Begin deze maand heeft de Autoriteit Persoonsgegevens (AP) de datalekkenrapportage over het jaar 2022 gepubliceerd. De AP opent deze rapportage met de boodschap dat u ervan uit kunt gaan dat uw persoonlijke gegevens al eens gelekt zijn of dat dit nog gaat gebeuren. Deze boodschap ondersteunt de AP met het feit dat zij in de afgelopen vijf jaar ruim 114.000 meldingen van datalekken heeft ontvangen, waarvan 6.500 meldingen van cyberaanvallen. Daarmee heeft de AP ook relatief de meeste meldingen van datalekken ontvangen ten opzichte van andere Europese privacytoezichthouders.
29 juni 2023 • Nieuws
Datalekkenrapportage 2022 van de Autoriteit Persoonsgegevens
Stijging aantal cyberaanvallen
Vorig jaar heeft de AP ruim 21.000 meldingen van datalekken ontvangen, waarvan ruim 1.800 meldingen een melding van een cyberaanval betrof. Uit deze cijfers blijkt dat het aantal meldingen van datalekken in het afgelopen jaar in lijn is met het gemiddelde aantal datalekken in voorgaande jaren, maar dat het aantal meldingen van een cyberaanval afgelopen jaar aanzienlijk hoger is. Het risico op cyberaanvallen is in Nederland erg hoog door de sterke digitalisering die in Nederland plaatsvindt. Het daadwerkelijke aantal datalekken dat zich in 2022 heeft voorgedaan zal overigens groter zijn aangezien niet alle datalekken gemeld hoeven te worden bij de AP. Organisaties hoeven een datalek niet bij de AP te melden indien het niet waarschijnlijk is dat het datalek een risico vormt voor de betrokkenen. Deze inschatting moeten organisaties zelf maken. De AP houdt hier echter wel toezicht op.
Meeste datalekken in sector gezondheid en welzijn
De meeste datalekken in het jaar 2022 zijn gemeld door organisaties in de sector gezondheid en welzijn. Hoewel in deze sector het aantal gemelde datalekken in 2022 met 6% is gedaald ten opzichte van het jaar daarvoor, is deze sector toch verantwoordelijk voor 41% van het totaal aantal gemelde datalekken bij de AP. Ook het aantal gemelde cyberaanvallen is in deze sector het grootst ten opzichte van andere sectoren, namelijk 23%. Andere sectoren waar de AP relatief veel meldingen van datalekken heeft ontvangen zijn het openbaar bestuur en de financiële dienstverlening.
Het meest voorkomende datalek is het geopend retour ontvangen, kwijtraken, versturen of afgeven aan de verkeerde persoon van een brief of postpakket met persoonsgegevens. Daarnaast ziet de AP een grote stijging van datalekken waar persoonsgegevens zijn toegevoegd aan een verkeerd dossier en datalekken die zijn ontstaan doordat autorisaties van medewerkers te breed waren ingesteld.
Gevolgen van datalekken
Omdat datalekken ernstige gevolgen voor de betrokkenen kunnen hebben, zoals identiteitsfraude en reputatieschade, roept de AP op om werk te maken van de bescherming van uw persoonlijke gegevens. De AP geeft in het rapport tips om betrokkenen te beschermen in geval van een datalek en de schade te beperken en tips om schade zoveel mogelijk te voorkomen in geval van een toekomstig datalek. De AP wijst in de rapportage tevens op de mogelijkheid voor betrokkenen om schadevergoeding te eisen in geval van een datalek waardoor de betrokkene schade heeft geleden. Daarnaast herhaalt de AP de plicht van organisaties om betrokkenen in de meeste gevallen te informeren over het datalek. Omdat de AP merkt dat organisaties de betrokkenen niet altijd even duidelijk informeren, wijst de AP nogmaals op de verplichte informatie die de organisaties aan de betrokkenen moeten verstrekken en geeft zij een aantal tips om deze informatie op een duidelijke manier over te brengen.
Toezicht door de Autoriteit Persoonsgegevens
Ook het toezicht op het melden van datalekken helpt volgens de AP om de digitale weerbaarheid van organisaties en betrokkenen te vergroten. Dit toezicht bestaat uit het toezicht op zowel gemelde als niet gemelde datalekken. Hierbij richt de AP zich voornamelijk op datalekken die de grootste risico’s voor betrokkenen opleveren. Bij gemelde datalekken kan het toezicht bestaan uit monitoring (14.599 keer uitgevoerd in 2022), een verdiepend onderzoek (6.552 keer uitgevoerd in 2022) of een onderzoek (35 keer uitgevoerd in 2022). Het toezicht op niet gemelde datalekken vindt met name plaats door het houden van toezicht bij grootschalige cyberaanvallen bij ICT-leveranciers waar organisaties gebruik van maken en het monitoren of deze organisaties een melding doen van het datalek dat heeft plaatsgevonden bij de betreffende ICT-leverancier. Ook kan de AP toezicht houden naar aanleiding van tips van burgers over een datalek. In geval een organisatie de plicht om een datalek te melden heeft overtreden kan de AP handhavend optreden, bijvoorbeeld door het opleggen van een boete.
Als u hulp nodig heeft bij het uitvoeren van een risico-inventarisatie, het opstellen van een controlebeleid of het implementeren van beveiligingsmaatregelen, staan wij klaar om uw bedrijf te ondersteunen. Neem gerust contact met ons op voor meer informatie over onze diensten op het gebied van privacybescherming.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
