Bart Custers in Trouw over meldplicht datalekken
De Autoriteit Persoonsgegevens heeft bekendgemaakt dat er 27.000 datalekken zijn gemeld in 2019, een enorme toename ten opzichte van eerdere jaren. Hieruit blijkt dat de meldplicht zijn doel voorbijschiet, stelt Bart Custers, hoogleraar Law & Data Science bij eLaw, het centrum voor recht en digitale technologie in dagblad Trouw (22 februari 2020).
Sinds 2016 moeten bedrijven en overheidsorganisaties verplicht binnen 72 uur bij de toezichthouder melding maken van datalekken. De gedachte achter de meldplicht is dat organisaties vooraf betere beveiligingsmaatregelen nemen, teneinde reputatieschade te voorkomen, en dat sneller wordt gereageerd op incidenten. Nederland behoort binnen de EU tot de koplopers als het gaat om privacybescherming. De meldplicht datalekken werd al in 2016 ingevoerd, nog voordat deze via de Algemene Verordening Gegevensbescherming (AVG) in de hele EU van kracht werd. Het eerste jaar werden er enkele duizenden datalekken gemeld. Inmiddels is dat explosief toegenomen en het einde is nog niet in zicht. Nederlandse bedrijven melden na Duitsland en het Verenigd Koninkrijk de meeste datalekken van de EU. Per hoofd van de bevolking is het aantal meldingen zelfs het hoogste in de hele EU.
De meldplicht schiet zijn doel voorbij, omdat het mechanisme van naming & shaming niet meer werkt bij deze grote aantallen, omdat de aantallen zo groot zijn dat handhaving lastig wordt en omdat nog steeds heel veel incidenten niet worden gemeld.