Dat uitgangspunt is dus al onjuist - al is het helaas waar.
Kern zou moeten zijn: een datalek MAG JE NIET OVERKOMEN.

Maar ja... het is maar data van anderen he... Dus niet boeiend.

Als AP eens zou stoppen met rapportjes schrijven en daadwerkelijk toezicht gaan houden, zou dat meer helpen. Er zijn al genoeg grote datalekken geweest zeker ook bij de overheid. Daar lopen onderzoeken. Maar dat duurt zolang dat niemand er meer aandacht voor heeft.

"Mag niet overkomen" is wensdenken. Net zoals dat een crimineel zich aan zijn woord zal houden.
100% veilig betaat niet of is in ieder geval onbetaalbaar.

Maar als een datalek of datadiefstal dan toch gebeurt (en dat is helaas zo'n beetje de realiteit van de dag) wat heb je als organisatie dan allemaal al gedaan om de gevolgen ervan te mitigeren?

Ook de overheid en poitiek horen daar een rol in te spelen.
Wetegeving. maatregelen en oplossingen waardoor niet elke organisatie apart een eigen dataset aan gevoelige data mag/kan aanmaken. Of dat dat soort data waardeloos is voor dieven, omdat ze die niet kunnen hergebruiken voor identiteitsfraude.
Dan ben je pas echt pro-actief bezig als politiek en overheid.
Ipv dat alle organisaties elke een eigen houtje-touwje vesting gaan bouwen.

Probleem is dat het onderzoek naar een datalek en een mogelijke boete die daarop zou kunnen volgen een juridisch onderbouwd onderzoek en bewijs moet zijn. Anders wordt de AP bij elke rechtszaak weggevaagd.

Ben het met U eens dat handhaving noodzakelijk is, maar audits ook. De AP heeft het recht om na te vragen of organisaties bijvoorbeeld een register van verwerkingen hebben (boven de 250 medewerkers) of men kan bekijken of de privacy verklaring de juiste minimale informatie heeft. Veel sites komen eigenlijk niet verder dan:
- wij van X B.V. Verwerken Uw gegevens volgens de AvG,
- dit zijn Uw rechten
- onze contactgegevens.

Bijna altijd mist de informatie over welke persoonsgegevens waarvoor gedeeld worden met verwerkers en andere (gemeenschappelijke) VerwerkingsVerantwoordelijken in welke landen en de bewaartermijnen.

Er zit IMHO bij de AP een te groot gat tussen (terechte) adviezen schrijven en het boetesysteem waardoor in het bedrijfsleven de risico-inschatting voor de AvG serieus is verlaagd en de positie van de FG ondermijnd.

Onzin, een datalek kan je overkomen! Een auto kun je nog zo goed beveiligen, er blijft diefstal plaatsvinden. Je moet beter opsporen en berechten! Zeker geen losgeld betalen. Dat moet ook verboden worden.

Dus de toezichthouder heeft te weinig capaciteit om haar hoofdtaak te kunnen uitvoeren.
En gaat dan roepen dat ze te weinig aan "preventief toezicht -wat is dat?- kan doen.
En gaat dan position papers schrijven.

Dat komt op mij over als de politie, die het bijltje erbij neer gooit en geen moeite meer doet om boeven te vangen, maar in plaats daarvan grote voorlichtingscampagnes_gericht_op_boeven gaat organiseren in de hoop ze daarmee te bewegen om hun verderfelijke werk te staken.

Nemen jullie jezelf nog serieus, AP?

Waarom doen zo veel bedrijven zo moeilijk over het toepassen van de AVG?
De AVG noemt data -minimalisatie als één van de kernbeginselen van gegevensbescherming.

Data -minimalisatie, gewoon doen!
of het leuker wordt weet ik niet, maar wel makkelijker te beheersen.

Neemt de regering, onze politieke leiders (die voor de fianciering verantwoordelijk zijn), het AP nog wel serieus?

Dat hebben ze nooit gedaan, alles was een beetje voor de bühne.

(A) Nee, als je ervan uitgaat dat het instellen van een toezichthouder door de staat om de AVG te handhaven bedoeld is om de AVG te handhaven (wat niét mijn aanname is) want dan zou de staat voldoende capaciteit van de AP om haar functie naar behoren te kunnen vervullen waarborgen.
(B) Ja, als je ervan uitgaat dat de verborgen, maar de facto door de staat toegekende functie van de AP m.b.t. de AVG eruit bestaat om de bevolking de illusie te geven dat haar persoonsgegevens beschermd worden. Dus dat de AP als "tandenloze tijger" door de staat bewust gewenst is.

