-

Te weinig meldingen datalekken, zouden ze meer aankunnen?

De Autoriteit Persoonsgegevens is wat verongelijkt, omdat gezien de hoeveelheid data die verwerkt wordt het niet zo kan zijn dat er tot op heden nog maar zo weinig meldingen van een lek zijn gedaan. Althans, dat van die meldingen klopt wel, maar er zouden meer lekken zijn dan gemeld.

In de woorden van vicevoorzitter AP Wilbert Tomesen:

‘Dergelijke datalekken zijn sinds 1 januari ‘ruim 1600′ keer gemeld’, zegt Tomesen. ‘Als je bedenkt dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken, kan het bijna niet anders dan dat er meer datalekken zijn’, zegt hij.

Het kan verkeren. Toen de wet bijna in werking trad vreesde AP te veel te doen te krijgen, aldus Kohnstam op 30 December 2015:

‘Hierdoor zou de toezichthouder niet alle datalekken die bedrijven melden kunnen onderzoeken.’

Dat valt dus vooralsnog mee.

Als je een mail stuurt binnen een organisatie aan de verkeerde person is dat meen ik geen lek, althans niet per se (bijvoorbeeld een ontslagaanzegging mogelijk wel?). Lijkt me ook te moeten afhangen van de omvang van de organisatie. Bij een erg grote organisatie zou je ook binnenshuis kunnen lekken. Andersom karakteriseert zich buiten de deur verkeerd bezorgde (elektronische) post niet per se als een lek, ook dan hangt het af van wie de verkeerd geadresseerde is en welke informatie lekte.

Op de Vrije Universiteit hebben ze sinds medio 2010 bij e-mail geen subdomeinen meer, alle e-mail gaat naar vu.nl en dus niet langer meer naar bijvoorbeeld rechten.vu.nl. Dat leidt tot problemen.

Zo heb ik al geregeld gevraagd of het bijvoorbeeld mogelijk is om niet de functie van iemand eerst te vermelden, maar de faculteit of dienst waar deze werkt. Dat schijnt niet mogelijk te zijn, omdat het ‘hard’ in het systeem gebakken zit. Ik heb een collega die twee naamgenoten (identieke voor- en achternaam) heeft die allemaal dezelfde functie hebben. Is lastig selecteren, als er niet bij staat welke faculteit, althans als dit niet direct zichtbaar is.

Het zou ook voor de hand liggen om in eerste instantie alleen degenen te laten zien binnen de eigen dienst/faculteit. Dat willen ze ook niet, omdat mensen dat zelf kunnen instellen. Wat ze overigens niet doen (of niet weten) met als gevolg dus veel verkeerd bezorgde mail.

Wat mogelijk wel een datalek is, is het versturen van röntgenfoto’s van patienten. Een student van mij kreeg dergelijke mails, omdat hij blijkbaar ergens bovenaanstond.

Kort en goed, ik denk inderdaad dat er veel meer gelekt wordt dan gemeld, ook anders dan via e-mail uiteraard. Of AP iets zou opschieten met die meldingen betwijfel ik. Maar ze willen het wel graag, vandaar die verongelijktheid. Ik ben benieuwd of het toe gaat nemen, het aantal meldingen.

*) Dit artikel is tevens gepubliceerd op de website van SOLV advocaten.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond