DATA EN AI Hoe de AP verzwegen datalekken ontdekt Op niet-melden volgen hardere straffen en boetes Jaarlijks komen er meer dan 20.000 gemelde datalekken binnen bij de Autoriteit Persoonsgegevens (AP). De toezichthouder zet zich in om te zorgen dat ieder slachtoffer wordt geïnformeerd, maar soms worden datalekken bewust of onbewust verzwegen. Is meer proactief toezicht nodig? TEKST: sjoerd hartholt • BEELD: bureau oma THEMA W 66 iBestuur 52, oktober 2024 ie te maken krijgt met een datalek moet zich volgens de Algemene Verordening Gegevensbescherming (AVG) binnen 72 uur melden bij de AP. Doe je dat volgens de regels, dan moet je een reeks vragen beantwoorden om de AP in staat te stellen om het lek en de gevolgen ervan goed in beeld te krijgen. Mogelijk volgen daarna nog meer vragen. Een datalek melden vergt in sommige gevallen veel van organisaties. Er kunnen diverse maatregelen worden opgelegd, waaronder een verplichte externe audit waar een flink prijskaartje aan hangt. Een datalek niet melden, in de hoop er makkelijk vanaf te komen, wordt daardoor aantrekkelijker. Hoe ontdekt de AP deze ‘verborgen’ datalekken? Organisaties verzwijgen soms datalekken, vertelt Dennis Davrados, Teamleider Datalekken bij de AP. Een voorbeeld daarvan is onder meer de Overijsselse PVV, die in 2021 via een e-mail politieke opvattingen lekte en geen melding maakte. Uiteindelijk kwam het incident alsnog aan het licht, met een boete van 7.500 euro als gevolg. Ook bij het datalek van softwareleverancier Nebu werden veel slachtoffers niet goed ingelicht. De kans dat een organisatie helemaal wegkomt met een datalek is zeer klein, vertelt Davrados. “We houden toezicht aan de hand van de datalekmeldingen. Momenteel krijgen we tot 23.000 meldingen per jaar.” Een groot deel van die duizenden datalekken is volgens Davrados met elkaar verweven. Dat heeft vooral te maken met datalekken bij IT-bedrijven. Wanneer cybercriminelen bij een IT-dienstverlener weten binnen te dringen,
67 Online Touch Data en AI Home