Dat kan beter! had moeten zijn, maar de Autoriteit Persoonsgegevens (AP) blijft kiezen voor handmatig melden.” Wat volgens Terra regelmatig nog gebeurt is dat organisaties met het invullen er halverwege pas achter komen dat er nog allerlei zaken moeten worden uitgezocht, waarvoor andere afdelingen in de organisatie moeten worden ingeschakeld. “Het is in principe goed dat deze vragen beantwoord moeten worden, omdat dit er ook voor zorgt dat organisaties zichzelf blijven evalueren. Maar het kost wel weer een paar uur extra.” Niet-gemelde datalekken In het jaarverslag van 2021 gaf de toezichthouder al aan dat door de beperkte capaciteit en middelen er niet kan worden geïnvesteerd in de innovatie. “Investeringen zouden het toezicht van de AP effectiever kunnen maken. Bijvoorbeeld door vaak voorkomende toezichtsactiviteiten te automatiseren. Of door een diepgaande analyse van de aan de AP ter beschikking staande bronnen zoals de klachten en datalekmeldingen”, aldus de AP in het jaarverslag. Naast het punt van de administratieve werklast, zijn er ook datalekken die niét gemeld worden. Terra denkt dat juist hier nog winst te behalen is. “De tijd die door de AP in niet-gemelde datalekken wordt gestoken is bijna verwaarloosbaar. Organisaties melden nu de zichtbare datalekken, maar er is relatief weinig aandacht voor gevallen waarbij het onduidelijk is of er data gestolen zijn. Zoals bij ransomware-besmettingen waarbij gegevens versleuteld worden door een hacker.” Volgens Terra wordt er dan maar vanuit gegaan dat er niets is ‘gestolen’. “Maar het is een misvatting dat versleutelde data niet gestolen kunnen worden. Dat kan namelijk wel. Bij dit soort gevallen, met heel weinig pakkans, wordt er vaak vanuit gegaan dat de AP er toch niet achter zal komen. Bovendien levert een melding alleen maar lastige vragen op; bepaald geen aanmoediging om te melden. De AP maakt zelf de keuze om bijna geen toezicht te houden op niet-gemelde datalekken. Het lastige daarvan is dat je daarmee de focus legt op zichtbare problemen in plaats van op grote problemen.” Een woordvoerder van de AP geeft tegenover iBestuur aan dat de tijd die in niet-gemelde datalekken wordt gestoken ‘sowieso minder dan 5 procent is.” Terra herhaalt daarnaast dat organisaties er in de praktijk vaak voor kiezen om – als de pakkans laag is – hun ogen te sluiten omdat een melding mogelijk nóg meer werk oplevert.” Wat Terra betreft zou de AP meer ‘het verschil’ kunnen maken bij niet-gemelde datalekken. “Besteed daar meer van de beschikbare tijd aan. Dat is geen kwestie van meer capaciteit, die ook nodig is, maar een kwestie van de capaciteit anders verdelen.” Meer efficiëntie Hoogleraar Recht en de Informatiemaatschappij Gerrit Jan Zwenne van de Universiteit Leiden vindt het net als Floor Terra hoog tijd voor een beter en efficiënter meldproces, zodat gemeenten en andere organisaties worden ontlast van onnodige bureaucratie. Hun tijd kan waardevoller worden besteed. “De AP stelt nu dat een melding in 15 tot 30 minuten gemaakt kan worden, maar binnen die tijd zal het nooit mogelijk zijn om een melding af te ronden. Nummer 43, juli 2022 85 Het is een misvatting dat versleutelde data niet gestolen kunnen worden
86 Online Touch Home