De Gegevensbeschermingsautoriteit (GBA, de vroegere Privacycommissie) heeft vorig jaar 861 meldingen van een datalek binnengekregen. Dat schrijft De Tijd. Het cijfer is een verdubbeling van het aantal meldingen van 2018, maar een groot deel daarvan wordt niet opgevolgd.
Sinds de GDPR in mei 2018 van kracht werd, moeten bedrijven datalekken verplicht melden aan de GBA binnen de 72 uur. In 2019 kreeg de instantie zo 861 meldingen binnen, tegen 445 het jaar ervoor, al moet daarbij opgemerkt worden dat de meldingsplicht in 2018 dus pas in mei inging.
In Nederland bedroeg het aantal meldingen meer dan 20.000, maar daar gold de plicht al van voor de invoering van GDPR. De 861 meldingen zijn waarschijnlijk een fractie van het aantal echte dossiers. De eerste GDPR-boete in ons land viel ook maar in juni 2019, omdat de GBA pas na veel communautair gekrakeel echt van start kon gaan. Experts stellen ook dat het niet altijd evident is voor bedrijven om binnen 72 uur een datalek te melden, bijvoorbeeld als ze door een chaotische cyberaanval gaan.
De Tijd hoorde ook van verschillende bronnen dat meldingen nog altijd maar zelden opgevolgd worden. De GBA erkent dat ook, maar spreekt van een bewuste keuze. De instantie wil niet dat bedrijven die braaf incidenten melden meer kans lopen op een sanctie en zegt dat de binnenlopende meldingen ook een hulpmiddel zijn waarmee ze met aanbevelingen de praktijken bij bedrijven kan bijspijkeren. Desondanks wordt ook erkend dat er te weinig mankracht is.
