Organisaties verzamelen persoonlijke data van mensen vaak zonder goede reden en bewaren het over het algemeen ook veel te lang, zegt Jaap-Henk Hoepman, universitair hoofddocent digital security aan de Radboud Universiteit, tegenover Het Parool. De afgelopen maanden kregen allerlei bedrijven en organisaties met datalekken te maken, zoals Odido, Instructure (Canvas), Basic Fit, ChipSoft en de gemeente Epe.

Het onnodig verzamelen van persoonsgegevens was niet de oorzaak van deze datalekken, maar volgens Hoepman wel een belangrijk onderliggend probleem. De universitair hoofddocent wijst als voorbeeld naar het datalek bij Odido. "Daar zaten zelfs data van klanten tussen van voorlopers van Odido. Dat is problematisch." Hoepman vindt dat de Autoriteit Persoonsgegevens (AP) strenger moet optreden. Daarnaast stelt hij dat er een capaciteitsprobleem bij de privacytoezichthouder is. "Ze richten zich vooral op de grotere zaken, waardoor allerlei kleinere partijen effectief gesproken niet onder toezicht staan."

De AP stelt in een reactie tegenover Het Parool dat de afgelopen maanden er een ‘ogenschijnlijke hausse aan grote hacks’ is. Volgens de toezichthouder moeten eventuele AVG-overtredingen goed worden onderzocht voordat er een boete kan worden opgelegd. Daarnaast is een boete volgens de toezichthouder niet altijd de meest efficiënte manier. "Ook met een gesprek of voorlichting kun je effect bereiken." Eerder deze maand stelde de Autoriteit Persoonsgegevens nog dat veel organisaties geen maatregelen nemen om de impact van een datalek te beperken. De AP riep op tot het naleven van bewaartermijnen, slachtoffers na een datalek goed te informeren en alleen strikt noodzakelijke gegevens te verwerken.