Uit het onderzoek van Reporter Radio blijkt dat bij twee derde van de datalekken het Burger Service Nummer (BSN) is gelekt en in 90% naam en adres gegevens. Opmerkelijk is dat bij 82% van de datalekken, betrokken burgers niet ingelicht zijn.
Een datalek is de situatie waarin persoonsgegevens onvoldoende beschermd zijn. Voorbeelden zijn zoek raken van beveiligde datadragers, foutieve configuratie van rechten bij een personeelsfunctie en technische lekken die uit onderzoek blijven.
Is een organisatie in al die gevallen verplicht om burgers in te lichten? Nee.
Volgens de Autoriteit Persoonsgegevens is dat inlichten van burgers alleen nodig als er een aannemelijke kans is dat burgers er last van het lek krijgen. Tot nu toe laat de Autoriteit Persoonsgegevens behoorlijk in het midden wat aannemelijke kans is en of de Autoritiet Persoonsgegevens in die beslissing betrokken moet worden. Wettelijk moet wel iedere situatie die binnen de omschrijving van een datalek bij de AP gemeld worden, maar niet de onderbouwing of burgers geinformeerd moeten worden. Waarschijnlijk kan de AP niet eens betrokken zijn bij de afweging als volgens de melding volgens de letter van de wet bij de AP komt.
Voorbeeld. Gemeente Iostradeel had een lekke website. Een onderzoeker ontdekt dat je met het veranderen van het BSNnummer in het formulier de gegevens van andere burgers kan inzien. De onderzoeker legt het lek uit aan de gemeente en verklaart als bewijs van het lek van 5 andere burgers de gegevens te hebben opgezocht en verder niemand anders in te lichten. De gemeente kijkt in de logbestanden en herkent verder nergens in de afgelopen 5 jaar opvallend gebruik van het formulier. Het log van de database gaat tot 10 weken terug. Dan de melding aan de AP: de gemeente verklaart dat er een datalek is gemeld en dat ze aan de hand van de logbestanden geen aanwijzingen hebben dat het aannemelijk is dat de persoonsgegevens door meer personen zijn ingezien dan de onderzoeker. Volgens dit voorbeeld hangt het van verdere actie van de AP af of een gemeente een dwang krijgt om burgers te informeren. Als de AP dan niet zo slim is om op te merken dat de POST-resquests niet zijn opgeslagen en genoegen neemt dat 10 weken aan SQL logging voldoende is om te bepalen of er misbruik is gemaakt dan zal die melding naar de burgers er niet komen.
Het proces om te bepalen of burgers naar aanleiding van een datalek ingelicht moeten worden is geheel niet transparant. Er valt voor burgers op geen enkele wijze na te gaan of en welke onderbouwing er is om te bepalen of een organisatie de burgers / klanten moet inlichten. Doordat de afweging ook nog praktisch in handen is van de organisatie die er het minste bij te winnen heeft om het lek aan de burgers te melden laat het zich raden hoe het komt dat veel lekken niet bij de burgers / klanten gemeld worden.