De meldplicht datalekken is onderdeel van de Algemene Verordening Gegevensbescherming (AVG). Door de meldplicht datalekken (tool) zijn organisaties verplicht om bij een datalek de betrokkenen hiervan op de hoogte te stellen. Uit onder meer signalen en tips van betrokkenen merkt de AP op dat organisaties niet alle datalekken die gemeld moeten worden, daadwerkelijk melden of op tijd (binnen 72 uur na ontdekking) rapporteren. De AP noemt dit ernstig.

Datalek van grote groep vaak door phishing

De meest gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63%). In ruim de helft van alle meldingen gaat het om gegevens van 1 persoon (58%). Het gaat dan niet alleen om e-mails die per ongeluk naar een verkeerde ontvanger zijn verzonden. Vaak wordt er niet bij stil gestaan, maar ook documenten kunnen namen bevatten van personen: de opsteller of berwerker van het document. Op het moment dat die documenten met de buitenwereld gedeeld worden, kan er sprake zijn van een datalek. Gemelde datalekken waarbij 5.000 of meer personen betrokken zijn, zijn vaak (47%) het gevolg van hacking, malware en phishing.

Niet melden kan leiden tot boete

De AP heeft 17 onderzoeken in uitvoering bij organisaties die (mogelijk) een verplicht te melden datalek niet hebben gerapporteerd, maar dat wel hadden moeten doen. Er zijn 4 onderzoeken gestart naar aanleiding van een te laat gemeld datalek. Deze onderzoeken kunnen leiden tot een boete. In de tweede helft van 2019 start de AP meer (kortlopende) onderzoeken naar niet gemelde datalekken en te laat gemelde datalekken en komt de AP met nog meer feiten en cijfers (pdf).

Lees verder op Rendement.nl