In 2017 zijn 10.000 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is in 2017 met ruim 70% toegenomen ten opzichte van het jaar ervoor, van 5849 naar 10.009. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening.
Bij bijna de helft van de datalekken (47%) die in 2017 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. Meldingen van kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop, usb-stick of tas met dossiers vormen 15% van het totale aantal gemelde datalekken. Het gaat in de meeste gevallen om NAW-gegevens, geslacht, geboortedatum en BSN.
Laatste kwartaal 2017
Van oktober tot en met december 2017 zijn er 2787 datalekken gemeld. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (33%), openbaar bestuur (19%) en financiële dienstverlening (17%). Deze percentages zijn vergelijkbaar met de percentages van de voorgaande kwartalen van 2017. Net als de rest van 2017 was in dit kwartaal het meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (50% van de meldingen). Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend. Het kwijtraken of de diefstal van een gegevensdrager zoals een laptop of usb-stick (14%) is daarna het meest voorkomende type datalek.
De soorten gegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens, BSN en financiële gegevens, geslacht, geboortedatum en/of leeftijd.
Onderzoeken
De AP startte vorig jaar rond de 635 onderzoeken naar beveiliging en mogelijke datalekken. Hieronder vielen ook onderzoeken naar mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Het komende jaar gaat de AP daar meer aandacht aan besteden.
Over het algemeen leidden de onderzoeken tot een waarschuwing en beëindiging van de overtreding. Een deel van de onderzoeken loopt nog.
Sectoren met de meeste meldingen
In 2017 kwamen de meeste meldingen van datalekken van organisaties uit de volgende sectoren:
- Gezondheid en welzijn (3105 meldingen)
- Openbaar bestuur (2000 meldingen) en
- Financiële dienstverlening (1984 meldingen)
In 2016 kwamen de meeste meldingen ook uit deze drie sectoren.
Meldplicht datalekken onder de AVG
Vanaf 25 mei 2018 geldt in de Europese Unie de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van datalekken. Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de gemelde datalekken. Daarnaast zijn de boetes vanaf 25 mei hoger. Vanaf 25 mei 2018 krijgen alle EU-landen te maken met de meldplicht datalekken. In Nederland lopen we daarop vooruit; sinds 1 januari 2016 geldt de meldplicht datalekken in Nederland.
Bron: AP, (foto) Pexels