Organisaties die privégegevens van burgers verliezen, komen daar nog ongestraft mee weg. Sinds het begin 2016 verplicht werd een datalek te melden, zijn geen boetes uitgedeeld. Dagelijks worden bijna dertig datalekken gemeld, blijkt uit de laatst beschikbare cijfers van de Autoriteit Persoonsgegevens (AP).
Dat aantal is gestaag toegenomen sinds de meldplicht begin vorig jaar van kracht werd: van dik duizend in het eerste kwartaal van 2016, tot 2600 het derde kwartaal dit jaar en experts gaan ervan uit dat het werkelijke aantal datalekken veel hoger ligt. Uber is daar een voorbeeld van. De hack van miljoenen accounts werd in eerste instantie onder de pet gehouden door het bedrijf.
Dat de AP tot nu toe geen boete uitdeelde – in theorie kan die oplopen tot 820.000 euro – komt volgens de privacywaakhond zelf doordat boetes niet het doel zijn ‘maar een ultiem middel’. Tot nu toe bleek waarschuwen genoeg om het doel van de meldplicht te bereiken, aldus de AP: een betere beveiliging van gegevens. Bits of Freedom vraagt zich af of organisaties niet te makkelijk wegkomen als zij de controle over gegevens verliezen. “Er zijn voortdurend datalekken, dus het probleem bestaat nog steeds”, zegt Rejo Zenger, onderzoeker bij de organisatie.
Het is moeilijk te bepalen wat de gevolgen van een datalek zijn. Dat komt doordat bij een lek vaak niet duidelijk is of de data ook daadwerkelijk misbruikt wordt. Ook hangt de ernst van een datalek samen met welke informatie gelekt is.
Gaat het om bsn-nummers, namen en geboortedata, dan is er risico op identiteitsfraude. Iemand zou onder jouw naam een rekening kunnen openen, of abonnementen kunnen afsluiten. Hoe groot dat risico daadwerkelijk is, is onbekend. Bij het Centraal Meldpunt Identiteitsfraude zijn geen voorbeelden bekend van slachtoffers van identiteitsfraude als gevolg van een datalek.
Alles bij de bron; Trouw