Er moet nu iets gebeuren om burgers beter te beschermen tegen privacy schandalen

Gepubliceerd op 31 maart 2021 om 15:00

Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, omschrijft de pakkans van bedrijven die de Europese privacyregels aan de laars lappen door de toezichthouder als ‘onder de maat’. De handhaving valt of staat met goede onderzoeken en af en toe ‘een stevige douw’ (een boete). Daar gaat een sterke preventieve werking van uit. “Als je weet dat de autodiefstal niet meer wordt aangepakt door de politie, dan weet je wat er gaat gebeuren. Dat is bij ons ook het geval.”

Er moet nu iets gebeuren

De bestuursvoorzitter vindt dat er nu ‘echt iets moet gaan gebeuren’ om burgers beter te kunnen beschermen tegen privacy schandalen en datalekken. Ook bedrijven en organisaties moeten beter geholpen worden bij voorlichting en als ze vragen over privacy hebben. MKB’ers die een vergunning nodig hebben om zelf fraude te bestrijden, moeten daar te lang op wachten. “Die bedrijven willen we ook helpen, dat werkt preventief.”

Doordat de Autoriteit Persoonsgegevens al het werk niet aan kan, is de pakkans door de toezichthouder volgens Wolfsen ‘te laag’. “Die is onder de maat. Die moet echt serieus hoger worden. We moeten preventief meer doen, meer onderzoeken doen. Die pakkans moet hoger zodat je af en toe ook serieuze boetes kunt gaan uitdelen.” Wolfsen zegt dat er de komende anderhalve maand ‘drie serieuze boetes’ worden gepubliceerd. Hij hoopt dat daar ‘een serieuze waarschuwing’ van uit gaat.

De vinger op de zere pols leggen is volgens Wolfsen lastig. Hij vindt dat zowel de toezichthouder als bedrijven meer moeten doen om de privacywetgeving na te leven. De Autoriteit Persoonsgegevens moet eerst de zaken op orde hebben. Dat ligt in zijn ogen niet aan het huidige personeel: die kunnen niet harder werken en meer doen dan ze al doen.

Bedrijven aan de bak

Maar ook bedrijven moeten meer doen. Wolfsen zegt dat hij soms schrikt als hij hoort hoe weinig organisaties doen om persoonsgegevens te beschermen. Hij verwijst daarbij naar het jaarverslag van de Autoriteit Persoonsgegevens, waarin de toezichthouder stelt dat het aantal datadiefstallen en hack aanvallen afgelopen jaar explosief is gestegen.

Wolfsen heeft een aantal suggesties wat bedrijven beter kunnen doen. Om te beginnen kunnen ze hun data beter beveiligen, zodat onbevoegden er niet zomaar bij kunnen. Ze kunnen ook kritisch kijken of ze alle data die ze verwerken ook daadwerkelijk nodig hebben. “Als er een groot datalek is, schrikken we soms ook van de hoeveelheid data die bedrijven hebben en helemaal niet nodig hebben, of te lang hebben bewaard.” Om dataminimalisatie te realiseren, moeten bedrijven soms door hun data heen gaan en deze opschonen.

Wolfsen laat er geen misverstand over bestaan: er is meer geld en mankracht nodig om de wettelijke taken van de toezichthouder goed te kunnen uitvoeren. Hij wil in de komende kabinetsperiode een bedrag van 50 miljoen euro erbij. Met dat geld wil hij tussen de 300 en 350 extra werknemers aantrekken. Pas als er rond de 500 man bij de toezichthouder werken, zit de privacywaakhond ‘basaal op sterkte’, zo zegt de bestuursvoorzitter tegen BNR Nieuwsradio.

Wolfsen acht de kans ‘reëel’ dat hij dit bedrag erbij krijgt. Hij verwijst naar de motie die in februari in de Tweede Kamer is aangenomen, en breed werd gesteund. Daarin vraagt de Kamer om het budget voor de toezichthouder te verdubbelen en meer slagkracht te geven. Demissionair minister voor Rechtsbescherming Sander Dekker liet eerder deze maand weten dat hij de uitvoering van de motie aan een volgend kabinet overlaat. Niet alleen vanwege de demissionaire status van het huidige kabinet, maar ook omdat de financiële onderbouwing in zijn ogen tekortschiet. Wolfsen denkt dat er nog financiële ruimte is in de voorjaarsnota voor extra budget.

Bewustwording

Bewustwording is volgens Wolfsen een belangrijk aspect om burgers en bedrijven te attenderen op het belang van privacybescherming. Reclamespotjes helpen daarbij, maar ‘een naar datalek’ zet soms meer zoden aan de dijk. “Dat grote datalek bij de GGD heeft heel veel mensen bewust gemaakt”, vertelt Wolfsen. Negatieve aandacht speelt in zijn ogen een belangrijke rol bij bewustwording.

Als tweede voorbeeld daarvan noemt hij het discriminerende algoritme bij de Belastingdienst, waardoor onnodig de dubbele nationaliteit van 1,4 miljoen Nederlanders werd vastgelegd in de systemen van de fiscus die kinderopvangtoeslag aanvroegen. “Het is een venijnige vorm van onrechtmatig verwerken van je data. Dan is je data al onrechtmatig in die systemen en dan word je met je eigen data ook nog gediscrimineerd: uitgesloten van iets, geweigerd voor een hypotheek, afgewezen bij een sollicitatie, extra gecontroleerd. Dat kunnen mensen niet zien.”

Slachtoffers kunnen daarover klagen bij de Autoriteit Persoonsgegevens, de toezichthouder kan ook ambtshalve optreden en zelf de systemen controleren als ze aanwijzingen hebben van discriminatoir gebruik van persoonsgegevens. Wolfsen zou dat laatste graag vaker zelf doen, maar door het capaciteitstekort lukt dat niet. De bestuursvoorzitter eindigt de podcast met de hoop dat de privacywaakhond volgend jaar meer mensen in dienst heeft.

Bron: autoriteitpersoonsgegevens.nl, bnr.nl, vpngids.nl

Meer info over ‘datalekken’?

Weekoverzichten datalekken, gegevensdiefstallen

Tips of verdachte activiteiten gezien? Meld het hier.

Datalek gerelateerde berichten

Baaten ICT Security: "Duizenden persoonsgegevens toegankelijk door lek"

Door een lek in het webshop platform van mijnwebshoppartner.nl waren duizenden persoonsgegevens voor iedereen toegankelijk. "Na mijn CVD-melding op 18 september wist de leverancier het lek binnen een aantal dagen te dichten", aldus Baaten ICT Security. Het betrof een unauthenticated Insecure Direct Object Reference (IDOR) kwetsbaarheid, waardoor gegevens van ruim 7200 webshop klanten door iedereen opvraagbaar waren.

Lees meer »