'Provincies melden 60 procent datalekken niet bij toezichthouder'

Provincies melden gemiddeld 60 procent van de geregistreerde datalekken niet bij de Autoriteit Persoonsgegevens (AP), de privacytoezichthouder. In 2018 gebeurde dat, ondanks de inwerkingtreding van de privacywet AVG, in driekwart van de gevallen niet, meldt het radioprogramma Reporter Radio zaterdag.

Provincies hebben sinds 2016 in totaal 181 datalekken geregistreerd, blijkt uit opgevraagde gegevens van Reporter Radio, ingezien door NU.nl. Daarvan zijn in ieder geval 110 datalekken (60,8 procent) niet bij de AP gemeld.

Het is sinds 2016 verplicht om datalekken van gevoelige gegevens, bijvoorbeeld op een kwijtgeraakte laptop of via een e-mail die aan de verkeerde persoon is verstuurd, bij de privacywaakhond te melden. Een lek hoeft alleen niet gemeld te worden als er geen risico bestaat dat persoonsgegevens onbedoeld op straat zijn komen te liggen.

In totaal 35 datalekken (19,3 procent) zijn in de afgelopen drie jaar wel bij de Autoriteit Persoonsgegevens aangekaart. In de overige 36 gevallen is het onduidelijk of dat wel of niet is gebeurd.

Sinds mei 2018 is de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), in Nederland van kracht. De bewustwording rondom de meldplicht datalekken is sindsdien groter, zegt AP-voorzitter Aleid Wolfsen zondag in de uitzending van Reporter Radio.

Toch werden in 2018 van de 91 datalekken 67 gevallen (73,6 procent) niet bij de AP gemeld. Hoe dat kan, weet de toezichthouder niet precies. “Dan zou je eigenlijk onderzoek moeten doen naar wat voor type melding het is”, aldus Wolfsen.

Tussen de twaalf provincies zijn grote verschillen als het gaat om het aantal geregistreerde datalekken, concludeert Reporter Radio. Van de 83 datalekken in 2018 is bijna twee derde (53 datalekken) afkomstig van vier provincies: Friesland, Noord-Brabant, Drenthe en Noord-Holland. De overige acht provincies meldden in dat jaar dertig datalekken.

Mogelijk komt dat verschil omdat provincies datalekken niet goed registreren. “Het moet in de boekhouding altijd goed terug te vinden zijn”, zegt Wolfsen. “Sommige overheden doen het heel goed, sommige doen het ook niet goed. Het moet wel in orde zijn, anders maak je je niet controleerbaar.”

De Autoriteit Persoonsgegevens heeft beloofd strenger toe te zien op organisaties die verzuimen datalekken bij de toezichthouder te melden.

Nieuwsbrief