28 nov 2016

Datalek Amersfoort blijft lakmoestest voor Autoriteit Persoonsgegevens

image_pdfimage_print

lakmoestest

Het is nu tien maanden terug(28 januari 2016) dat de gemeente Amersfoort een enorm datalek had doordat een medewerker van de afdeling sociale wijkteams zorggegevens van 1900 burgers in een onbeveiligde Excel-sheet per onbeveiligde email naar een verkeerde geadresseerde stuurde. De melding van het datalek aan de Autoriteit Persoonsgegevens(AP) deed de gemeente bovendien niet zelf. De foutief geadresseerde meldde het datalek aan de AP waarna de AP aan de gemeente Amersfoort vroeg hoe het zat. Een bestuurlijk rel was geboren die tot eind september voortsudderde.  Nog steeds deed de AP geen uitspraak over het al dan niet opleggen van sancties aan de Gemeente Amersfoort. Op zich is daar wel alle reden voor, zeker in het  licht van de zeer forse uitbreiding van de sanctiemogelijkheden die de AP op 1 januari 2016 kreeg. Er blijken flink wat datalekken te bestaan. Het dagblad Trouw meldde op 24 november  dat de AP sinds 1 januari bericht kreeg over 4700 datalekken, waarvan er 304 uit de ziekenhuizen kwamen. Dat komt neer op één per dag. De casus Amersfoort is zo interessant omdat het een bijzondere situatie betreft die een soort lakmoestest is voor wat betreft het gezag van de AP in het veld.

Bijzonder

Een aantal punten maken het datalek in Amersfoort heel bijzonder:

  • Het gaat om een groot aantal gevoelige gegevens
  • Het betreft een groot aantal burgers, namelijk 1900
  • Het is niet binnen 72 uur na het verkeerd verzenden gemeld aan de AP
  • Er is geen actie binnen 72 uur ondernomen richting de betreffende burgers
  • Domme fouten zijn gemaakt door het Excel-bestand niet met een wachtwoord te beveiligen, het bestand niet te versleutelen en geen beveiligde email te gebruiken
  • Het datalek is aan de AP gemeld door de geadresseerde, waarna de AP de gemeente moest vragen hoe het zat.
  • Als verdediging heeft de gemeente aangevoerd dat de ambtenaren het datalek niet gemeld hebben, omdat men geen zekerheid of het met de mail verstuurde bestand daadwerkelijk geopend was door de ontvanger. Vanwege de onzekerheid daarover achtte men het geen datalek. Deze redenatie die bij het onderzoek dat de gemeente liet uitvoeren geventileerd wordt is een nogal opzichtige manier om de lont uit het politieke kruitvat te halen. Ieder weldenkend mens weet dat een onbeveiligd bestand dat meegestuurd wordt met een email vroeg of laat gelezen wordt. Het verkeerd versturen bepaalt of het een datalek is, niet het al dan niet inzien van het bestand.

Boete

De AP kan op basis van de huidige regelgeving met sancties eigenlijk drie maal een boete opleggen die per keer 820.000euro is. Dit is beschreven door het advocatenkantoor 3Advocaten in april 2016.

  • Het onversleuteld versturen is een overtreding van artikel 13 Wet bescherming persoonsgegevens(Wbp)
  • Het niet binnen 72 uur melden van het datalek aan de AP is een overtreding van artikel 34 lid één Wbp
  • Het niet melden binnen 72 uur aan de betreffende burgers is een overtreding van artikel 34 lid twee Wbp

Maximaal kan de AP een boete opleggen van drie maal 820.000, dus 2.460.00 euro. Het feit dat de foutief geadresseerde de melding bij de AP heeft gedaan moet beschouwd worden als een extra verzwarende omstandigheid. Er hoeft bij het opleggen van een boete niet direct het maximale opgelegd worden, maar enige vorm van een sanctie is wel op zijn plaats.

Gevaarlijk precedent

Het is zeer stil van de zijde van de AP sinds de melding in april 2016. Over het algemeen huldigt de AP sinds 1 januari 2016 de gedachte dat men zich in de zorg bewust moet zijn van de plicht om datalekken onverwijld te melden. Daarom reageert de AP dit jaar niet op elke datalek in de zorg. Toch is er gezien de melding van het Amersfoortse datalek door de geadresseerde alle reden om nu wel op te treden. Bedrijven die zich bezighouden met informatiebeveiliging in de zorg kijken vol interesse of de AP überhaupt in actie komt en zo ja welke sancties de AP oplegt. Niets doen is een gevaarlijk precedent omdat bij datalekken die uiteraard nog zullen volgen door de overtreders dan gesteld kan worden dat de AP in een eerder geval niets ondernam. De geloofwaardigheid van de AP is dus  in het geding als men niets onderneemt.  Niet reageren schept derhalve een gevaarlijk precedent. Tot nu toe maakt de AP de indruk van een hond die wel blaft maar niet bijt.(A,B).

W.J. Jongejan

 

Eén reactie op “Datalek Amersfoort blijft lakmoestest voor Autoriteit Persoonsgegevens

  1. De AP mag nu het vieze werk oplossen van de Gemeente Amersfoort mensen worden massaal voor de gek gehouden ik en mijn ex en nog 1 persoon hebben in die tijd een site aangemaakt op Facebook binnen no time kwamen van alle kanten mensen die een brief hebben gehadt vervolgens heeft Gemeente Amersfoort haar 750 euro gegeven om de pagina van Facebook weg te halen alles wordt blijkbaar afgekocht om deze DATA-lek de doofpot in te schuiven maar dat zal ze niet lukken Gemeente Amersfoort heeft inbreuk gemaakt op mijn film en op de film van mijn gezin toen dertijd mijn kind hebben ze verpest en alles naar de kloten gebracht en dat ten onrechten maar ze zullen zien God is met mij en zal deze strijd nooit opgeven soms is het niet anders dan het lot te volgen en de pad tebewandelen die ik moet bewandelen zodra de weg ophoud en het probleem wordt niet opgelost dan zal deze vader met vuur dingen laten oplichten dingen die verborgen zijn voor de burgers.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.