Eindhoven maakt het nog mooier:

Eindhoven noteerde afgelopen jaar in het totaal 17 datalekken. Van drie zwaardere gevallen werd de toezichthouder in kennis gesteld. Welke gevallen zich afgelopen jaar precies hebben voorgedaan, weigert de gemeente te zeggen.

Ik zou niet vreemd opkijken dat dit geld voor allerlei soorten blunders en missers in de gehele landelijke politiek.
Eerst kijken of het onder de pet gehouden kan worden,zo niet dan feiten verdraaien/verdoezelen.
Het is dat er af en toe wat stront komt bovendrijven als een journalist wat te ijverig in de beerput aan het roeren is.

Een datalek is de situatie waarin persoonsgegevens onvoldoende beschermd zijn. Voorbeelden zijn zoek raken van beveiligde datadragers, foutieve configuratie van rechten bij een personeelsfunctie en technische lekken die uit onderzoek blijven.
Is een organisatie in al die gevallen verplicht om burgers in te lichten? Nee.

Volgens de Autoriteit Persoonsgegevens is dat inlichten van burgers alleen nodig als er een aannemelijke kans is dat burgers er last van het lek krijgen. Tot nu toe laat de Autoriteit Persoonsgegevens behoorlijk in het midden wat aannemelijke kans is en of de Autoritiet Persoonsgegevens in die beslissing betrokken moet worden. Wettelijk moet wel iedere situatie die binnen de omschrijving van een datalek bij de AP gemeld worden, maar niet de onderbouwing of burgers geinformeerd moeten worden. Waarschijnlijk kan de AP niet eens betrokken zijn bij de afweging als volgens de melding volgens de letter van de wet bij de AP komt.

Voorbeeld. Gemeente Iostradeel had een lekke website. Een onderzoeker ontdekt dat je met het veranderen van het BSNnummer in het formulier de gegevens van andere burgers kan inzien. De onderzoeker legt het lek uit aan de gemeente en verklaart als bewijs van het lek van 5 andere burgers de gegevens te hebben opgezocht en verder niemand anders in te lichten. De gemeente kijkt in de logbestanden en herkent verder nergens in de afgelopen 5 jaar opvallend gebruik van het formulier. Het log van de database gaat tot 10 weken terug. Dan de melding aan de AP: de gemeente verklaart dat er een datalek is gemeld en dat ze aan de hand van de logbestanden geen aanwijzingen hebben dat het aannemelijk is dat de persoonsgegevens door meer personen zijn ingezien dan de onderzoeker. Volgens dit voorbeeld hangt het van verdere actie van de AP af of een gemeente een dwang krijgt om burgers te informeren. Als de AP dan niet zo slim is om op te merken dat de POST-resquests niet zijn opgeslagen en genoegen neemt dat 10 weken aan SQL logging voldoende is om te bepalen of er misbruik is gemaakt dan zal die melding naar de burgers er niet komen.

Het proces om te bepalen of burgers naar aanleiding van een datalek ingelicht moeten worden is geheel niet transparant. Er valt voor burgers op geen enkele wijze na te gaan of en welke onderbouwing er is om te bepalen of een organisatie de burgers / klanten moet inlichten. Doordat de afweging ook nog praktisch in handen is van de organisatie die er het minste bij te winnen heeft om het lek aan de burgers te melden laat het zich raden hoe het komt dat veel lekken niet bij de burgers / klanten gemeld worden.

Het makkelijke in deze situatie is dat deze gegevens over de overheid boven tafel te halen zijn met publieke informatie en anders wob-verzoeken. Maar de meeste persoonsgegevens zitten niet bij 400 gemeenten maar bij een miljoen bedrijven, waar geheel geen transparantie verplicht is op het gebied van afwegen waarom ze hun klanten niet informeren, of zelfs de AP niet.

Anoniem 15:32: Fout. Alle persoonsgegevens zitten (eigenlijk per definitie, en verplicht) bij de gemeenten.

Verdiep je eens in de wetgeving, en dan vooral in de komende wetgeving, de GDPR (mei 2018). Dan zul je zien dat die transparantie er aan komt. De boete bedragen bij verlies van gegevens zijn dusdanig hoog dat bedrijven het wel uit hun hoofd laten om lekken niet te melden (het komt namelijk vaak uit doordat de gegevens worden gevonden...).

In veel gemeenten hebben woningbouwvereningen direct inzage in de persoonsgegevens van ALLE burgers. Dus wat is nu een datalek als medewerkers van commerciële bedrijven (want naast sociale woningbouw zijn ook vele WBV projectontwikkelaars) bij de gegevens van alle burgers kunnen.

Iostradeel? Als ik op die naam zoek kom ik alleen jouw commentaar tegen. Welke gemeente bedoel je? Of is dit een fictief voorbeeld? Beschrijf je je eigen aannames over hoe zoiets gaat?
Het beleidsdocument van AP beschrijft behoorlijk gedetailleerd hoe dat beslissingsproces loopt, en het is voor iedereen toegankelijk. Wat is daar niet transparant aan?
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf
In het algemeen staat dat in dat beleidsdocument van AP. In specifieke gevallen kan je het probleem hebben als iets wat wel degelijk gemeld had moeten worden door een gemeente of een bedrijf wordt stilgehouden. Daar moet je lucht van krijgen voor je erop kan reageren, dat is helaas niet anders, maar alles wat bewust wordt stilgehouden is per definitie niet transparant, daar doe je niets aan. Dat ligt niet aan het proces waaraan je refereert, dat ligt aan het negeren van dat proces en dan breekt er wel iemand de wet.

En dan nog zijn je mogelijkheden niet uitgeput. Als je weet dat er iets gaande is kan je AP inseinen via hun tipformulier (https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons), en je kan ook naar de media stappen zodat het opeens in de schijnwerpers gezet wordt.

Een brief sturen? En ieder ander bedrijf direct aanklagen voor 10% van de internationale omzet...