'Autoriteit Persoonsgegevens komt straks handen tekort'
Het College Bescherming Persoonsgegevens, per 1 januari omgedoopt tot Autoriteit Persoonsgegevens, komt handen tekort. De toezichthouder krijgt er in het nieuwe jaar meer taken bij, maar geen extra mensen.
Bedrijven zijn straks verplicht het te melden bij de Autoriteit Persoonsgegevens wanneer er gegevens van hun klanten zijn gelekt naar derden. Doen ze dat niet binnen drie dagen, dan riskeren ze boetes die kunnen oplopen tot 820.000 euro.
Het is een greep uit de extra taken die de toezichthouder op zich krijgt, maar vooralsnog staan daar geen extra mensen tegenover. Hoeveel mensen de Autoriteit Persoonsgegevens straks precies nodig heeft, kan voorzitter Jacob Kohnstamm niet zeggen.
"We kunnen dat moeilijk overzien zolang we niet weten hoeveel meldingen er gaan binnenkomen. Maar bij de totstandkoming van deze nieuwe wetgeving heeft het ministerie van Justitie eerst een inschatting gemaakt dat er 60.000 meldingen per jaar zouden binnenkomen. Later heeft het dat, zonder daar veel feitelijke onderbouwing aan te geven, teruggeschroefd tot 6.000."
Riskant
In het Verenigd Koninkrijk, waar een soortgelijke wet eerder wet ingevoerd, werd de toezichthouder in de eerste weken overspoeld met meldingen. Een verzoek van Kohnstamm aan het ministerie om in ieder geval voor de eerste maanden extra mensen te mogen aannemen, werd afgeslagen.
Zelf verwacht de voorzitter niet dat het hier net zo uit de hand zal lopen als bij zijn Britse collega's. "We hebben een softwarepakket ontwikkeld waarbij meldingen bij wijze van spreken eerst door een trechter gaan, voordat we ermee aan de slag gaan. Meldingen waarvan we in eerste instantie denken dat het probleem al is opgelost, kunnen we zo terzijde leggen."
Daarbij, zegt Kohnstamm: "Het is niet zo dat de wet ons verplicht álle meldingen te onderzoeken. We zullen er zeker een aantal uitpakken waarvan we denken dat er meer aan de hand is. Maar in eerste instantie is de meldingsplicht bedoeld voor de verantwoordelijke over die database. Zodat zij er bewust van worden dat ze (nog) zorgvuldiger moeten omgaan met die data."
Willekeur
De sector zelf vreest dat dit zal gaan leiden tot willekeur, zegt Michiel Steltman, directeur van belangenvereniging Dutch Hosting Provider Association.
"Bedrijven riskeren draconische boetes op het moment dat ze niet aan die meldplicht voldoen. Maar de definitie van wat een datalek is, is tamelijk breed. Heel veel gegevens moeten worden gekwalificeerd als persoonsgegevens. Elk stukje verlies van data, elke ongeautoriseerde toegang – denk aan het verlies van een usb-stick – komt in aanmerking voor een melding."
Met andere woorden, zegt hij: als bedrijven de wet gaan naleven, zullen ze uit voorzorg veel meldingen doen bij de Autoriteit. "Die zullen allemaal moeten worden beoordeeld [...] Dat betekent dat de Autoriteit niet al die meldingen kan verwerken en uitzoeken en alleen de zaken die er voor de bühne er spannend uitzien, aandacht zullen krijgen. Dat leidt inderdaad tot willekeur."
Volgens Steltman lijkt het er vooralsnog op dat ook de Autoriteit zelf er 'een beetje vanuit gaat' dat bedrijven 'de wet niet serieus nemen'.