55 procent van de ondervraagde organisaties had in 2016 naar eigen zeggen met één of meer datalekken te maken. De meest voorkomende gevallen van dataverlies hebben weinig met cybercriminaliteit te maken. Meer dan 30 procent van de organisaties verloor gevoelige data door het verdwijnen van computerapparatuur, zoals laptops of smartphones. 23 procent verloor informatiedragers met gevoelige informatie, zoals usb-sticks. Bij 22 procent werden datalekken veroorzaakt doordat apparatuur en informatiedragers werden gestolen. Verschillende vormen van cybercrime waren voor 13 procent van de datalekken verantwoordelijk.

Van de ondervraagde organisaties zegt 28 procent dat ze ieder lek melden, ongeacht of duidelijk is dat er ook daadwerkelijk data zijn gestolen. 19 procent zegt dat het melding maakt bij diefstal van klantgegevens ongeacht of er misbruik is vastgesteld. Een zelfde percentage zegt de autoriteiten pas in te lichten als er enig misbruik van klantgegevens is waargenomen. 10 procent waarschuwt de Autoriteit Persoonsgegevens pas bij grootschalig misbruik van klantgegevens.

Op de vraag waarom organisaties meldplichtige datalekken niet melden wordt vooral aangegeven dat het onzin is om een lek met een onduidelijke impact te melden (19 procent). Of men vreest voor reputatieschade (18 procent). Een ander veel genoemde reden is dat een melding de kans zou vergroten dat er misbruik van het datalek wordt gemaakt (15 procent). Binnen overheid en gezondheidszorg wordt de angst voor reputatieschade het meest genoemd als reden om een datalek niet te melden.

Bron: Security.nl