Management
Minister wuift zorgen over capaciteitsgebrek AP weg
'Totaal aantal datalekken daalt.'
'Totaal aantal datalekken daalt.'
De Autoriteit Persoonsgegevens (AP) moet capaciteit risico-gestuurd inzetten. Dat schrijft demissionair minister voor Rechtsbescherming Sander Dekker in antwoord op Kamervragen van de PvdA en SP. De cijfers impliceren volgens de bewindsman niet dat er meer capaciteit nodig is.
De Kamervragen werden gesteld naar aanleiding van een sterke stijging van het aantal incidenten rondom hacking, phishing of malware om persoonsgegevens buit te maken, waarvan de rapportage Datalekken 2020 van de AP melding maakt.
Op aanvullende vragen over een tekort aan capaciteit van de AP, die daardoor niet in staat zou zijn om actie te ondernemen, reageert Dekker defensief. Het is volgens hem niet mogelijk om aan te geven of het niet oppakken van gemelde datalekken te wijten is aan capaciteitsgebrek, omdat niet elke melding automatisch om ingrijpen van de AP vraagt.
In 2020 ontving de AP 23.976 meldingen van datalekken, zo meldt Dekker. Uit de rapportage Datalekken 2020 van de AP blijkt dat de AP in 1.736 gevallen actie heeft ondernomen. Volgens Dekker kan dat naar aanleiding van datalekmeldingen zijn, maar ook als de AP een datalek vermoedt door klachten, tips of andere datalekmeldingen.
Afname aantal datalekmeldingen
Hij geeft daarnaast aan dat er weliswaar een toename van hacking en malware gemeld wordt van 271 meldingen, maar ook dat het totaal aantal datalekmeldingen neemt echter af met 2.980 meldingen. Volgens Dekker impliceert dit dat er niet meer capaciteit nodig is, maar een herprioritering van de bestaande capaciteit. Het is volgens de minister aan de AP om haar capaciteit risico-gestuurd in te zetten.
De Autoriteit Persoonsgegevens gaf zelf begin 2020 aan onvoldoende capaciteit te hebben om burgers snel genoeg te helpen bij een klacht over een mogelijke privacyschending. Door de uitbraak van het coronavirus in Nederland mocht de Autoriteit Persoonsgegevens flink aan de bak. Intussen adviseerde de organisatie ook over noodwetten en corona-apps. AP-voorzitter Aleid Wolfsen vertelde afgelopen zomer aan AG Connect over een ‘heftige tijd’.
Ergens moet het toch fijn zijn dat je als minister van Rechtsbescherming je niet druk hoeft te maken over het beschermen van het recht van burgers op een juiste toepassing van de AVG omdat het voldoende is om te zeggen dat een bedrijfsonderdeel risico gericht moet werken en dat veel mensen dan accepteren dat het gezegd is.
Het is hetzelfde model als bij de politie: risico gericht werken. Blijft de vraag welk risico wordt er bedoeld. Want bij de politie blijken ze ook niet goed te weten welke risico's ze moeten afdekken. Is dat het risico op inbraak of het risico op een toename van drugshandel of het risico op huiselijk geweld? De AP zal wel vergelijkbare risico inschattingsproblemen hebben, aangezien de grootste oorzaak voor datalekken vooral ligt bij de gebruikers van data, kijk alleen al naar zo'n sullige verkenner rond de formatie van een nieuw kabinet die haar data open en bloot over straat meeneemt. Blijkbaar vond ze een leuke aktentas net niet leuk staan bij haar mooie laarsjes.
Een echte neoliberaal deze minister: je zoekt naar iets wat wel goed gaat, benoemd dat en basta.
Misschien een goede opvolger voor Rutte?
De werkwijze van he AP is dat een datalek pas een datalek is wanneer er een officiële klacht is ingediend tav het feit dat er niet tegen een datalek wordt opgetreden. Voor die tijd is het slecht een gerucht of indicatie. Ook het aantal officiële klachten wordt op die manier laag gehouden. Wanneer iets een klacht dreigt te worden, wordt er ineens handelend opgetreden. Dit gebeurt niet alleen bij de AP maar ook bij UWV, Duo etc.
"Het is volgens de minister aan de AP om haar capaciteit risico-gestuurd in te zetten"
Dan moet je het risico wel eerst door onderzoek kunnen bepalen. Nu krijg je bericht dat het nader onderzoek vergt en daarom gebeurd er niets.
Deze minister is oliedom of zit er iets anders achter. Dat blijkt nu en is ook al eerder gebleken.
Ow, dus dat booking.com pas 2 jaar na dato een boete voor het niet tijdig melden van een datalek krijgt opgelegd is geen gevolg van een capaciteitsprobleem. En dat je na een melding zelden tot nooit iets meer hoort van deze club is ook niet omdat er te weinig mensen zitten ?