Goede bescherming van persoonsgegevens is de basis van de digitale veiligheid van Nederland. Toch wordt die verbinding in het maatschappelijk debat en kabinetsstukken weinig gemaakt. Persoonsgegevens zijn de ‘witte vlek’ in de aanpak van cybersecurity. De Autoriteit Persoonsgegevens (AP) stelt daarom: cybersecurity, informatiebeveiliging en privacy zijn noodzakelijk voor digitale veiligheid.
Oproep tot acties
De vaste Kamercommissie Digitale Zaken gaat op 29 juni 2023 in debat over online veiligheid en cybersecurity. De bescherming van persoonsgegevens speelt ten onrechte een geringe rol in dit debat. Daarom roept de AP de Kamerleden op tot de volgende acties:
- Gaat het over cybersecurity en informatiebeveiliging, spreek dan ook expliciet over persoonsgegevens. Want goede beveiliging van persoonsgegevens is essentieel voor digitale veiligheid en privacy.
- Wees er alert op dat de bescherming van persoonsgegevens ook een belangrijke rol speelt in de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2).
- Zorg ervoor dat de AP genoeg budget heeft voor de rol als aanjager van cybersecurity en online veiligheid, door een deel van de 111 miljoen euro voor cybersecurity structureel aan de AP toe te kennen.
Digitale veiligheid
Online fraude met persoonsgegevens is een steeds aantrekkelijker verdienmodel. Criminelen maken actief jacht op persoonsgegevens, onder meer door cyberaanvallen uit te voeren. Daarnaast is de online beveiliging van grote en kleine databestanden vaak niet op orde. Dit heeft grote gevolgen: voor onze digitale veiligheid, voor bedrijven en organisaties, maar ook voor de mensen van wie persoonsgegevens ten prooi vallen aan criminelen.
De AP is verantwoordelijk voor het toezicht op de bescherming van persoonsgegevens. Juist ook in het cyberdomein. De kans is immers klein dat er bij een cyberhack geen persoonsgegevens worden gestolen.
Datalek
Als een bedrijf of organisatie zijn beveiliging niet op orde heeft, is de kans groot dat bij een cyberaanval niet alleen bedrijfsgevoelige informatie, maar ook persoonsgegevens buit worden gemaakt. De AP spreekt dan van een ‘datalek’: toegang tot persoonsgegevens zonder dat dit mag of
zonder dat dit de bedoeling is. In Nederland geldt een meldplicht voor datalekken. Dit houdt in dat
organisaties, zowel bedrijven als overheden, direct een melding moeten doen bij de AP zodra zij een
datalek hebben.
De AP spreekt organisaties daarom aan op het op orde hebben van de beveiliging van de persoonsgegevens die zij onder hun hoede hebben, zodat datalekken worden voorkomen.
Persoonsgegevens van belang in aanpak cybersecurity
Kortom, de bescherming van persoonsgegevens en de beveiligingsplicht uit de AVG hebben een sterke link met cybersecurity en informatiebeveiliging; wanneer sprake is van cyberaanval worden er in verreweg de meeste gevallen persoonsgegevens gelekt, waardoor grondrechten van burgers worden geschonden. Toch wordt deze verbinding in het gesprek over digitale veiligheid niet of nauwelijks gemaakt. De boodschap van de AP is dan ook: als het gaat over cybersecurity en informatiebeveiliging, spreek dan ook expliciet over persoonsgegevens.
Position paper AP – Persoonsgegevens zijn ‘witte vlek’ in aanpak cybersecurity
https://autoriteitpersoonsgegevens.nl/uploads/2023-06/AP_position_paper_cybersecurity.pdf