Staatssecretaris: datalek is niet automatisch een overtreding van de AVG

In dit artikel:

Staatssecretaris Van Bruggen (Justitie en Veiligheid) stelde in reactie op Kamervragen van D66 en JA21 dat een datalek niet automatisch neerkomt op een overtreding van de AVG. De vragen kwamen naar aanleiding van recente incidenten bij onder meer Basic‑Fit en Booking.com; D66 vroeg of die datalekken duidden op structurele beveiligingstekorten. Van Bruggen waarschuwt dat elk incident een eigen oorzaak heeft en dat zelfs goed beveiligde organisaties het slachtoffer kunnen worden van geavanceerde aanvallen. Volgens haar wijzen herhaalde lekken niet per definitie op onvoldoende structurele naleving van de wet.

Belangrijker dan het lek zelf is volgens de staatssecretaris hoe een organisatie daarop reageert: het nemen van extra beveiligingsmaatregelen, het voldoen aan de meldplicht en transparante communicatie naar betrokkenen. Op de vraag of strengere, afdwingbare beveiligingsnormen nodig zijn voor partijen die op grote schaal persoonsgegevens verwerken, antwoordde ze dat de AVG al voldoende kaders biedt voor passende maatregelen. Ze ziet geen aanwijzingen voor wettelijke lacunes; problemen schrijven zich volgens haar vaker toe aan naleving en andere factoren dan aan de regels zelf.