De privacywaakhond van de overheid kreeg in de eerste negen maanden van het jaar 7436 meldingen binnen over persoonlijke informatie die in verkeerde handen was gekomen: ongeveer twee keer zo veel als in dezelfde periode in 2016. De Autoriteit weet niet of de stijging van het aantal meldingen ook betekent dat het aantal datalekken zelf is toegenomen.
Bits of Freedom
Onderzoeker Rejo Zenger van Bits of Freedom gaat ervan uit dat het aantal gemelde lekken 'vele malen lager' is dan het werkelijke aantal. Hij is er niet over te spreken dat de Autoriteit Persoonsgegevens nog altijd geen boetes heeft uitgedeeld. 'Het is een probleem dat al heel lang bestaat en het wordt tijd dat we dat eens een keertje onder de knie krijgen.' Volgens Zenger is er meer preventie nodig. 'Omdat we natuurlijk zien dat er nog steeds heel veel datalekken zijn en dat bedrijven nog steeds datalekken proberen geheim te houden. Heel eerlijk gezegd denk ik dat een steviger optreden hier eigenlijk wel heel belangrijk is.'
Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens: 'Je mag volgens de wet pas een boete opleggen als iemand opzettelijk toegang heeft gegeven tot die data of opzettelijk de beveiliging niet op orde heeft. Dat is vaak niet het geval, gelukkig.'
Ook het opzettelijk niet melden van een lek kan een boete opleveren. 'Alleen, daar is tot op heden heel lastig achter te komen omdat wij krap bezet zijn in de mensen. Komend jaar gaan wij sterk groeien', zegt Wolfsen. Hij wijst er bovendien op dat vanaf 25 mei 2018 de drempel van 'opzet' verdwijnt. 'Dan is de kans op boetes zeer groot in bijna alle gevallen.'
Privacy-expert Elisabeth Thole (Van Doorne Advocaten) denkt dat het door angst voor reputatieschade kan komen wanneer bedrijven een datalek niet melden, maar ook door onbekendheid met de regels. 'Veel bedrijven weten niet eens wanneer er sprake is van een datalek dat je moet melden.'
Het aantal gemelde hacks is vrij laag. In 6 procent van de gevallen lekt informatie uit doordat iemand binnendringt in de computersystemen van een bedrijf of organisatie. Meestal gaat het mis wanneer iemand persoonsgegevens per ongeluk naar de verkeerde ontvanger stuurt. De meeste lekken treffen de sectoren gezondheid en welzijn, openbaar bestuur en financiële dienstverlening. De gegevens die naar buiten komen, zijn vooral naam, adres, woonplaats, geslacht, geboortedatum en leeftijd.
Uber
Het belangrijkste lek was bij taxi-app Uber. Hackers maakten vorig jaar de gegevens van 57 miljoen klanten en ongeveer 600.000 chauffeurs wereldwijd buit. Het ging onder meer om namen, e-mailadressen, telefoonnummers en rijbewijsnummers. Onder de gedupeerden waren 174.000 Nederlanders. Uber betaalde de daders 100.000 dollar om de diefstal stil te houden en de data te vernietigen. Uber zweeg bovendien lang tegen de autoriteiten. De nieuwe topman van het bedrijf bracht de diefstal onlangs pas naar buiten. Of Uber een boete van de Autoriteit Persoonsgegevens moet krijgen, wordt nog onderzocht, zegt Wolfsen.