In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is meer dan verdubbeld ten opzichte van 2017. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening.
Dat schrijft AP in een persbericht. Daarin staat dat het aantal meldingen het eerder geschatte aantal fors overstijgt. De AP meldt dat het haar capaciteit uitbreidt om meer actie te kunnen ondernemen, maar zegt niet hoeveel nieuwe mensen erbij komen. Volgens de toezichthouder kan de actie leiden tot meer handhavende maatregelen.
In ruim tweederde (63 procent) van de datalekken die in 2018 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. De overige 27 procent bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, fishing of malware. Het gaat in de meeste gevallen om NAW-gegevens, gegevens over geslacht, medische gegevens en BSN.
AP: ‘Uit de meldingen valt op dat datalekken door hacking en phishing met name voorkomen in de zorg. Bij phishing kan het gaan nep e-mails die afkomstig lijken van een betrouwbare partij. Wanneer op de link wordt geklikt of een bijlage wordt geopend kan een virus, bijvoorbeeld ransomware, worden geïnstalleerd. Dit is een type malware dat gegevens versleutelt en ervoor zorgt dat deze niet meer toegankelijk zijn.’
Zorg
Gekeken naar de sectoren komt AP met het volgende overzicht:
In 2018 kwamen de meeste meldingen van datalekken van organisaties uit de volgende sectoren:
- gezondheid en welzijn 29%
- financiële dienstverlening 26%
- openbaar bestuur 17%
De AP heeft naar eigen zeggen ‘een palet’ aan verschillende instrumenten om actie mee te ondernemen. In 2018 heeft de AP in veel gevallen uitleg gegeven aan organisaties over te nemen beveiligingsmaatregelen, heeft gevraagd om aanvullende informatie over het datalek, zijn. brieven met normuitleg gestuurd en normoverdragende gesprekken gevoerd met organisaties.
Sinds 25 mei 2018 heeft de AP bij 298 datalekmeldingen actie ondernomen richting organisaties die een datalek gemeld hebben. Een deel van deze interventies loopt nog. Over het algemeen leidden deze acties tot een waarschuwing en beëindiging van de overtreding. Hieronder vielen ook interventies naar mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Het komende jaar gaat de AP daar meer aandacht aan besteden.
Boete
In november 2018 heeft de AP vervoersdienst Uber een boete van 600.000 euro opgelegd voor het te laat melden van een datalek. Het ging om het te laat melden aan zowel de AP als aan de betrokkenen.
Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken is onder de AVG grotendeels hetzelfde gebleven als in de jaren daarvoor. De AVG stelt wel strengere eisen aan de registratie van datalekken. Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de gemelde datalekken. Daarnaast zijn de boetes vanaf 25 mei hoger.
Vanaf 25 mei 2018 geldt de meldplicht datalekken in alle EU-landen. In Nederland geldt deze meldplicht al sinds 1 januari 2016