DATA - Van 2007 tot 2010 heb ik een overzicht bijgehouden van Nederlandse datalekken: gevallen waarin allerlei persoonlijke gegevens van derden op straat belandden. Brakke websites die grote hoeveelheden persoonsgegevens prijsgaven, psychiatrische dossiers die bij het oud papier werden gedumpt, paspoortkopieën die bij een veilingkantoor onbeveiligd online stonden.
Dat waren de uitgelekte datalekken – niemand had enig idee hoe vaak zoiets nu werkelijk gebeurde, en hoe zo’n kwestie werd afgehandeld. Stelde zo’n bedrijf de gedupeerden op de hoogte dat hun gegevens waren gelekt? Troffen ze maatregelen om herhaling te voorkomen? Dachten ze überhaupt na over deugdelijke databescherming?
De digitale burgerrechtenorganisatie Bits of Freedom nam het stokje over, en hield tot 2013 een Zwartboek Datalekken bij. Belangrijker: ze werkten noest aan een Meldplicht Datalekken, een wet die bedrijven en instellingen verplicht om datalekken meteen na ontdekking bij het College Bescherming Persoonsgegevens te melden, aangevuld met de eis dat de gedupeerden zo snel mogelijk op de hoogte worden gesteld dat hun gegevens waren gelekt. In Europees verband werd een lobby opgezet voor zo’n wet.
Het ging niet zonder slag of stoot, maar sinds 1 januari is die wet van kracht. Het is bepaald geen papieren tijger. Lekken moeten binnen 72 uur na ontdekking worden gemeld, de getroffenen moeten terdege van de lekkage op de hoogte worden gesteld, er dienen maatregelen worden genomen om herhaling te voorkomen. Wie een datalek niet meldt, kan op fikse boetes rekenen: de maximale boete is 820.000 euro, of 10% van de netto jaaromzet. Daarnaast kunnen overtredingen van de Wbp, de wet bescherming persoonsgegevens (onzorgvuldige bewerking, onrechtmatig gebruik, gegevens te lang bewaren, etc.) nu flink worden gestraft, met boetes tot maximaal 500.000 euro.