In de eerste helft van dit jaar kreeg de Autoriteit Persoonsgegevens (AP) zo’n achthonderd meldingen binnen van datalekken waarbij sprake was van hacking, malware dan wel phishing. In totaal deden bedrijven en organisaties ruim 9,8 duizend keer melding van een datalek, veelal het gevolg van verkeerde adressering. Hiermee ligt het aantal datalek-meldingen lager dan in de eerste helft van zowel 2023 als 2022, beide 10,5 duizend).
Dit maakt het CBS bekend.
Het meest voorkomende type incident (41%) betreft een brief of postpakket met persoonsgegevens. In achttien procent van de gevallen ging het om een datalek waarbij er iets misging met persoonsgegevens in een email, zoals versturen aan een verkeerde ontvanger. In acht procent van de gevallen was cybercrime in het geding.
Bijna zeven op de tien datalek-meldingen werd gedaan door een groot bedrijf of grote organisatie (250 of meer werknemers). De helft van de datalek-meldingen kwam vanuit de bedrijfstak openbaar bestuur, overheidsdiensten en verplichte sociale verzekeringen (ruim 2,5 duizend) of een organisatie in de gezondheidszorg en welzijn (2,4 duizend).
Overigens komen grootschalige datalekken uit cloud-opslagdiensten nog vrij vaak voor. Dit is te wijten aan misconfiguratie van gebruikers van dit soort diensten. Een andere veelvoorkomende oorzaak is het laten voortbestaan van koppelingen tussen testservers en productiesystemen zoals recent bij JCC Software gebeurde.
De cijfers zijn volgens CBS voorlopig dus laten we niet voor de muziek uitlopen want een brief of postpakket wat is verstuurd of afgegeven aan de verkeerde ontvanger lijkt me weinig met ‘cyber’ te maken. En dat het pakket voor de buren van Easytoys bij jouw afgegeven wordt omdat de buurvrouw niet thuis was zal vast met de privacy te maken hebben maar lijkt me niet in verhouding met een gemeenteambtenaar die een Excel met de namen en Burgerservicenummers van de gemeenschap naar de verkeerde ontvanger stuurt. Hetzelfde geldt voor rondslingerende USB disks die onversleuteld medische dossiers van duizenden mensen bevatten. Eén dode is een tragedie maar duizenden doden is statistiek want ook de klassieke fout van verkeerde koppelingen of configuraties zorgt jaarlijks voor ernstige datalekken die niet verwijtbaar zijn aan criminelen maar slechte processen.