Sinds de invoering van de meldplicht datalekken op 1 januari 2016 zijn er 5500 meldingen gedaan bij de Autoriteit Persoonsgegevens (AP). De meeste meldingen komen van ziekenhuizen, zorgverzekeraars, banken, verzekeraars, pensioenfondsen en gemeenten.
De Meldplicht datalekken is een onderdeel van de Wet bescherming persoonsgegevens (WBP) en moet ervoor zorgen dat organisaties bewuster omgaan met de opslag van persoonsgegevens en de beveiliging hiervan. De 5500 meldingen zijn gemeten van 1 januari tot en met 15 december 2016. Begin oktober waren dit er 3400.
Vooral door organisaties waar veel wordt gewerkt met gevoelige data zoals gezondheidsgegevens, financiële gegevens en/of het Burgerservicenummer (BSN) werden dit jaar meldingen gedaan. 29 procent van de meldingen kwam uit de sector gezondheid & welzijn. 17 procent van de meldingen werden gedaan door bedrijven in de financiële dienstverlening. 15 procent van de meldingen kwam vanuit het openbaar bestuur, zoals gemeenten.
Per ongeluk
Het betreft vooral datalekken waarbij gegevens per ongeluk bij iemand anders terecht komen, zoals een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of het tonen van de verkeerde gegevens tonen in een klantenportaal. Daarnaast zijn het kwijtraken van een USB-stick met persoonsgegevens of een gestolen laptop veel voorkomende meldingen, dat blijkt uit een overzicht van de AP.
Boetes
Van de inmiddels ruim 5500 meldingen heeft de AP in 4000 gevallen een eerste oriënterend onderzoek gedaan. Ongeveer honderd organisaties kregen naar aanleiding hiervan een waarschuwing van de autoriteit. In enkele andere tientallen gevallen is er sprake van een diepgaander onderzoek van de AP.
In het ergste geval kan de AP een boete uitschrijven van maximaal 820.000 euro. Dit jaar heeft de autoriteit nog geen boete gegeven. AP-voorzitter Aleid Wolfsen heeft eerder dit jaar wel gewaarschuwd voor zulke boetes. Wolfsen gaf daarbij ook aan dat de autoriteit als organisatie nog moet groeien, zodat de AP ook kan optreden als privacy-ombudsman waar burgers klachten kunnen indienen.
Europese wet
Op 25 mei 2018 gaat de nieuwe Europese privacyverordening van kracht waarin vastgelegd wordt dat bedrijven transparanter moeten zijn over de manier waarop data worden verwerkt. Burgers moeten gemakkelijk inzage kunnen krijgen in hun eigen data, en om verwijdering kunnen vragen.
Onder het nieuwe systeem kunnen Europese privacytoezichthouders als de AP boetes van maximaal twintig miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf uitdelen.
