AP waarschuwt: organisaties nemen onvoldoende maatregelen

Volgens Security.NL heeft de Autoriteit Persoonsgegevens (AP) een position paper gepubliceerd waarin staat dat veel organisaties onvoldoende maatregelen nemen om de impact van datalekken te beperken. Het paper werd gepubliceerd voorafgaand aan een rondetafelgesprek in de Tweede Kamer dat gepland staat voor 21 mei 2026.

Wat zegt de AP?

Volgens Security.NL heeft de AP drie gebieden aangewezen waar dringend verbetering nodig is: het bereiken van een hoog beveiligingsniveau, het beperken van de gevolgen van datalekken en het waarborgen van adequaat toezicht.

De AP benadrukte naar verluidt dat een datalek elke organisatie kan overkomen. Daarom is het niet voldoende om je uitsluitend te richten op het voorkomen van lekken. Organisaties moeten ook stappen ondernemen om de schade te beperken wanneer er toch een lek optreedt.

Concreet wees de AP op drie basismaatregelen die organisaties naar verluidt nog steeds niet consequent naleven:

• Dataminimalisatie: verzamel en verwerk alleen persoonsgegevens die strikt noodzakelijk zijn
• Bewaartermijnen: bewaar persoonsgegevens niet langer dan nodig
• Melding: informeer betrokkenen bij een datalek op de juiste manier en zonder onnodige vertraging

Volgens Security.NL constateerde de AP dat deze basismaatregelen op dit moment nog te vaak worden genegeerd.

Toezicht onder druk

Het position paper uitte naar verluidt ook zorgen over het toezicht op zowel de AVG als de Cyberbeveiligingswet. Volgens Security.NL gaf de AP aan dat zij adequaat toezicht op deze wetten niet kan garanderen vanwege een gebrek aan capaciteit. De toezichthouder stelde naar verluidt dat zij aanzienlijk meer tijd zou moeten besteden aan preventief toezicht, bijvoorbeeld door te controleren of organisaties hun verplichtingen rond dataminimalisatie en bewaartermijnen nakomen, maar dat zij daar momenteel nauwelijks capaciteit voor heeft.

Het rondetafelgesprek op 21 mei 2026 brengt de AP en verschillende andere organisaties samen om te spreken over cybersecurity en informatiebeveiliging. De uitkomsten van dat gesprek zijn nog niet bekend.

Wat betekent dit voor uw website?

Als uw website persoonsgegevens verzamelt, zoals namen, e-mailadressen of bestelgegevens, is het position paper van de AP een aanleiding om te controleren of u alleen opslaat wat u werkelijk nodig heeft en of u gegevens verwijdert wanneer ze niet langer noodzakelijk zijn. Een goed startpunt is onze AVG-nalevingschecklist en onze gids over vereisten voor een privacyverklaring. Ook kleine ondernemingen worden geacht deze basisregels onder de AVG na te leven.