam en wachtwoord. Het ministerie van Justitie en Veiligheid en Economische Zaken en Klimaat spreken regelmatig met publieke en private partijen om MFA breder in te zetten. Instanties als het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) adviseren om, daar waar mogelijk, MFA te gebruiken.
