“20 procent van de persoonsgegevens van burgers onvoldoende beschermd”

Gepubliceerd op 22 april 2022 om 08:45

De Autoriteit Persoonsgegevens (AP) ontving afgelopen jaar 24.866 meldingen van datalekken. Het aantal privacyklachten van burgers daalde naar 18.914. Tot slot verschafte de toezichthouder 95 keer een advies over wetgeving. Dat blijkt uit het jaarverslag van de Autoriteit Persoonsgegevens, dat dinsdagavond openbaar is gemaakt.

Ieder jaar drukker en drukker

De Nederlandse privacywaakhond krijgt het ieder jaar drukker en drukker. Dat laten de nieuwste cijfers over de werkzaamheden van de toezichthouder duidelijk zien. Vorig jaar kwamen er 24.866 datalekmeldingen bij de Autoriteit Persoonsgegevens binnen. Dat is een stijging van 3,7 procent ten opzichte van 2020. Toen stroomden er 23.976 meldingen over datalekken binnen.

Het aantal privacyklachten nam afgelopen jaar fors af. In het jaarverslag van de toezichthouder staat dat ze in totaal 18.914 klachten binnen kreeg. Daarvan was slechts 4,1 procent een internationale klacht (774). In 2020 stond de teller op 25.590 ontvangen klachten. Deze daling is mogelijk toe te schrijven aan het feit dat de privacywaakhond gemiddeld een half jaar en langer nodig heeft om hem in behandeling te nemen. Met zulke lange wachttijden accepteren de meeste burgers waarschijnlijk de privacyovertreding en dienen dus geen klacht in.

11 keer een boete

In totaal legde de Autoriteit Persoonsgegevens 11 keer een boete op voor het overtreden van de Algemene Verordening Gegevensbescherming (AVG). Onder meer Booking.com, TikTok en Transavia kregen een boete. De hoogste bestuurlijke boete van afgelopen jaar is op naam van de Belastingdienst: vanwege het onrechtmatig verwerken van (dubbele) nationaliteitsgegevens van aanvragers van kinderopvangtoeslag, kreeg de fiscus een boete van 2,75 miljoen euro opgelegd.

Een ander aspect waar de AP in het jaarverslag veel aandacht aan besteedt, is het beoordelen van wetsvoorstellen van het kabinet. Dat deed de toezichthouder vorig jaar 95 keer. Ongeveer één op de vijf adviezen (18) was zeer kritisch. In 37 gevallen had de privacywaakhond een enkele opmerking, 40 keer had de toezichthouder geen enkele kritische opmerking.

Bijna 20 procent persoonsgegevens onvoldoende beschermd

Aleid Wolfsen, bestuursvoorzitter van de AP, is niet blij met deze cijfers. In zijn ogen betekent het namelijk dat in bijna 20 procent van de gevallen persoonsgegevens van burgers onvoldoende beschermd waren. Of was het onduidelijk hoe de privacy werd gewaarborgd. De (juridische) onderbouwing liet eveneens vaak te wensen over.

“De overheid wil steeds meer doen met persoonsgegevens en dat is in zekere zin ook logisch, gezien onze digitale samenleving. Dat mag en dat kan ook, als dat noodzakelijk is in het algemeen belang. Maar niet meer dan nodig en altijd met waarborgen voor de mensen om wie het gaat: u en ik”, zo zegt Wolfsen.

Burgers mogen volgens de bestuursvoorzitter verwachten dat de overheid zorgvuldig met hun gegevens omspringt. De regering moet daarom glashelder aangeven waarom het bepaalde medische, persoonlijke of andere privacygevoelige gegevens van je verzamelt, opslaat en verspreidt. “Als een wet voorschrijft dat de overheid persoonsgegevens zónder toestemming van de mensen om wie het gaat mag gebruiken, mag dat alleen als dat écht nodig is in het algemeen belang. En als de inbreuk op de privacy duidelijk en nauwkeurig is omschreven.”

Wetsvoorstellen

Soms ontvangt de Autoriteit Persoonsgegevens wetsvoorstellen die volgens Wolfsen in feite “een vrijbrief” zijn om “ongelimiteerd persoonsgegevens te verzamelen”. Of waarom het onduidelijk is waarom de overheid zoveel gegevens nodig heeft. En dat terwijl de Europese privacywetgeving is bedacht om burgers te beschermen tegen dergelijke inbreuken.

Als voorbeeld noemt Wolfsen de Wet gegevensverwerking door samenwerkingsverbanden (Wgs). “Dat voorstel, waarover de Eerste Kamer nu moet besluiten, geeft overheidsorganisaties én private partijen zeer ruime bevoegdheden om persoonsgegevens met elkaar te delen. Dit kan grote gevolgen hebben voor mensen die ‘op het verkeerde lijstje’ terechtkomen.”

De Autoriteit Persoonsgegevens wees in het wetsvoorstel over het strafbaar stellen van doxing dat privéadressen in het Handelsregister en bij het Kadaster voor iedereen toegankelijk zijn. Dat geldt ook voor thuiswerkende zzp’ers. In de huidige situatie zijn hun privéadressen openbaar. Een aanpassing van het Handelsregisterbesluit moet daar verandering in brengen.

Ondernemers, freelancers en zzp’ers kunnen sinds kort hun bezoekadres laten afschermen. De Kamer van Koophandel (KvK) loopt hiermee vooruit op de wetgeving, die deze zomer in werking treedt. De instantie waarschuwt dat het afschermverzoek mogelijk maar tijdelijk is. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Jaarverslag Ap 2021
PDF – 2,6 MB 224 downloads
Samenvatting Jaarverslag Ap 2021
PDF – 552,3 KB 149 downloads

Bron: autoriteitpersoonsgegevens.nl, vpngids.nl

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.

Meer datalek nieuws

Baaten ICT Security: "Duizenden persoonsgegevens toegankelijk door lek"

Door een lek in het webshop platform van mijnwebshoppartner.nl waren duizenden persoonsgegevens voor iedereen toegankelijk. "Na mijn CVD-melding op 18 september wist de leverancier het lek binnen een aantal dagen te dichten", aldus Baaten ICT Security. Het betrof een unauthenticated Insecure Direct Object Reference (IDOR) kwetsbaarheid, waardoor gegevens van ruim 7200 webshop klanten door iedereen opvraagbaar waren.

Lees meer »

2020 Data Breach Investigations Report

Ieder jaar kijk ik uit naar het databreach rapport van Verizon, wat mij betreft een van de betere cyber security rapporten in de industrie. Sinds dit jaar heeft het team de CIS and MITRE ATT&CK controls gebruikt voor de mapping en ook dit jaar is het weer een waar feest om te lezen. Is het een book full of FUD? Wél als je maling hebt aan fatsoenlijke omgang met persoonsgegevens of als je niet van plan bent een euro uit te geven aan het voorkomen van cyber attacks. Níet als je al jarenlang met je poten in de klei loopt en op dagdagelijkse basis ziet wat er mis blijft gaan. Daar gaan we..

Lees meer »

Spreken of zwijgen na een cyberaanval?

British Airways riskeert een boete van zo'n 200 miljoen euro voor het verlies van klantengegevens na een cyberaanval en dat ondanks de snelle reactie en communicatie van het bedrijf hierover. Is dit de juiste aanpak?

Lees meer »

Datalekken verdubbeld in 2018

In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is meer dan verdubbeld. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Het aantal meldingen overstijgt het eerder geschatte aantal fors.

Lees meer »