De Autoriteit Persoonsgegevens (AP) richt zich bij het toezicht vooral op partijen die datalekken wel melden, waardoor organisaties die datalekken juist verzwijgen vrij spel lijken te hebben, zo stellen onderzoekers van Pro Factor die voor het Wetenschappelijk Onderzoek- en Documentatiecentrum onderzoek deden naar de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), de meldplicht datalekken en de boetebevoegdheid van de AP.
De UAVG is de organisatiewet die regels stelt over de oprichting, inrichting, taken en bevoegdheden van de Autoriteit Persoonsgegevens. In de UAVG is een bepaling opgenomen dat de wet na een aantal jaar wordt geëvalueerd. In eerste instantie weigerde AP aan het onderzoek van Pro Factor mee te werken, zo stellen de onderzoekers. De toezichthouder was in een later stadium wel bereid om op een geclausuleerde wijze vragen van de onderzoekers te beantwoorden. “Maar helaas kon daarmee het perspectief van de toezichthouder slechts op een beperkte manier in het onderzoek worden meegenomen”, aldus de onderzoekers (pdf).
Die concluderen dat de toezichthouder bij de naleving van de meldplicht datalekken zich grotendeels richt op partijen die datalekken hebben gemeld. “Niet-melders lijken min of meer vrij spel te hebben”, zo stellen de onderzoekers. De AP zegt zelf met een risicoanalyse te werken. De onderzoekers merken op dat in de onderzochte gevallen de toezichthouder forse boetes oplegde in gevallen waarbij een datalek wel werd gemeld. “Risicogericht toezicht, dat de AP stelt na te streven, zou juist een focus op grote risico’s met zich meebrengen en die schuilen vermoedelijk juist in de categorie niet-melders.”
Verder stellen de onderzoekers dat de werkwijze van de AP ertoe kan leiden dat potentiële melders eerder terughoudend worden om te melden. “Wel tijdig melden leidt ook niet tot verlaging van opgelegde boetes in verband met beveiligingsgebreken die naar aanleiding van tijdig gemelde datalekken aan het licht komen.” Wat hen ook opvalt is dat in sommige gevallen een dialoog tussen de onder toezicht gestelde en de toezichthouder geheel of vrijwel geheel ontbrak. “Ook als de overtreder de overtreding beëindigt houdt de AP in de bestudeerde casus vast aan de opgelegde boete.”
Verder merken de onderzoekers op dat bij de handhaving door de AP een beleidsregel waarin het toezichts- en handhavingsbeleid is vastgelegd ontbreekt. “Voor zover wij konden nagaan is geen sprake van kenbaar beleid op dit punt. Op welke wijze de toezichthouder in zijn handelen een escalatiestrategie toepast is daardoor niet duidelijk.” Volgens de onderzoekers is het wenselijk om het toezichts- en handhavingsbeleid vast te stellen waarin de bestuurlijke boete een plaats krijgt in het escalatiemodel van de AP. Dit zou meer duidelijkheid moeten scheppen over de wijze van opereren van de toezichthouder. Het kabinet komt eind dit jaar met een reactie op het rapport en de aanbevelingen.
Bron: Security.nl