Maar dat is in mijn visie nog niet het meest urgente probleem.
Dat is namelijk de opstelling van de AP in deze ambivalente situatie.
Die kiest namelijk eieren voor haar geld door zelf óók ambivalent te gaan optreden: nauwelijks (bijtende) boetes uitdelen en steeds meer haar hoofdtaak herformuleren naar het preventieve, dus voorlichtende domein, wat niets meer met handhaving te maken heeft.
Dus de AP neemt m.i. haar eigen taak in de zin van A. niet serieus want dan zou ze zichzelf door de ontbrekende ondersteuning van de staat niet in de positie van een 'feel good tiger' laten dwingen, maar bijvoorbeeld keihard duidelijk maken dat ze dit niet accepteert (staken, ontslag indienen, talkshows platlopen, je onvrede permanent luidruchtig in de media bekend maken, e.d.).
En dat doet de AP niet. Die piept heel beschaafd een beetje.
Uiteindelijk gaat het erom of mensen, dus het voltallige personeel van de AP, meewerken in een situatie die niet koosjer is.
De AP speelt het spel mee. Dat is in mijn visie een vorm van gecorrumpeerdheid (ik heb uiteraard visie B).

Ik deel jouw visie, op basis van meer dan tien jaar ervaring met de AP. Ik ben zelfs nog een klein beetje pessimistischer, het lijkt er zelfs op dat de AP actief streeft naar manieren om haar eigen potentiële handhavingsactiviteiten met juridische middelen bij voorbaat onmogelijk te maken. De AP neemt de houding aan van een soort advocaat van kwade zaken. De AP hanteert voor de bühne een heel beschaafde toon. Maar dat maakt de werkelijke handelwijze van de AP nog niet beschaafd.

De titel van het bovenstaande artikel is: "AP: organisaties nemen geen maatregelen om impact datalek te beperken"

Wat zouden we vinden van deze koptekst: "NVWA (Nederlandse Voedsel- en Warenautoriteit): boeren nemen na verdrinkingsdood van 30% van de veestapel geen maatregelen om putten gedeeltelijk te dempen."

En ik denk dat dat nog een lage inschatting is van het percentage Nederlanders dat (vaak zonder het te beseffen) al slachtoffer is geworden van een datalek.

Als het om verdronken kalveren ging, zouden we van de NVWA echt wel wat meer eisen dan een "position paper".

We worden door de AP gemasseerd om het eigenlijk wel min of meer normaal en aanvaardbaar te gaan vinden als er in ons land ongeveer drie keer per week een datalek plaatsvindt, en als een willekeurige Nederlander gemiddeld ongeveer één keer per jaar of per maand slachtoffer wordt van een datalek. "Het zou wel ietsjes minder moeten!" zegt de AP dan in een rondetafelgesprek met parlementsleden, en blijft stug weigeren om er serieus iets aan te doen.

M.J.

Maar de meest privacygevoelige gegevens zijn vaak degene die je niet kan weg minimaliseren aangezien ze of noodzakelijk zijn voor de uitvoering van de dienst of er een wettelijke bewaartermijn is. Een webshop heeft je NAW nodig om de bestellingen te laten bezorgen en moet de factuur bewaren voor de belastingdienst. Ok, misschien is je emailadres of telefoonnummer niet direct nodig, maar vergeleken met je NAW en betalingsgevens zijn die niet zo spanned.

Ik heb nog nooit gehoord van een volle dossierkast die gestolen is...
'Wensdenken'? Het directe gevolg van 'alles moet digitaal' (ook als dat geen of nauwelijks toegevoegde waarde heeft) en 'alles moet aan internet' (wat zelden noodzakelijk is).
Zonder 'alles aan internet' (sterker nog... zonder internet) functioneerde de maatschappij ook. En in veel opzichten niet slechter dan nu...

Je hebt er alleen veel meer handjes voor nodig, en die zijn er door decennia lang slecht beleid vanuit Den Haag niet meer voorhanden O.a. agv de grijze golf.
Ze hebben 40-60 jaar de tijd gehad om dat "aankomende" personeel tekort probleem in onze economie te mitigeren.
Zie hier het resultaat.

