De aanval van de Autoriteit Persoonsgegevens op gemeenten is ongenuanceerd

Met de publicatie van cijfers rond datalekken opent de Autoriteit Persoonsgegevens(AP) meteen de aanval op de Nederlandse gemeenten. Maar zonder de broodnodige nuance is het beeld behoorlijk vertekend.

Als je de cijfers droog bekijkt dan is er een explosie gaande van het aantal meldingen. In het eerste kwartaal meldden de gemeenten 331 datalekken waar dat er over 2016 nog 533 waren.

Onbekendheid

Wat de cijfers niet vertellen is dat de meldplicht nieuw is sinds 2016. Veel bedrijven en overheden weten er iets van en belangrijker nog lang niet altijd is duidelijk wat allemaal een datalek is. Daarom loopt Autoriteit Persoonsgegevens allerhande bijeenkomsten af om precies die uitleg te geven.

Het begrip is nogal breed. Een verloren of verkeerd bezorgde brief, ransomware die een computer lamlegt, een mobiele telefoon die zoek is, zijn voor veel organisaties minder bekende vormen van datalekken. Daarbij hoeft er niets gebeurd te zijn, maar als je het niet kunt uitsluiten dan moet je melden. Een wat grotere gemeente zal – als ze zich dit realiseren – dus al snel fors meer incidenten melden. Dat maakt het beeld negatiever, maar zegt weinig over de vraag of gemeenten het slechter doen dan bijvoorbeeld veel MKB-bedrijven

De cijfers maken vooral duidelijk dat we beter zicht op de enorme omvang van de problematiek. Over heel Nederland werden er namelijk in 2016 5849 meldingen gedaan tegen 2388 in het eerste kwartaal. Dat 331 van de meldingen voor rekening van de gemeenten komen, doet vermoeden dat veel van de bijna 1,5 miljoen ondernemingen bitter weinig melden of wel uitzonderlijk veel veiliger zijn.

Wolfsen

De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, opent de aanval op gemeenten. Maar in de statistieken staat de zorg op de eerste plaats. Opmerkelijk genoeg staat echter de zorg en niet het openbaar bestuur op de eerste plaats. Wolfsen verwijt de gemeente te weinig te doen.

Maar in tegenstelling tot de zorg hebben gemeenten in reactie op Diginotar en het door mij georganiseerde Lektober besloten om de Informatie Beveiligings Dienst (IBD) op te richten. Die geeft advies, werkt aan normenkaders en coördineert bij incidenten. Zoiets bestaat bijvoorbeeld in de zorg – waar meer dan bij gemeenten gemeld wordt – niet. Dat is ook nodig, want juist gemeenten staan dichter bij de burger dan veel andere overheidsinstellingen. Over die stap hoor je de Autoriteit in het geheel niet.

De AP vertelt gemeenten niet wanneer zij voldoende doen of wat zij minimaal verwachten. De wetstekst is vaag en een ‘nee niet goed genoeg’ helpt dan niet. Ook de meldplicht is alleen maar een registratie en er vloeit geen informatie terug om lering uit te trekken. Wat daarbij steekt is dat sinds decentralisatie gemeenten opeens heel veel meer informatie moeten verwerken. Vanuit het Rijk is de ondersteuning voor digitale verantwoordelijkheden nu eigenlijk nagenoeg niet bestaand.

BSN

Ook de aandacht van Wolfsen op de gevaren van gelekte BSN’s miskent de onderliggende problematiek. Een identificatienummer is langzamerhand zo belangrijk geworden dat het mensen kwetsbaar maakt. Je kunt je BSN niet vervangen als deze is gelekt, waarbij een creditcardnummer wél kan worden vervangen. Om dan dit bij datalekken bij gemeenten nu zo centraal te stellen is wel wat misplaatst.

Tussen al het cijfergeweld is er één cijfer dat de Autoriteit Persoonsgegevens niet geeft. Sinds begin 2016 heeft die organisatie de bevoegdheid om boetes op te leggen of een last onder dwangsom te geven. Over dat handhaven hoor je nooit iets. Dat zou moeilijk zijn (en daar kun je over twisten). Ondertussen adviseren sommige advocaten vervolgens om een lek maar niet te melden.

Meer nuance

Datalekken zijn een groot probleem dat maar niet verdwijnt. Maar conclusies over groei kun je op basis van de cijfers van de AP niet trekken. Er zijn tenenkrommende voorbeelden van slechte gemeenten te vinden. Van Ede die een veelvoorkomend SQL-injectielek tot geheim verklaren tot Rotterdam die het liefst hele rapporten geheim verklaard.

Dat de AP heeft dankzij de meldplicht een schat aan nuttige gegevens waar we veel van kunnen leren om herhaling te voorkomen. Maar die informatie komt niet openbaar. Het zou Wolfsen als toezichthouder sieren als hij iets beter naar het hele speelveld kijkt, doorgraaft naar oorzaken van problemen en vooral eens meer details deelt, zodat we kunnen leren. Daar zou ons land digitaal echt veiliger van worden.