Bij Basic-Fit werden gegevens van ongeveer één miljoen leden buitgemaakt, van wie ongeveer 200.000 in Nederland. Booking.com meldde dat onbevoegde derden toegang hebben gehad tot boekingsgegevens van klanten. Bij Odido zou het gaan om de gegevens van 6 miljoen (oud)klanten. Dat het hier niet gaat om een tijdelijk of uitzonderlijk probleem, bleek eerder al uit berichtgeving op Accountancy Vanmorgen. De Autoriteit Persoonsgegevens stelde in 2023 dat burgers ervan uit moeten gaan dat hun persoonsgegevens ooit gelekt zijn of nog kunnen lekken. In datzelfde jaar meldde de toezichthouder ruim 21.000 datalekken en werd duidelijk dat over een periode van vijf jaar meer dan 114.000 datalekmeldingen zijn geregistreerd.
Te veel gegevens, te lang bewaard
Bits of Freedom-directeur Evelyn Austin laat aan BRN weten dat bedrijven vaak meer gegevens verzamelen dan nodig is, bewaren zij die te lang en ontbreekt het aan passende beveiliging. “Dan kun je dit soort hacks niet voorkomen.” Austin stelt dat de internetindustrie lang heeft gedacht dat ‘met data het geld verdiend kan worden’, waardoor organisaties vooral inzetten op zoveel mogelijk dataverzameling en te weinig op de kwetsbaarheden die dat voor hun eigen bedrijfsvoering oplevert. Daarom zouden bedrijven intern veel serieuzer werk moeten maken van bestaande AVG-verplichtingen, zoals dataminimalisatie, bewaartermijnen en informatiebeheer.
Risico’s verbreden zich, financiële impact enorm
In 2024 meldde AP dat het probleem zich bovendien verbreed en dat het gebruik van AI-chatbots tot datalekken kan leiden, bijvoorbeeld wanneer medewerkers vertrouwelijke of persoonsgegevens invoeren in systemen zonder voldoende controle op opslag, verwerking of hergebruik. Daarmee is het probleem niet alleen dat organisaties hun bestaande data niet goed beschermen, maar ook dat zij nieuwe technologie te snel omarmen zonder de gevolgen voor privacy en informatiebeveiliging goed te overzien. De financiële impact van een datalek is bovendien enorm. IBM deed onderzoek en kwam tot de conclusie dat een datalek organisaties gemiddeld 4 miljoen dollar kost wat impliceert dat het geen kleine compliancekwestie aan de zijlijn is, maar dat de gevolgen voor reputatie, aansprakelijkheid, vertrouwen en operationele verstoring groot zijn.
AP moet slagvaardiger worden
Bits of Freedom vindt dat ook de Autoriteit Persoonsgegevens zichtbaarder en slagvaardiger moet optreden. De toezichthouder zou volgens de organisatie niet alleen vaker boetes moeten opleggen, maar ook steviger moeten ingrijpen, bijvoorbeeld met steekproeven of door gegevensverwerkingen stil te leggen bij hardnekkige overtredingen. Austin benadrukt bovendien dat snelle en heldere communicatie na een datalek essentieel is. Hoewel melden achteraf als ‘mosterd na de maaltijd’ kan voelen, helpt het mensen wel om zich tegen de gevolgen te beschermen. Juist daar gaat het volgens haar nog vaak mis, omdat voor betrokkenen ‘helemaal niet duidelijk’ is om welke gegevens het gaat, wanneer het lek plaatsvond en hoe zij alert moeten zijn.
Ook privacy-expert Brenno de Winter deelt die mening. In de Telegraaf zegt hij: “Je kunt dit niet meer bij de burgers zelf leggen. We hebben in Europa goede wetgeving, zoals de AVG/GDPR en DSA. AP mag echt een tandje strenger zijn, zoals tegen een gehackt bedrijf zeggen: je hebt een maand om dit op te lossen. Als dat niet lukt volgt er een hoge boete. Daar kunnen andere bedrijven ook een les uit trekken.” Volgens hem worden mensen bovendien murw, maar ook gefrustreerd. “Je gegevens zijn nergens meer veilig, mensen denken bij elke hack ‘gaan we weer’. Maar ondertussen word je wel verplicht om gegevens te delen. Men doet dat netjes en dus moet je erop kunnen vertrouwen dat zo’n organisatie daar veilig mee omgaat.”
Geef een reactie