De recente datalekken bij onder meer Basic-Fit, Booking.com en eerder Odido laten zien dat databeveiliging bij lang niet alle organisaties op orde is. Volgens Bits of Freedom gaat het allang niet meer om incidenten, maar is het een structureel probleem waar bedrijven zich beter tegen moeten wapenen

Bij Basic-Fit werden gegevens van ongeveer één miljoen leden buitgemaakt, van wie ongeveer 200.000 in Nederland. Booking.com meldde dat onbevoegde derden toegang hebben gehad tot boekingsgegevens van klanten. Bij Odido zou het gaan om de gegevens van 6 miljoen (oud)klanten. Dat het hier niet gaat om een tijdelijk of uitzonderlijk probleem, bleek eerder al uit berichtgeving op Accountancy Vanmorgen. De Autoriteit Persoonsgegevens stelde in 2023 dat burgers ervan uit moeten gaan dat hun persoonsgegevens ooit gelekt zijn of nog kunnen lekken. In datzelfde jaar meldde de toezichthouder ruim 21.000 datalekken en werd duidelijk dat over een periode van vijf jaar meer dan 114.000 datalekmeldingen zijn geregistreerd.

Te veel gegevens, te lang bewaard

Bits of Freedom-directeur Evelyn Austin laat aan BRN weten dat bedrijven vaak meer gegevens verzamelen dan nodig is, bewaren zij die te lang en ontbreekt het aan passende beveiliging. “Dan kun je dit soort hacks niet voorkomen.” Austin stelt dat de internetindustrie lang heeft gedacht dat ‘met data het geld verdiend kan worden’, waardoor organisaties vooral inzetten op zoveel mogelijk dataverzameling en te weinig op de kwetsbaarheden die dat voor hun eigen bedrijfsvoering oplevert. Daarom zouden bedrijven intern veel serieuzer werk moeten maken van bestaande AVG-verplichtingen, zoals dataminimalisatie, bewaartermijnen en informatiebeheer.

Risico’s verbreden zich, financiële impact enorm

In 2024 meldde AP dat het probleem zich bovendien verbreed en dat het gebruik van AI-chatbots tot datalekken kan leiden, bijvoorbeeld wanneer medewerkers vertrouwelijke of persoonsgegevens invoeren in systemen zonder voldoende controle op opslag, verwerking of hergebruik. Daarmee is het probleem niet alleen dat organisaties hun bestaande data niet goed beschermen, maar ook dat zij nieuwe technologie te snel omarmen zonder de gevolgen voor privacy en informatiebeveiliging goed te overzien. De financiële impact van een datalek is bovendien enorm. IBM deed onderzoek en kwam tot de conclusie dat een datalek organisaties gemiddeld 4 miljoen dollar kost wat impliceert dat het geen kleine compliancekwestie aan de zijlijn is, maar dat de gevolgen voor reputatie, aansprakelijkheid, vertrouwen en operationele verstoring groot zijn.

AP moet slagvaardiger worden

Bits of Freedom vindt dat ook de Autoriteit Persoonsgegevens zichtbaarder en slagvaardiger moet optreden. De toezichthouder zou volgens de organisatie niet alleen vaker boetes moeten opleggen, maar ook steviger moeten ingrijpen, bijvoorbeeld met steekproeven of door gegevensverwerkingen stil te leggen bij hardnekkige overtredingen. Austin benadrukt bovendien dat snelle en heldere communicatie na een datalek essentieel is. Hoewel melden achteraf als ‘mosterd na de maaltijd’ kan voelen, helpt het mensen wel om zich tegen de gevolgen te beschermen. Juist daar gaat het volgens haar nog vaak mis, omdat voor betrokkenen ‘helemaal niet duidelijk’ is om welke gegevens het gaat, wanneer het lek plaatsvond en hoe zij alert moeten zijn.

Deze versturen we 3-4x per jaar.