De meldplicht datalekken verplicht bedrijven sinds 1 januari ernstige datalekken te melden bij de Autoriteit Persoonsgegevens. De toezichthouder vreest dat dit in de praktijk nog maar nauwelijks gebeurt. Het aantal binnengekomen meldingen is tot nu toe opvallend laag.

Dit stelt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. Sinds 1 januari zijn ruim 1.600 meldingen van datalekken binnengekomen. “Als je bedenkt dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken, kan het bijna niet anders dan dat er meer datalekken zijn”, aldus Tomesen tegenover de NOS.

60.000 datalekken per jaar
Vooraf werd het aantal datalekken per jaar geschat op 60.000. Indien deze schatting klopt zouden inmiddels 20.000 datalekken gerapporteerd moeten zijn. Dit terwijl het aantal meldingen in de praktijk fors lager ligt.

Bart Jacobs, hoogleraar ict-beveiliging, denkt dat het aantal datalekken in de praktijk nog veel hoger ligt. Dit aangezien niet alle datalekken gemeld hoeven worden. “Als ik kijk naar mijn eigen universiteit, hoeft slechts een op de tien datalekken te worden gemeld”, zegt Jacobs tegen de NOS.

Slordigheden
Veel datalekken die wel gemeld zijn hebben volgens Tomesen betrekking op slordigheden. Denk hierbij aan kwijtgeraakte USB-sticks, niet-afgesloten bureauladen en documenten die niet worden vernietigd voordat zij worden weggegooid. De Autoriteit Persoonsgegevens heeft tot nu toe over 70 meldingen aanvullende vragen gesteld. Dit komt neer op minder dan vijf procent van alle meldingen.