Dat vertelt de nieuwe voorzitter Aleid Wolfsen van de AP in een uitgebreid interview met NU.nl.
Wolfsen waarschuwt dat uit de onderzoeken hoogstwaarschijnlijk ook boetes zullen voortkomen. Sinds 1 januari 2016 zijn bedrijven en overheidsinstanties verplicht om grote en kleine datalekken te melden, en kan de Autoriteit Persoonsgegevens boetes opleggen als gegevens onvoldoende zijn beschermd.
Eerder deze week gebeurde dat in het Verenigd Koninkrijk bij de provider TalkTalk. Daar werden privégegevens gestolen bij een hack, en oordeelde de plaatselijke toezichthouder dat het bedrijf nalatig was geweest in de beveiliging van de data.
“We hebben een hele serie lekken, we hebben nu tientallen onderzoeken lopen, dus dat gaat hier ook gebeuren.” Bij de meldingen die de AP krijgt gaat het vaak om menselijke fouten, maar ook “serieuze lekken met medische gegevens”, zegt Wolfsen.
Dwangsom
Onlangs tikte de Autoriteit Persoonsgegevens nog twee bedrijven op de vingers nadat bleek dat zij in de openbare ruimte wifi-trackers hadden geïnstalleerd. Die technologie legde ongevraagd vast wie er voorbij liep, op basis van de unieke MAC-adressen van smartphones en andere elektronica met een wifi-chip.
De toezichthouder besloot in dit geval geen boete op te leggen, maar een last onder dwangsom. “Daar hadden we een boete kunnen opleggen, maar dat traject was gestart toen de boete nog niet bestond.
“Daarom hebben we zorgvuldigheidshalve gezegd: je moet ook een beetje rechtszekerheid hebben. Dus wij passen het juridisch instrumentarium toe dat bestond op het moment van het constateren van de overtreding. Dus die boetes zitten eraan te komen.”
Gemeenten
In het interview laat Wolfsen zich kritisch uit over de vele datalekken die door gemeentes worden gemeld. Onlangs bleek uit cijfers van de AP dat al bijna de helft van alle Nederlanse gemeenten een datalek heeft gemeld.
“Ik denk dat men zich in Gemeenteland nog onvoldoende bewust is van het feit dat ze over zo ontzettend veel data en ook heel gevoelige gegevens van mensen beschikken.”
Er is volgens Wolfsen “geen rechtvaardiging” mogelijk voor de slechte beveiliging van privégegevens. “Als een kleine gemeente dat niet lukt, dan moeten ze de hulp van grote broer inroepen.”