Mei 2018 verliep de deadline voor bedrijven om aan de AVG te voldoen, de nieuwe Europese wetgeving die burgers en hun privacy beter zou moeten beschermen. De overheid handhaaft, in de vorm van de Autoriteit Persoonsgegevens, die wet. Tot nu werden er niet veel boetes uitgekeerd. De website Frankwatching becijferde dat er op ruim 59.000 datalekken slechts 91 boetes uitgedeeld werden. De hoogste bomen, zoals Google en Uber, vingen daarbij de meeste wind. Maar hoe zit het bij de overheid zelf?

Zes ton boete

Zo kreeg Uber in Nederland een boete van zeshonderdduizend euro te betalen, nadat de gegevens van 57 miljoen gebruikers waren gelekt. Tot overmaat van ramp betaalde Uber de hackers in een poging het incident in de doofpot te stoppen. Voor zover nu bekend moet de eerste boete aan een Nederlands bedrijf nog uitgedeeld worden. Ook hier is het de verwachting dat de grote instellingen als eerste op de vingers getikt worden door de AP. Daarbij moet gedacht worden aan zorgverzekeraars, banken, datingsites en zorginstellingen. Logisch, want dit soort organisaties verwerken grote hoeveelheden vaak gevoelige persoonsgegevens.

Belastingdienst binnenkort op het matje?

Toch valt ook niet uit te sluiten dat de overheid, onder het mom van de balk in het eigen oog, eerst goed gaat kijken in hoeverre het zélf de zaakjes op orde heeft. De Rijksinstelling die daarbij het eerst aan de beurt lijkt, is de Belastingdienst. De Belastingdienst kampt al tijden met de nodige problemen en kwam de afgelopen paar jaar al een aantal keer negatief in het nieuws. Daarnaast verwerken zij lief en leed van vrijwel iedere Nederlander.

Een ander aspect van de AVG, los van eventuele datalekken, is dat data niet langer dan strikt noodzakelijk bewaard mag worden. Daar dient zich een probleem aan voor De Belastingdienst. Meer dan de helft van de ICT-systemen is verouderd. Daardoor lukt het de dienst niet om zijn databases op tijd op te schonen. Zo zou een deel van de database handmatig gecheckt moeten worden, en daarbij gaat het om honderden miljoenen documenten. Dat kost ontzettend veel tijd en bovendien is er niet genoeg personeel om dit uit te voeren.

Digitale kluis

Om de gegevens toch zoveel mogelijk te beschermen, plaatst De Belastingdienst de gegevens in een zogenoemde datakluis. Deze digitale kluis is een 'afgeschermde omgeving' waar medewerkers alleen toegang toe hebben met 'nadrukkelijke toestemming'.

Vorig jaar gaf de Belastingdienst aan dat het inventariseren van dergelijke authenticatieprotocollen een van de prioriteiten was om aan de AVG te voldoen. Deze problemen zouden nu opgelost zijn en de Tweede Kamer wordt ingelicht over de stand van zaken. De Auditdienst van het Rijk gaat nu tevens onderzoek doen in hoeverre het Ministerie van Financiën voldoet aan de AVG. Nieuwe ontwikkelingen over de mate waarin de overheid zelf voldoet aan de eisen van de AVG liggen dus in de lijn der verwachting.

Gerelateerd:
Gemeenten voldoen nauwelijks aan nieuwe avg wetgeving
Is de overheid avg proof?

Bronnen: Tweakers, Frankwatching, NOS

Delen: