Op 17 december werd bekend dat er 32 miljoen wachtwoorden gestolen zijn van Facebook en Myspace, én dat de Rabobank een usb-stick met daarop de bankgegevens van 3.000 klanten heeft laten slingeren. Hoeveel voorbeelden zijn er nog nodig om te laten zien dat er een wettelijke meldplicht moet komen voor datalekken? Bits of Freedom heeft hier al op aangedrongen, en legt het nog één keer uit.

Deze incidenten staan namelijk niet op zichzelf. Zowel bedrijven als de overheid gaan slordig om met privé-gegevens. In Engeland raakte een ambtenaar twee cd-roms kwijt, met daarop de kinderbijslag gegevens van 25 miljoen kinderen. De beveiliging van databanken laat ook te wensen over, hebben de gebruikers van Facebook en MySpace ondervonden. In al deze gevallen liggen gevoelige persoonsgegevens voor het oprapen van criminelen, die dan eenvoudig bankrekeningen kunnen plunderen of zelfs identiteitsfraude plegen. En dat is bepaald geen lolletje, zoals Ron Kowsoleea aan den lijve ondervond.

Instellingen moeten zich volgens de wet al inspannen om datalekken tegen te gaan. Maar het gaat nog te vaak fout, en het probleem zal met de voortschrijding van de informatiesamenleving alleen maar groter worden. Wat dat betreft, gaat het hier niet alleen om de privacy van burgers, maar ook hun vertrouwen in ICT. Nu bestaat er nog een kloof tussen wat de burger wordt voorgehouden over de bescherming van zijn persoonsgegevens, en wat er daadwerkelijk fout gaat. Een datalek wordt nu alleen bij toeval bekend.

Een meldplicht datalekken zorgt voor daadwerkelijke consequenties, niet alleen bij toeval maar iedere keer dat een instelling data kwijtraakt. Een wettelijke meldplicht – en een nationaal meldpunt waar de lekken worden verzameld en gepubliceerd – maakt de ernst van het probleem zichtbaar voor de burger. Bovendien zal het instellingen afschrikken: een datalek levert negatieve publiciteit op, en het verzwijgen ervan al helemaal.

Vandaar de oproep aan het Ministerie van Justitie om de bescherming van privé-gegevens te garanderen met een wettelijke meldplicht datalekken in de Wet bescherming persoonsgegevens. Er dient snel opgetreden te worden, pas dan nemen instellingen en werknemers de bescherming van privé-gegevens serieus. Nog langer wachten, en het is afwachten tot de volgende reeks schandalen.