De berichten ‘Datalekken bij gemeenten; het is een beetje een zooitje’ en ‘Organisaties worstelen met nieuwe privacy wetgeving’

Vragen

1. V1Kent u de berichten «Datalekken bij gemeenten; «het is een beetje een zooitje»» en «Organisaties worstelen met nieuwe privacy wetgeving»? 1 2

2. V2Deelt u de mening dat het schokkend is dat het beleid rond datalekken bij gemeenten nog steeds een zooitje is, dat gemeenten geen eenduidig beleid voeren rond datalekken, en dat datalekken niet altijd gemeld worden bij de Autoriteit Persoonsgegevens, terwijl dit wel verplicht is sinds januari 2016? Zo ja, hoe is het dan mogelijk dat gemeenten zich nog steeds in heel verschillende mate bewust zijn van de datalekken in hun organisatie en dat nog steeds niet binnen alle gemeenten bekend is dat bijvoorbeeld een verloren usb-stick met gevoelige gegevens ook een datalek is? Zo nee, waarom niet?

3. V3Deelt u de mening dat het tevens zeer schokkend is dat slechts bij 18% van de datalekken bij gemeenten dit aan de betrokkenen gemeld is? Deelt u de mening dat betrokkenen altijd op de hoogte moeten worden gesteld van een datalek aangezien hun gegevens kunnen worden misbruikt? Zo ja, hoe gaat u gemeenten hierop aanspreken? Zo nee, waarom niet?

4. V4Hoe is het mogelijk dat de Autoriteit Persoonsgegevens op dit moment nog geen boetes heeft uitgedeeld aan gemeenten die hun informatiebeveiliging niet op orde hebben? Deelt u de mening dat het huidige beleid rond informatiebeveiliging te vrijblijvend is en gemeenten harder aangepakt moeten worden om hen te motiveren aan hun verplichtingen met betrekking tot het beschermen van privacy en persoonsgegevens te voldoen? Zo ja, wat gaat u hieraan doen? Zo, nee waarom niet?

5. V5Hoe beoordeelt u de onderzoeken van Reporter-radio (KRO-NCRV) en PwC waaruit blijkt dat gemeenten blijkbaar toch niet zelf in staat zijn om de door hun gebruikte informatiesystemen te beveiligen? Hoe beziet u dit in het licht van uw antwoorden op eerdere vragen over datalekken bij gemeenten 3 waarin u stelt dat dit een verantwoordelijkheid van gemeenten zelf is?

6. Deelt u de zorgen van de indiener over de uitkomst van het PwC Privacy Governance onderzoek dat slechts een op de tien organisaties klaar is voor de gewijzigde privacywetgeving die in mei 2018 van kracht wordt?