Is dat zo? Ik heb zomaar het idee dat heel veel van de 'handjes' die er wel zijn bezig zijn met zinloos data verzamelen (we noemen het 'rapportage'), beheer van de IT ellende en 'procedures' in plaats van met zinnig werk. Over 'managers' en soortgelijk gedoe hebben we het dan maar niet eens. Koste het zoveel meer handjes??

En ze zoeken een senior schaap met de 5 poten voor een junior salaris...

Pay peanuts, get monkeys.

Misschien moet een deel van het werk wat niet meer door mensenhanden gedaan kan/wil worden, maar uitbesteed worden aan apen.

Preventie is iets wat je doet voordat het misgaat om te voorkomen dat het misgaat. Dan is niet zo moeilijk om in te vullen wat preventief toezicht is: ga kijken bij organisaties hoe ze dingen doen en wijs ze op de zwakheden nog voordat het al is misgegaan.

Misschien moet de politiek wel overtuigd worden voordat die ze de ruimte verschaft om die stap te kunnen zetten. Een position paper is een stap om iets te bereiken. Jij loopt misschien een keer binnen bij je chef, twee kamers verder, en bent klaar met een praatje, zij hebben een heel wat grotere afstand te overbruggen.

Uitdrukkingen als "voorkomen is beter dan genezen" en "dweilen met de kraan open" zijn niet voor niets bedacht, weet je?

Ingrijpen als het is misgegaan is nodig, maar het is nog veel beter als je kan voorkomen dat het misgaat. Dat is veel effectiever en kost uiteindelijk veel minder. Criminele organisaties ronselen jongeren, middelbare scholieren, bijvoorbeeld. Als je die jongeren nu beter en eerder weet te bereiken dan die criminelen dat doen dan heb je straks minder criminelen te bestrijden.

Herinner je je de invoering van de AVG nog? De eerste jaren golden de regels maar werden er nog geen boetes uitgedeeld, er was een overgangsperiode. Toen heeft de AP heel succesvol via publiciteit weten te bereiken dat de verandering doordrong tot de bevolking. Daarvoor kwam ik verreweg het meest tegen dat mensen privacy zagen als "ik heb toch niets te verbergen", en dat is toen op een indrukwekkende manier omgeslagen. Toen het aankwam op handhaven heeft AP dat aardig aan de grote klok gehangen, wat bijdroeg aan het levend houden van het onderwerp, maar door hun chronische capaciteitsgebrek (bedankt, politiek) is het zeker gaan verwateren.

Het doet er allemaal toe. Het onderwerp levend houden met voorlichting heeft effect. Het onderwerp levend houden door organisaties te wijzen op wat zij zelf specifiek fout doen, nog voordat het tot ongelukken leidt, heeft effect. Als het dan toch misgaat moet ook duidelijk zijn dat dat werkelijk consequenties heeft, ook dat heeft effect.

Het is allemaal nodig, maar het is wel zo dat geld dat je aan de preventieve kant uitgeeft meer effect oplevert dan geld dat je aan vervolgen en straffen besteedt, dat is schreeuwend duur namelijk. Alleen maar straffen als het al is misgegaan is niet effectief genoeg, dat is dweilen met de kraan open.

Weet je hoe ontzettend veel mensen functioneren? Ze kijken wat de rest doet, gaan ervan uit dat wat iedereen doet wel zal kloppen, en doen dat dan ook. Bedrijven en andere organisaties doen dat ook volop, die worden opgericht en geleid door mensen die ook vaak genoeg zo zijn, zeker in dingen die voor hun niet de kern van de organisatie zijn, en IT is meestal niet de kern maar een hulpmiddel. Wat dat allemaal oplevert klopt alleen lang niet altijd, schokkend slechte gegevensbeveiliging kan zo heel makkelijk de norm worden. Dat soort patronen doorbreek je niet door achteraf te straffen, dat heeft te weinig effect, de meesten zullen het nieuws erover niet eens opmerken. Nee, je moet al die organisaties zover krijgen dat ze achter een goede aanpak aanhobbelen, en liefst dat ze stoppen met er alleen passief achteraan hobbelen maar er zelfs actief in worden.

Zonder voorlichting en preventie ben je aan het dweilen met de kraan open.

AP.... is het niet jullie taak om te zorgen dat dat WEL gebeurt... niet Foei fluisteren en hopen op een goede afloop maar voorbeelden aan de schandpaal nagelen, daarna kiezen organisaties wel eieren voor hun geld.

Ik geloof nog steeds niet dat hoop op een goede afloop in het verleden goed gewerkt heeft...
het zal ook niet in de toekomst goed werken.. De voorloper van de AVG liet dat al zien, vrijwel dezelfde eisen en plichten, alleen zonder sancties. Nu zijn er sancties maar die worden niet toegepast...

