Een datalek is niet automatisch een overtreding van de AVG, zo stelt staatssecretaris Van Bruggen van Justitie en Veiligheid. De bewindsvrouw reageerde op Kamervragen van D66 over de datalekken bij Basic-Fit en Booking.com. D66 wilde van de staatssecretaris weten of er sprake was van structurele tekortkomingen in de beveiliging van persoonsgegevens bij deze bedrijven.

“Ik wil voorzichtig zijn met het spreken van ‘structurele tekortkomingen’. Elk incident is anders en kan een eigen oorzaak hebben, en het is niet uitgesloten dat er sprake kan zijn van een zeer geavanceerde cyberaanval waartegen zelfs goed beveiligde bedrijven kwetsbaar zijn”, reageert Van Bruggen. Ze was ook gevraagd of ze het ermee eens is dat herhaalde datalekken kunnen wijzen op een onvoldoende structurele naleving van de AVG. Daar is de staatssecretaris het niet mee eens. “Een datalek hoeft niet te duiden op onvoldoende structurele naleving van de AVG; ook goed beveiligde organisaties, overheden en bedrijven kunnen worden getroffen. Daarbij betekent een datalek op zich niet dat er ook sprake is van een overtreding van de AVG.”

Volgens Van Bruggen gaat het er ook om hoe bedrijven handelen nadat een datalek is vastgesteld. “Dat handelen kan bestaan uit het nemen van (extra) beveiligingsmaatregelen, het naleven van de meldingsplicht en transparante communicatie richting de getroffen betrokkenen.” D66 wilde ook weten of de staatssecretaris bereid is om met strengere, afdwingbare beveiligingsnormen te komen voor bedrijven die op grote schaal persoonsgegevens verwerken. “De AVG biedt in principe voldoende normen voor het nemen van passende beveiligingsmaatregelen voor alle organisaties en bedrijven die (op grote schaal) persoonsgegevens verwerken”, antwoordt de bewindsvrouw.

JA21 had naar aanleiding van het datalek bij Basic-Fit ook om opheldering gevraagd. De partij wilde onder andere weten of de AVG of de handhaving daarvan moet worden aangescherpt. “Ik beschik niet over aanknopingspunten dat de gegevensbeschermingswetgeving lacunes vertoont, mede gezien de brede werkingssfeer van de AVG. Het komt eerder aan op naleving van de regelgeving; dat deze in voorkomende gevallen tekort schiet, is eerder toe te schrijven aan verschillende andere factoren dan aan de bepalingen in de AVG zelf”, reageert Van Bruggen.

Bron: Security.nl