Minister Dekker van Rechtsbescherming beantwoordt Kamervragen over berichtgeving hierover.
Het aantal meldingen van datalekken vanuit de overheid is gestegen. Deze stijging komt vooral doordat er meer persoonsgegevens zijn afgegeven of verstuurd aan een verkeerde ontvanger. Dat blijkt uit de Rapportage datalekken 2020 van de Autoriteit Persoonsgegevens (AP).
De constatering heeft betrekking op de openbare sector als geheel, waardoor het moeilijk is om dit punt toe te schrijven aan een specifiek deel daarvan. Ook wordt uit de rapportage niet duidelijk wat de oorzaak is van (de stijging van) het verkeerd versturen van persoonsgegevens; het kan bijvoorbeeld een menselijke fout betreffen of een onjuiste registratie van een e-mailadres. Dat neemt niet weg dat bij de overheid wordt geïnvesteerd in het verhogen van de beveiliging van informatie en dus ook in de beveiliging van persoonsgegevens.
Autoriteit Persoonsgegevens: explosieve groei datadiefstal in 2020
Cybercriminaliteit
Het opsporen van cybercriminaliteit is geen taak van de AP. De AP houdt toezicht op de uitvoering van de AVG. Als door een datalek inbreuk wordt gemaakt op de persoonlijke levenssfeer van burgers, is een bedrijf verplicht daarvan een melding te doen bij de AP. Naar aanleiding van de melding kan de AP onderzoek doen naar het datalek en eventueel een boete opleggen.
Indien aan het datalek een misdrijf – zoals een hack, phishing, malware of een datadiefstal – ten grondslag ligt dan wordt het bedrijf aangemoedigd daarvan aangifte te doen bij de politie. Voor de opsporing van cybercrime beschikt de politie over het Team High Tech Crime van de Landelijke Eenheid en de cybercrimeteams in de regionale eenheden.
De meldplicht van datalekken staat los van een mogelijke aangifte van datadiefstal. Het is daarom niet mogelijk om vast te stellen welke meldingen bij de AP hebben geleid tot opsporing en/of vervolging. Uiteraard worden burgers, organisaties en bedrijven die het slachtoffer zijn van datadiefstal aangemoedigd om aangifte te doen, zodat daders opgespoord kunnen worden.
Te laat melden datalek leidt tot fikse boete – meld datalek binnen 72 uur
Meerfactorauthenticatie
Meerfactorauthenticatie is veiliger dan toegangscontrole waarbij een enkele factor voor authenticatie wordt gebruikt. Daarom adviseren het Nationaal Cyber Security Centrum (NCSC), het DTC en www.veiliginternetten.nl meerfactorauthenticatie te gebruiken waar dat wordt aangeboden en wordt hier aandacht aan besteed in bewustwordingsactiviteiten bij specifieke doelgroepen.
Daarnaast adviseert het NCSC aan systeemeigenaren meerfactorauthenticatie zo veel mogelijk aan te bieden.