Organisaties leren nog lang niet, de kleuters hebben leiding nodig.
Dat Meta, google, odido etc allemaal als kleuters bij het snoeprek voor de kassa op de grond liggen te brullen is niet het probleem van de samenleving toegeven aan hun fitties wel.

Twee redenen:

1. Bedrijven willen een maximale winst met minimale investering.
2. Mensen willen hun inkomen met minimale (geestelijke) inspanning binnen halen.

Als het maar lijkt alsof ze ECHT ermee bezig zijn hé :)

"Preventief toezicht" is een merkwaardige constructie.
Toezicht is altijd preventief: de surveillerende docent die bij examens toezicht houdt doet dit om te voorkomen dat de leerlingen alles bij elkaar spieken. Wijkagenten werken op dezelfde manier.
Een instelling die zichzelf autoriteit noemt zit w.m.b. in dezelfde hoek.
Maar de AP bedoelt met preventief blijkbaar een soort uitbreiding van toezicht.
Nog zonder te weten wat voor een uitbreiding dat dan is vind ik dat opmerkelijk tegen de achtergrond van het gegeven dat de AP al te weinig capaciteit heeft om haar opdracht uit te voeren.
Dàt is waarover ik struikel.
Het doel van een 'position paper' is (en was) mij wel duidelijk, maar wat staat daar in?
Uit het pp:

Ad 1. Dit is vrijwel identiek met de insteek van de Cyberbeveiligingswet (Cbw): de nog te implementeren Europese NIS2-richtlijn.
Deze richtlijn beoogt meer Europese harmonisatie en streeft óók naar een hoger niveau van cybersecurity bij (aangewezen) bedrijven en organisaties, inclusief bepaalde overheidsorganisaties.
De AP is geen toezichthouder voor de Cbw, maar haar werkterrein overlapt met dat van de Cbw.
Wat de AP in essentie onderscheidt van de Cbw is de AVG, die toegesneden is op de verwerking van persoonsgegevens.
De AP schuift dus meer op in de richting van de Cbw.
Ad 2. De AP en dataminimalisatie: hoe geloofwaardig is dat gezien haar optreden tot nu toe?
Bedrijven kunnen hun dataverzamelwoede gerieflijk parkeren onder "gerechtvaardigd belang", wat vrijwel nooit door de AP (of de rechter) afgekeurd wordt. En overheidsinstanties en aanverwanten kunnen hun obsessie voor het verzamelen van data van burgers altijd rechtvaardigen omdat ze de burgers moeten/ willen verzorgen - analoog aan de medische behandeling in een ziekenhuis waar je meer succes van slagen hebt naarmate de medici meer kennis (en techniek) hebben over je aandoening/ziekte/gebrek/verminderde functionaliteit. Rationele interventie vooronderstelt inzicht.
Daarom hoeven (mogen) overheidsinstanties ook geen gerechtvaardigd belang aan te voeren.
Ad 3. De AP koppelt hier twee dingen aan elkaar: risico-gestuurd en preventief.
Een dergelijke koppeling is niet vanzelfsprekend, maar wel bepalend voor hoe de AP haar toekomstige werk voor zich ziet.
Risico-gestuurd toezicht is selectief toezicht.
Het selectiecriterium wat de AP gebruikt is: alléén datalekken behandelen, die de grootste risico’s opleveren voor slachtoffers, dus datalekken waaraan ernstige overtredingen van de (basis)vereisten voor beveiliging van persoonsgegevens ten grondslag liggen (indicatie voor een boete) en/of die veroorzaakt worden door grote cyberincidenten (niet persé een indicatie voor een boete?).
De reden voor de risico-gestuurde selectie is, dat de AP te weinig capaciteit heeft om het groeiende aantal meldingen van datalekken -in 2024 (afgerond) 38.000, in 2025 (afgerond) 44.000- conform haar opdracht als toezichthouder te behandelen. Het formeel onderzoek wat de AP moet uitvoeren alsvorens een boete op te kunnen leggen, waarvan de AP erkent dat dit een belangrijk onderdeel van haar werk als toezichthouder is, vergt meer capaciteit dan de AP "op dit moment" heeft.
Dit risico-gestuurd toezicht, deze toegepaste selectie van casussen, is dus al staande praktijk bij de AP omdat ze aan de rest niet toekomt.
Voor zover ik weet is de AP nog nooit door de staat op de vingers getikt voor het feit dat ze deze selectie toepast en niet alle meldingen van datalekken behandelt.

