Of misschien valt er niet zoveel te melden omdat het allemaal een beetje een hoax is? Begrijp me niet verkeerd, gegevens van burgers dienen goed beveiligd te zijn, daar kan geen enkele discussie over bestaan maar de veronderstelling dat elke fout in de beveiliging direct tot een datalek leidt is slechts een aanname die tot op heden door niemand onderbouwt kan worden. De aanname dat 130.000 organisatie persoonsgegevens verwerken dus moet er blijkbaar veel fout gaan is natuurlijk volledig uit de lucht gegrepen. Uiteraard zijn er bedrijven die niet snel gaan melden maar bij de gemeenten die ik ken is het melden van lekken verheven tot een soort religie. Daarom denk ik dat de hoeveelheid te melden daadwerkelijke datalekken in Nederland reuze meevalt. Dat is natuurlijk geen leuk bericht voor al die onheilspredikers die ons vertelden dat het kommer en kwel is met onze beveiliging en dat al onze gegevens door iedereen misbruikt worden of kunnen worden.
Zo'n meldplicht datalekken is het aangewezen instrument om dit aan te tonen of te ontkrachten, en dat laatste lijkt het geval te zijn.

Kijk dan ook eens naar hoeveel ambtenaren gewoon per email vragen om medische en/of financiële gegevens, je zult schrikken!
In een email hoort b.v. ook geen BSN te staan, er is tenslotte geen briefgeheim op email.
Een controle in oktober gaf nog aan, dat meer dan 75% van de gemeenten het normaal vindt om dit soort dingen via email te doen, i.p.v. via een beveiligde verbinding.
En dan heb ik het nog niet eens over de overheden die compleet de mist in zijn gegaan met de beveiligingen van Suwinet.

Ik vind het ook lastig om te bepalen waar de grens zit tussen wel/geen datalek.

Als je een brief stuurt staan de persoonsgegevens op de buitenkant. Dit is geen lek omdat de persoonsgegevens daar noodzakelijk zijn om de post te kunnen bezorgen. Maar ik krijg ook elke week het Technisch Weekblad in de bus. Zij plaatsen ook mijn registratienummer op het etiket. En om op hun site in te loggen voor de digitale uitgave is mijn naam van het etiket de inlognaam en het registratienummer mijn wachtwoord. Dus iedereen die het adreslabel kan inzien, kan het blad gratis op mijn naam bekijken.
De consumentenbond deed dat vroeger ook. ( of nog steeds?) Ik was geen lid, maar via het label van een kennis kon ik ook de artikelen lezen.

Voor mijn gevoel is dit ook een datalek omdat anderen nu simpel onder mijn naam kunnen inloggen. Volgens mij moet de uitgever dit lek melden en niet de gedupeerde.

datalekken gebeuren bij vrijwel alle bedrijven maandelijks.
het is echter een slecht voor je reputatie en in de meeste gevallen is het zo dat organisaties de volgende stappen aanhouden:

# als we het niet zien is er ook niets
# kunnen we net doen of er niets gebeurd is? ja?
# ontkennen
# downplaying, ja de hele database is gehacked maar we hebben alles (waarschijnlijk) encrypted. doe toch maar je wachtwoord veranderen.
# aanklagen hackers
# inschakelen overheids instanties of bepaalde bedrijven
# monddood maken van iedereen

en als dat alles niet lukt, dan meld je het lek

En daar heb je uiteraard allemaal bewijzen van, of neem je maar aan dat dit zo gebeurd?

Je vraag is leuk.
Je krijgt de TW editie, ergo je hebt er toegang toe. Als klantvriendelijkheid bieden ze je gratis de digitale versie als je papieren versie hebt. Je had de papieren versie ook kunnen doorgeven of het digitaal of papier betreft maakt voor het vaststellen van een datalek niets uit. De beperking tegen het vrijelijk opnieuw distriberen valt volgens mij onder de auteurswet niet onder privacy/datalek.

De betreffende instanties tussen de opdrachtgever (de vakvereniging) de redactie de drukker en de distributie verwerken persoonsgegevens. Die vewerking van persoongegeven is adequaat want nodig voor de betreffende taak.
Het kan een lek zijn of niet. Dat is niet duidelijk totdat er iets ander bekend wordt of gebeurt waardoor het persoonsgegeven op heel andere manier gebruikt wordt dan enkel de bezorging. Dat kan zijn:
- bijvoorbeeld als je vanuit een onbekende bron benaderd wordt met gebruik van die kennis.
- een van de tussenverwerkers alle gegevens kopieert en elders gaat opslaan met een nog onbekend doel (contracteinde). Het is niet zo dat omdat je niet weet of het goed zit het dan per definite fout is. Dat is de gangbare theorie bij security mensen. De beperking van 2 value logic, met three value logic (rdbms relationeel) heb je met een onzekerheid te maken.

Als het mis gaat zal de data-eigenaar (de vakvereniging) de uiteindelijke veantwoording moeten afleggen. Dat betekent dat de melding ook daar vandaan zal moeten komen. Een eenvoudige uitweg is nu nog dat als je van niets weet er ook geen datalek gemeld hoeft te worden. https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
"Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie."

waarom zou het als de FBI dat ook niet doet?