De Autoriteit Persoonsgegevens (AP) meldt dat het aantal datalekken in 2017 met ruim 70% is toegenomen ten opzichte van het jaar ervoor. In 2016 waren er totaal 5.849 meldingen van datalekken. In 2017 precies 10.009. De meeste datalekken zijn gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. De specialisten van Power of 4 kunnen zorgorganisaties adviseren over informatieveiligheid en privacy bewustzijn om het aantal datalekken in de toekomst te beperken.

Bekendheid neemt toe

Voorzitter van de AP, Aleid Wolfsen, is van mening dat door de flinke toename van het aantal datalekken het lijkt dat de bekendheid van de meldplicht toeneemt. Aan de andere kant baart het hem zorgen dat de beveiliging bij organisaties nog vaak niet op orde is.

Persoonsgegevens aan verkeerde ontvanger

Bij bijna de helft van de datalekken (47%) die in 2017 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd of afgegeven. Meldingen van kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop, usb-stick of tas met dossiers vormen 15% van het totale aantal gemelde datalekken. Het gaat in de meeste gevallen om NAW-gegevens, geslacht, geboortedatum en BSN.

Beoordelen datalekken

Voor zorgorganisaties beoordeelt Power of 4 of sprake is van een datalek en datalekken melden aan de Autoriteit Persoonsgegevens. Daarbij adviseren wij over de verdere afhandeling van het incident en het treffen van maatregelen. Bijvoorbeeld over het verbeteren van de informatieveiligheid. Daarnaast adviseren we over de communicatie aan betrokkenen en andere belanghebbenden van het datalek.

Sectoren met de meeste meldingen

Net als in 2016 kwamen in 2017 de meeste meldingen van datalekken van organisaties uit de volgende sectoren:
• gezondheid en welzijn (3105 meldingen)
• openbaar bestuur (2000 meldingen) en
• financiële dienstverlening (1984 meldingen)

Onderzoeken

De AP startte vorig jaar ongeveer 635 onderzoeken naar beveiliging en mogelijke datalekken. Hieronder vielen ook onderzoeken naar mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Het komende jaar gaat de AP daar meer aandacht aan besteden. Over het algemeen leidden de onderzoeken tot een waarschuwing en beëindiging van de overtreding. Een deel van de onderzoeken loopt nog.

Meldplicht datalekken onder de AVG

Vanaf 25 mei 2018 geldt in de Europese Unie de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van datalekken. Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de gemelde datalekken. Daarnaast zijn de boetes vanaf 25 mei hoger. Vanaf 25 mei 2018 krijgen alle EU-landen te maken met de meldplicht datalekken. In Nederland lopen we daarop vooruit; sinds 1 januari 2016 geldt de meldplicht datalekken in Nederland.