DATA EN AI “Het kan dat een organisatie onjuiste informatie heeft gekregen van een gehackte IT-leverancier, maar in sommige gevallen wordt er bewust geen melding gemaakt.” Volgens Davrados krijgt de AP veel signalen van burgers die zich melden als slachtoffer van een datalek. “We nemen dan contact op met de organisatie waar het lek heeft plaatsgevonden en onderzoeken natuurlijk ook de reden voor het niet melden.” De meest voorkomende oorzaak van een niet-gemeld datalek is een gebrek aan kennis. “Organisaties schatten het verkeerd in en zien namen, adresgegevens of telefoonnummers niet als een datalek, maar denken: het gaat niet om paspoortgegevens of creditcardgegevens, dus het zal wel meevallen.” Datalekken steeds complexer Toezichthouders proberen dan zo’n organisatie alsnog een lek te laten melden. Want ook met minder gevoelige gegevens bestaan er privacyrisico’s. “We zorgen dat slachtoffers goed geïnformeerd zijn en security-maatregelen kunnen nemen.” Davrados verwacht dat de kans erg klein is dat organisaties met een niet-gemeld datalek wegkomen, omdat veel datalekken met elkaar verweven zijn en omdat slachtoffers zich vaak melden met een klacht bij de AP. Bovendien riskeert een organisatie die een datalek niet meldt hardere straffen en boetes. ‘AP kan meer proactief toezicht houden’ Niet iedereen kan zich vinden in deze reactieve wijze van toezicht houden op datalekken. Organisaties steeds beter voorbereid Goede cybersecurity vormt de basis bij het voorkomen van datalekken. De AP ziet dat er een positieve trend is in het aantal organisaties dat deze processen goed op orde heeft. Davrados : “De grotere, complexere organisaties hebben meestal een goede privacystructuur ingericht en melden ook alles netjes. Wanneer er een hoog risico-datalek is, wordt dat ook netjes opgepakt. Maar er zijn ook nog altijd veel organisaties die nog nooit een datalek hebben meegemaakt en er voor het eerst mee geconfronteerd worden. Bij die organisaties zijn ze vaak slecht voorbereid en weten ze niet goed wat ze moeten doen. Er ontstaat vaak paniek en we moeten dan bijsturen in het afwikkelen van de informatievoorziening aan klanten.” 68 iBestuur 52, oktober 2024 Privacyjurist Floor Terra, die zich regelmatig kritisch uitlaat over de toezichthouder, ziet dat het voor de AP soms behelpen is met een beperkte capaciteit. De beleidskeuze om niet actief te speuren naar datalekken begrijpt hij echter niet. Terra schreef daar ook over in een blog op de website van zijn werkgever Privacy Company. “De capaciteit die de organisatie nu heeft, werkt volledig reactief en dat is geen capaciteitsprobleem.” In de ogen van Terra hebben organisaties een ‘te vrije’ keuze om zich te melden bij de AP. “Naar schatting wordt er bij zo’n 15 procent van de meldingen door de AP doorgevraagd. Er is een aanzienlijke kans dat een melding dus werk en kosten oplevert, terwijl voor de niet-melders de gevolgen nul zijn.” Terra zou graag zien dat de AP meer inzet op niet-gemelde datalekken. Hij doelt dan op methoden om datalekken op te sporen buiten nieuwsberichten, klachten en tips om. Een manier om deze te vinden is bijvoorbeeld door samenwerkingen op te zoeken met andere organisaties, zoals het Digital Trust Center dat ondernemers inlicht over cyberdreigingen. “Dit is een voorbeeld van een plek waar mensen geïnformeerd worden over gelekte data. Ik zou graag zien dat de AP dan ook zo’n lijst in handen krijgt, om deze naast het register met meldingen te kunnen leggen.” Cybercriminelen Een andere mogelijkheid waarmee de AP meer proactief toezicht kan houden, zijn in beslag genomen servers met databases die cybercriminelen hebben aangelegd. Deze liggen bij de politie in een opslag. “Het lukt redelijk om er daar concreet uit te halen bij welke bedrijven er data gestolen zijn.” Terra probeerde al eens met een inzageverzoek zijn slachtoffergegevens in te zien, maar deze werd volgens hem geweigerd door de politie, omdat het te veel werk zou zijn. “Mijn ideaalbeeld is dat de politie deze bulken aan bij criminelen gevonden data aan de AP overhandigt, zodat de slachtoffers geïnformeerd kunnen worden en ervoor kan worden gezorgd dat gehackte organisaties hun verantwoordelijkheid nemen.” Volgens Terra heeft de politie, in tegenstelling tot de AP, wél de capaciteit om achter gestolen data aan
69 Online Touch Data en AI Home