Overheid over datalekken: zoek het zelf maar uit

Govcert.nl, een team dat overheidsinstanties ondersteunt bij het voorkomen en afhandelen van veiligheidsincidenten, kwam begin augustus met een Factsheet Datalekken. Hierin wordt duidelijk uiteengezet welke maatregelen je kan nemen als je slachtoffer bent van een datalek. Maar hoe weet je of je slachtoffer bent van een datalek als de partij waar het lek zich voordoet dit niet eens meldt?

Door actief te zoeken naar je eigen gegevens, zo wordt uitgelegd in de Factsheet: ‘U kunt op verschillende wijzen erachter komen dat uw gegevens gelekt zijn. Door de huidige trend om buitgemaakte en/of gelekte gegevens te publiceren kunt u online uw gegevens terug vinden. Dit zal dan hoogstwaarschijnlijk toeval zijn tenzij u actief op zoek gaat.’ Ook wordt verwezen naar het Zwartboek Datalekken van Bits of Freedom.

Wij vinden dat je niet actief zou hoeven moeten zoeken of je mogelijk slachtoffer bent van datalekken. De lekkende partij zou je zo snel mogelijk moeten informeren als er sprake is van een datalek. Daarom pleit Bits of Freedom voor een meldplicht datalekken. Zonder een meldplicht zijn deze goedbedoelde aanbevelingen zinloos. Als je het wachtwoord van je eigen e-mail terugvindt op internet dan is dat rijkelijk laat, je kan er dan zeker van zijn dat je niet de eerste bent die het ziet. Met een meldplicht voorkom je dat partijen straffeloos een datalek verzwijgen om bijvoorbeeld imagoschade te voorkomen.

Ondertussen laat het kabinet nog steeds op zich wachten en is er nog geen wetsvoorstel voor een meldplicht ingediend, ondanks de mooie woorden in het regeerakkoord: “Het kabinet komt met een voorstel voor een meldplicht voor alle diensten van de informatiemaatschappij, waaronder de overheid, in geval van verlies, diefstal of misbruik van persoonsgegevens waarbij alle datalekken worden gemeld aan de nationale toezichthouder die boetes kan opleggen indien de meldplicht niet wordt nageleefd. “

In de Factsheet worden recente aanpassingen van Europese richtlijnen (PDF) genoemd ‘zodat bepaalde organisaties lekken bij hun klanten moeten melden.’ Behalve dat deze nieuwe richtlijnen nog niet in Nederland zijn geïmplementeerd, zijn ze ook zeer beperkt in bereik. Deze richtlijnen gelden namelijk alleen voor aanbieders van telecommunicatiediensten. In de Kabinetsnotitie privacybeleid wordt wel verwezen naar het regeerakkoord waarin staat aangegeven ‘dat een dergelijke meldplicht zich ook moet uitstrekken over alle diensten van informatiemaatschappij, de overheid daaronder begrepen.’

Wij vroegen ons in april af of we blij zijn gemaakte met een dooie mus, aan deze situatie is sindsdien nog niets veranderd. Fred Teeven gaf in februari in het TV-programma De Ombudsman aan dat er aan deze wetgeving gewerkt wordt: “Meldplicht datalekken, daar gaan we aan werken, daar zijn we nu op dit moment mee bezig, we komen met een concreet plan.” In februari werd er dus al aan gewerkt, maar daarvan hebben wij nog steeds niets gezien. Veel werk hoeft het niet te zijn, Bits of Freedom heeft de tekst (PDF) al lang klaarliggen. Waar blijft dat wetsvoorstel, meneer Teeven?

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.