De werklast rond datalekken bij gemeenten stijgt al jaren en is te hoog. Tegelijk blijkt dat de situatie er de komende jaren niet beter op wordt. Dat blijkt uit onderzoek van Binnenlands Bestuur, iBestuur en AG Connect onder 63 gemeenten. Volgens vier gemeenten, waaronder Amsterdam, is de werklast zelfs onuitvoerbaar en niet proportioneel.
De hoeveelheid datalekken bij lokale overheden stijgt al jaren en lijkt niet af te nemen. In 2017 kregen instanties rond openbaar bestuur 484 meldingen van datalekken. In 2021 zijn dat er bijna 5000. Vrijwel altijd gaat het om menselijke foutjes, zoals een verkeerde bijlage in een mail, een e-mail naar een verkeerd adres of een verkeerd verstuurde brief. Een foutje dat leidt tot een datalek is in een seconde gemaakt, maar daarna begint vrijwel altijd een tijdrovend proces. Daarbij moeten meerdere afdelingen van een organisatie aanhaken om de melding compleet te maken.
Gemeenten zien werklast toenemen
Uit het onderzoek van Binnenlands Bestuur, iBestuur en AG Connect blijkt duidelijk dat gemeenten de afgelopen jaren zeer bewust zijn geworden van datalekken. Het is volgens gemeenten zelfs dé oorzaak van de forse stijging. Organisaties zien vaak als positief. Meer datalekken bevestigt het verhoogde bewustzijn.
Die hogere werklast brengt ook zorgen met zich mee. Slechts 10 van 63 gemeenten denkt dat de werklast bij melding van datalekken hoort gelijk blijft in de komende jaren. De rest voorziet een verdere toename. Voor vier gemeenten geldt zelfs dat de huidige werklast al niet meer uitvoerbaar en proportioneel is. Zij maken zich zorgen over de ontwikkeling.
Uit het onderzoek wordt duidelijk dat de afhandeling van datalekken zo’n 2,5 tot 4 uur kost, Dat is afhankelijk van de ernst. In bijzondere gevallen kan de werklast veel verder oplopen. Daarbij neemt het aantal meldingen jaarlijks fors toe, blijkt uit jaarlijkse cijfers van de AP (Autoriteit Persoonsgegevens).
Efficiënter melden
ICT-juristen geven aan dat het melden van een datalek nog een stuk efficiënter zou kunnen. “Het is een uitgebreid formulier dat handmatig moet worden ingevuld en dat kan in mijn ogen een stuk beter. De administratieve werklast is erg hoog. Het formulier moet langs meerdere afdelingen en dat kost natuurlijk tijd”, aldus Floor Terra van Privacy Company.
Hoogleraar recht en de informatiemaatschappij Gerrit Jan Zwenne (Universiteit Leiden) sluit zich daarbij aan. “De AP stelt nu dat een melding in vijftien tot dertig minuten kan worden gemaakt, maar binnen die tijd zal het vrijwel onmogelijk zijn om een melding af te ronden. Het zou heel plezierig zijn wanneer er API wordt ontwikkeld waarmee een organisatie datalekken in het eigen systeem kan verwerken en snel kan doorzetten naar het meldpunt.”
Intussen vindt de AP dat handmatig melden nodig blijft, ondanks de werklast. In een reactie stelt de Autoriteit dat ze continu werken aan verbetering van het meldproces van een datalek. “We willen melden sneller en makkelijker maken, maar handmatig invullen blijft noodzakelijk. Daar gaan we niets aan veranderen. Over de hoeveelheid werklast van een datalek heeft de AP geen gegevens beschikbaar.”
Groei datalekken in openbaar bestuur
- 2016: 825 datalekken
- 2017: 1900 datalekken
- 2018: 3570 datalekken
- 2019: 4624 datalekken
- 2020: 5247 datalekken
Lees ook:
- Wetsvoorstel transparantie inkomsten digitale platformen
- Dataprotectie in 2022: 9 op 10 bedrijven heeft gegevensbeveiliging niet op orde
