Melding datalekken fors gestegen

Verdubbeling aantal datalekken bij Autoriteit Persoonsgegevens: bijna 21.000 in 2018

Autoriteit Persoonsgegevens
- 30 January 2019

Er zijn in 2018 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Dat aantal is een ruime verdubbeling van 2017 en een forse stijging ten opzichte van eerdere schattingen, waardoor de AP zich genoodzaakt ziet om de capaciteiten uit te breiden om met de werkdruk om te kunnen gaan.

De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. 

In verreweg de meeste gevallen van datalekken die in 2018 zijn gemeld, gaat het om persoonsgegevens die om wat voor reden dan ook aan een verkeerde ontvanger zijn gestuurd (63 procent). Onder de resterende 37 procent vinden we onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, phishing of malware. Het gaat in de meeste gevallen om NAW-gegevens, gegevens over geslacht, medische gegevens en het burgerservicenummer.

Een datalek hoeft niet het gevolg te zijn van een beveiligingsprobleem: informatie kan ook op een andere manier lekken, bijvoorbeeld bij verlies, diefstal of een verkeerd geadresseerde e-mail. En wie bij een datalek direct aan digitale gegevens denkt, vergeet dat er vaak niet eens elektronica aan te pas hoeft te komen. Denk bijvoorbeeld aan de dossiers in de schoudertas, interne documenten die open en bloot op je bureau liggen of de printjes die je eigenlijk niet zomaar onbeheerd had moeten laten. 

Uit de meldingen valt op dat datalekken door hacking en phishing met name voorkomen in de zorg. Bij phishing kan het gaan om valse e-mails die afkomstig lijken van een betrouwbare partij. Wanneer op de link wordt geklikt of een bijlage wordt geopend kan een virus, bijvoorbeeld ransomware, worden geïnstalleerd. Dat is een type malware wat gegevens versleutelt en ervoor zorgt dat deze niet meer toegankelijk zijn.

             LEES OOK: Haven Cybermeldpunt - het eerste half jaar

Meldplicht datalekken

Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken is onder de AVG grotendeels hetzelfde gebleven als in de jaren daarvoor. De AVG stelt wel strengere eisen aan de registratie van datalekken.  Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de gemelde datalekken. Daarnaast zijn de boetes sinds 25 mei 2018 hoger.

Wil je meer weten over datalekken en de meldplicht, kijk dan eens op deze webpagina van de AP.

Acties van de Autoriteit Persoonsgegevens in 2018

In 2018 heeft de AP in veel gevallen uitleg gegeven aan organisaties over de te nemen beveiligingsmaatregelen, gevraagd om aanvullende informatie over het datalek, brieven met normuitleg gestuurd en normoverdragende gesprekken gevoerd met organisaties.

Sinds 25 mei 2018 heeft de AP bij 298 datalekmeldingen actie ondernomen richting organisaties die een melding maakten. Een deel van deze interventies loopt nog, zo schrijft de AP op de website. Over het algemeen leidden deze acties tot een waarschuwing en beëindiging van de overtreding. Hieronder vielen ook interventies naar mogelijke datalekken bij organisaties die dit níet hebben gemeld. De AP geeft aan daar het komende jaar meer aandacht aan te gaan besteden.

In het eerste kalenderjaar van de AVG is overigens maar één boete uitgeschreven: in november 2018 werd vervoersdienst Uber een boete van 600.000 euro opgelegd voor het te laat melden van een datalek. Het ging om het te laat melden aan zowel de AP als aan de betrokkenen.

Daarnaast werd het UWV in oktober een last onder dwangsom opgelegd van 150.000 euro per maand met een maximum van 900.000 euro omdat het beveiligingsniveau van het werkgeversportaal niet voldoet. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Als het UWV dit dan niet op orde heeft, moet zij de dwangsom betalen.

VIND FERM OOK OP TWITTER | LINKEDIN | FACEBOOK