Risicogestuurde prioritering datalekmeldingen

Het toezicht van de AP op de meldplicht datalekken is risicogestuurd. Sommige datalekmeldingen zijn zo ernstig dat inspecteurs van de AP deze met spoed moeten oppakken. Om de ernst van een datalek te bepalen, kijkt de AP naar het risico op schade dat de slachtoffers van het datalek lopen. Hoe hoger het risico, hoe eerder en hoe intensiever inspecteurs de datalekmelding behandelen. De AP heeft een aantal criteria opgesteld om ervoor te zorgen dat de inspecteurs datalekken met ernstige gevolgen met spoed in behandeling nemen.

Datalekken kunnen ernstige gevolgen hebben voor slachtoffers. Daarom moet een organisatie die een datalek heeft snel handelen: het datalek snel dichten en ook snel de slachtoffers waarschuwen voor de gevolgen van het datalek. Daarnaast moet de organisatie het datalek binnen 72 uur melden aan de AP. Door deze meldplicht kan de AP controleren of de organisatie het datalek zorgvuldig afhandelt. De AP ontvangt per jaar circa 20.000 datalekmeldingen. Om de meldingen van de ernstigste datalekken met spoed te kunnen oppakken en om de beschikbare capaciteit van de AP optimaal te kunnen inzetten, is prioritering van datalekmeldingen noodzakelijk. Met behulp van een algoritme wordt die prioritering bepaald. Het gaat om een eenvoudig algoritme waarin verschillende eigenschappen van een datalekmelding worden gewogen. De werking van het algoritme is eenvoudig inzichtelijk voor inspecteurs: het is goed na te gaan waarom een bepaalde melding wel of geen hoge prioriteit heeft gekregen. Hierbij gebruikt de AP geen persoonsgegevens en het resulteert ook niet in een direct automatisch besluit.  

Na prioritering van de datalekmeldingen handelen inspecteurs de meldingen af. Zo is er bij deze datalekmeldingen altijd sprake van menselijke tussenkomst.

Wanneer inspecteurs van de AP datalekmeldingen afhandelen, letten zij ook op de kwaliteit van de meldingen (bijvoorbeeld of die volledig zijn en of er genoeg relevante informatie in staat). Ook monitoren zij de uitkomsten van het algoritme. Op basis hiervan kan de AP risico-indicatoren die in het algoritme worden gebruikt eventueel aanpassen. Verder publiceert de AP elk jaar de rapportage datalekken, waarin de AP inzicht geeft in alle ontvangen datalekmeldingen en afhandeling hiervan. Tot slot gebruik de AP ook de kennis en ervaring opgedaan bij de andere toezichtstaken van de AP om eventuele risico’s van of afwijkingen in de prioritering van meldingen op te sporen. 

• Artikel 33a Wpg
• Artikel 26g Wjsg

Het gaat om gegevens die organisaties hebben ingevuld op het datalekformulier op de website van de AP. Het algoritme verwerkt geen persoonsgegevens die organisaties invullen, zoals gegevens van de contactpersoon.