In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Dat is een verdubbeling van het aantal meldingen ten opzichte van 2017. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, overheidsinstanties en financiële dienstverlening.

Bij de meeste meldingen van datalekken (63{c256f39b0ea843a8f6645ac42a62841a34e260333357c9fa39e1f18d7e45bf26}) gaat het om het versturen van persoonsgegevens naar de verkeerde ontvanger. De overige 37{c256f39b0ea843a8f6645ac42a62841a34e260333357c9fa39e1f18d7e45bf26} van de meldingen bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, phishing of malware. Daarbij zijn NAW-gegevens, gegevens over geslacht, medische gegevens en BSN bij verkeerde partijen terecht gekomen.

Phishing

Opvallend is dat de meeste meldingen van datalekken door hacking en phishing met name voorkomen in de zorg. Bij phishing is er dan sprake van een nep e-mail die door de ontvanger aangezien wordt als betrouwbaar. Als er vervolgens geklikt wordt op de link of bijlage van die mail dan kan er een virus, bijvoorbeeld ransomware, worden geïnstalleerd. Dit is een type malware dat gegevens versleutelt en ervoor zorgt dat deze niet meer toegankelijk zijn.

Sectoren met de meeste meldingen

In 2018 kwamen de meeste meldingen van datalekken van organisaties uit de volgende sectoren:

  • gezondheid en welzijn 29{c256f39b0ea843a8f6645ac42a62841a34e260333357c9fa39e1f18d7e45bf26}
  • financiële dienstverlening 26{c256f39b0ea843a8f6645ac42a62841a34e260333357c9fa39e1f18d7e45bf26}
  • overheidsinstanties 17{c256f39b0ea843a8f6645ac42a62841a34e260333357c9fa39e1f18d7e45bf26}

Meldplicht van een datalek onder de AVG

Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken is onder de AVG grotendeels hetzelfde gebleven als in de jaren daarvoor. De AVG stelt wel strengere eisen aan de registratie van een datalek.  Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen degenen die gemeld zijn. Daarnaast zijn de boetes vanaf 25 mei hoger.

In november 2018 heeft de AP vervoersdienst Uber een boete van 600.000 euro opgelegd voor het te laat melden van een datalek. Het ging om het te laat melden aan zowel de AP als aan de betrokkenen.

Vanaf 25 mei 2018 geldt de meldplicht datalekken in alle EU-landen. In Nederland geldt deze meldplicht al sinds 1 januari 2016.

Menu