Het werkterrein meer naar preventie en voorlichting verleggen adresseert het capaciteitsprobleem dat de AP heeft m.b.t. voldoende (nalatige) bedrijven beboeten niet.
Door dit capaciteitsprobleem selecteert zij alleen de ergste (van de ergste van ...) datalekken, wat een neerwaartse spiraal kan inzetten, die sterk kan gaan divergeren met een toekomstige ontwikkeling waarin m.i het aantal zwaarwegende/ impactvolle datalekken alleen maar gaat toenemen.
Tegen deze achtergrond is de kans uitgesloten dat de AP ook preventief boetes gaat opleggen aan bedrijven en organisaties, die de basisvereisten voor de beveiliging van persoonsgegevens niet op orde hebben, maar die nog geen datalek hebben gehad. De AP ontbeert de mogelijkheid om een adequaat beveiligingsniveau van persoonsgegevens preventief af te dwingen, zoals dat onder de Cbw wèl is voorzien (maar niet specifiek voor persoonsgegevens).

De herformulering van de opdracht van de AP door haarzelf naar preventie en voorlichting is ook een terrein waarvan de resultaten m.b.t. datalekken niet gekwantificeerd (gemeten) kunnen worden, zoals het aantal gemelde datalekken, wat de AP niet in behandeling kan nemen.
Dat leidt tot een minder confronterende en dus meer comfortabele positie van de AP, die zich nu geconfronteerd ziet met publiekelijke onvrede over haar functioneren (de AP haalt een onderzoek van EenVandaag aan waaruit blijkt dat zo’n 74% van de bevraagde mensen vindt dat bedrijven waar persoonsgegevens lekken harder gestraft moeten worden).
Ik bestrijd niet het nut van preventie, maar het gaat om de context waarin de AP met deze herformulering van haar opdracht komt.
Ik vind deze herformulering niet logisch voortvloeien uit het probleem wat door de AP geschetst wordt: te weinig capaciteit om een formeel onderzoek in te stellen naar ernstige datalekken om vast te kunnen stellen of de bedrijven en organisaties waar zij plaatsvinden voor een boete in aanmerking komen.
Dat valt onder haar hoofdfunctie.
Het herformuleren van de opdracht naar "preventief" toezicht is géén (logische) oplossing voor bovenstaand probleem.
En zal bovendien negatieve consequenties hebben voor dit deel van haar werk (boetes uitdelen).

Het is een politieke oplossing om bovenstaand capaciteitsprobleem te ontwijken, welke oplossing gebaseerd is op de aanname dat méér bewustwording leidt tot minder ernstige datalekken.
Het is natuurlijk mooi als dat zo werkt, maar hoe realistisch is dat?
Mijns inziens is het grote aantal overtredingen van de AVG, dus inclusief datalekken, niet het gevolg van een gebrek aan kennis van de juiste omgang met persoonsgegevens, maar het gevolg van te weinig gevoelde urgentie om dat te doen, dus onwil.
Men onderkent het belang van het beschermen van persoonsgegevens veel te weinig.
Dat is een heel andere oorzaak van de ziekte "datalek", waarvoor de remedie niét bewustwording is, maar een verandering van de wil.
Ik zie te weinig onderzoek naar wat de oorzaken van die ontbrekende wil bij bedrijven en organisaties zijn.
Ook de AP houdt zich daar verre van.
Zij veronderstelt primair dat haar doelgroep van goede wil is.
Dat mag leuk staan en optimisme uitstralen, maar het lijkt mij wel zo realistisch om de nodige portie onwil te vooronderstellen gezien het feit dat in onze economie met het onzorgvuldig omgaan met data van mensen, ook zeer gevoelige data, geld verdiend kan worden; géén kosten maken om deze data goed te beschermen valt daar ook onder.
In het aller-, allergrootste deel van de datalekken wordt nou niet bepaald door de getroffen bedrijven en organisaties de indruk gewekt dat ze gefaald hebben. Het wordt altijd op de "verschrikkelijk boosaardige en uiterst geraffineerde" criminelen gegooid zonder ook maar één moment de hand in eigen boezem te steken.
Dat alle mogelijke persoonsgegevens en masse op straat komen te liggen is iets wat volledig overgelaten wordt aan degenen wiens gegevens het betreft.
Dat spreekt boekdelen.