De Autoriteit Persoonsgegevens (AP) meldt dat er in het afgelopen jaar 20.881 datalekken gemeld zijn. Dat is meer dan verdubbeld ten opzichte van 2017. De meeste datalekken werden zoals de gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Op dit gebied is er de afgelopen jaren niets veranderd.
Zorg & welzijn stond in 2018 op de eerste plek met 29 procent aandeel. Dat was in 2017 ook het geval. Toen ging het om 31 procent (3.105 meldingen). In 2016, het eerste jaar dat in Nederland de Meldplicht datalekken gold, kwam het percentage ook op 29 procent uit. Dat jaar waren er 5.500 meldingen van datalekken, ruim een kwart van het aantal in 2018.
Merendeel lekken persoonsgegevens
Bij het merendeel (63%) van de datalekken die in 2018 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. De overige 37 procent bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, phishing of malware. Het gaat in de meeste gevallen om NAW-gegevens, gegevens over geslacht, medische gegevens en BSN. Er zijn weinig gevallen bij van grootschalig verlies van privacy-gevoelige gegevens.
De AP maakt uit de meldingen op dat datalekken door hacking en phishing met name voorkomen in de zorg. Bij phishing kan het gaan nep e-mails die afkomstig lijken van een betrouwbare partij. Wanneer op de link wordt geklikt of een bijlage wordt geopend kan een virus, bijvoorbeeld ransomware, worden geïnstalleerd. Dit is een type malware dat gegevens versleutelt en ervoor zorgt dat deze niet meer toegankelijk zijn.
Uitbreiding capaciteit
De toezichthouder laat weten dat het haar capaciteit fors uitbreidt om meer actie te kunnen ondernemen. Het aantal meldingen overstijgt het eerder geschatte aantal namelijk fors. Deze acties kunnen volgens de AP leiden tot meer handhavende maatregelen. Tot nu toe hield de AP zich vooral bezig met waarschuwingen.
Sinds de invoering van privacywet AVG in mei 2018, heeft de toezichthouder ook een aantal onderzoeken uitgevoerd naar de naleving ervan in sectoren zoals de zorg. Zo bleek in augustus vorig jaar dat veel ziekenhuizen en zorgverzekeraars niet voldeden aan wettelijke eisen omtrent de functionaris gegevensbescherming (FG). In oktober 2018 bleek uit een tweede controle dat de problemen verholpen waren.
Sinds 25 mei 2018 heeft de AP bij 298 datalek-meldingen actie ondernomen richting organisaties die een datalek gemeld hebben. Een deel van deze interventies loopt nog. Over het algemeen leidden deze acties tot een waarschuwing en beëindiging van de overtreding. Hieronder vielen ook interventies naar mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Het komende jaar gaat de AP daar meer aandacht aan besteden.