Nieuws

Autoriteit Persoonsgegevens ontving 27.000 datalekmeldingen in 2019

donderdag 6 februari 2020, 09:42 door Redactie, 6 reacties

Laatst bijgewerkt: 07-02-2020, 09:25

De Autoriteit Persoonsgegevens ontving vorig jaar bijna 27.000 meldingen van datalekken, bijna dertig procent meer dan het jaar daarvoor toen het er nog 21.000 waren. Dat heeft de privacytoezichthouder vandaag in een rapport bekendgemaakt. Sinds de invoering van de meldplicht datalekken in 2016 blijft het aantal meldingen jaarlijks stijgen.

Gemiddeld ontving de AP in 2019 ongeveer 2200 meldingen per maand. In de eerste negen maanden van vorig jaar bleef het aantal meldingen dat de toezichthouder ontving stabiel rond de 2000 meldingen per maand. Het laatste kwartaal kende een sterke stijging van het aantal datalekmeldingen. In oktober ontving de AP 2600 meldingen, gevolgd door 3100 en 3600 meldingen in respectievelijk november en december.

De stijging werd veroorzaakt door meldingen afkomstig van factoring bureaus. Deze bureaus nemen uitstaande facturen van organisaties over. Bij deze meldingen ging het met name om datalekken als gevolg van herinneringsbrieven voor openstaande facturen die zijn ingezien door een verkeerde ontvanger. Mede door de stijging in het aantal meldingen van factoring bureaus was de financiële sector vorig jaar de sector met de meeste gemelde datalekken (30 procent). De zorg en publieke sector volgen met respectievelijk 28 procent en 17 procent van de meldingen.

Type datalekken

Veruit de meeste datalekken worden veroorzaakt door het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Het gaat dan om e-mails die naar de verkeerde persoon worden gestuurd. Ook komt het voor dat personen hun eigen gegevens opvragen bij organisaties, maar door een administratieve fout vervolgens ook persoonsgegevens van anderen ontvangen. Vorig jaar ontving de Autoriteit Persoonsgegevens zo'n 900 meldingen over "hacking, malware en/of phishing-incidenten". Een stijging van 25 procent ten opzichte van 2018. Met name de sectoren zakelijke dienstverlening, zorg en onderwijs kregen hiermee te maken.

Betrokkenen

Het jaarrapport van de Autoriteit Persoonsgegevens laat verder zien dat een meerderheid van de gemelde datalekken op één persoon betrekking heeft (64 procent). Een stijging ten opzichte van 2018, toen het nog om 58 procent van de meldingen ging. Bij minder dan 1 procent van de datalekmeldingen bleek dat de gegevens van meer dan 100.000 personen waren gelekt.

Niet gemelde datalekken

De toezichthouder merkt op dat vorig jaar, net als het jaar daarvoor, niet alle meldplichtige datalekken worden gemeld. Dat wordt bijvoorbeeld duidelijk als betrokkenen bij de AP een klacht of melding achterlaten over een (meldplichtig) datalek, terwijl dat door de organisatie zelf niet is gemeld. Vorig jaar werden vijf onderzoeken afgerond waarbij mogelijk een meldplichtig datalek niet was gemeld. Deze onderzoeken kunnen leiden tot een sanctie. Daarnaast zijn vorig jaar tien onderzoeken afgerond naar niet gemelde datalekken die hebben geleid tot een alternatieve interventie door de AP, zoals een normuitleggend gesprek of een waarschuwende brief. Vijftien onderzoeken zijn nog lopend.

"Door de hoge mate van digitalisering van de Nederlandse maatschappij is het risico op grote en ernstige datalekken in Nederland relatief hoog. Het vereist extra aandacht voor fundamentele vraagstukken als privacybescherming en cybersecurity", zo laat de Autoriteit Persoonsgegevens weten.

Belgische politie: gebruiker beste verdediging tegen ransomware

Britse woningbouwvereniging via e-mail voor 1 miljoen euro opgelicht

Reacties (6)

06-02-2020, 10:04 door karma4

Een verkeerd bezorgde brief als een datalek, zo krijg je de cijfers wel omhoog om een grote bureaucratische organisatie zien te worden. Opkomen voor privacy belangen lijkt me wat anders dan dat .

06-02-2020, 10:20 door Anoniem

Door karma4: Een verkeerd bezorgde brief als een datalek, zo krijg je de cijfers wel omhoog om een grote bureaucratische organisatie zien te worden. Opkomen voor privacy belangen lijkt me wat anders dan dat .

Toch kan een verkeerd bezorgde brief een ernstig datalek zijn. Wanneer uit de brief blijkt dat je een ernstig financieel of medisch probleem hebt, zul je niet willen dat dit zomaar bij derden bekend wordt. Zeker niet, wanneer degene die dit krijgt ook bekend staat als de wandelende krant van de buurt.

06-02-2020, 11:00 door Anoniem

Het kan heel goed dat verkeerd bezorgde brieven niet zo heel erg zijn, door de verantwoordelijke goed worden afgehandeld en na melding geen actie meer nodig is. Het kan ook zo zijn dat als 1 organisatie voortdurend heel veel brieven verkeerd bezorgd die individueel niet zo erg zijn, maar niks doet aan het structurele probleem, dat de AP wel zou kunnen ingrijpen. Bovendien zijn er nog heel veel datalekken die niet gemeld worden die overduidelijk veel erger zijn dan de meeste individuele verkeerd verzorgde brieven. Er zijn ook nog veel incidenten waarbij wordt besloten om maar niet uit te zoeken wat er precies gebeurt is in de hoop dat je dan kan doen alsof je niet weet dat het heel erg fout is gegaan.

06-02-2020, 11:27 door Anoniem

De AVG bevat definities. Deze is van toepassing:

„inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Als een brief met persoonsgegevens per ongeluk aan de verkeerde wordt verstuurd of verstrekt dan valt het al onder de definitie. Het is volkomen correct dat AP dit als datalekken meetelt, het zijn namelijk datalekken.

Dat het meestal niet de ernstigste datalekken zullen zijn lijkt me evident, maar dat wil niet zeggen dat ze niet gemeld worden en ook niet dat de meldingen buiten de tellingen moeten worden gehouden.

Het gaat hier trouwens niet over verkeerd bezorgde brieven, dit gaat niet over een fout die een bezorger van PostNL maakt, het gaat over brieven die de afzender verkeerd adresseert of aan de verkeerde persoon uitreikt.

06-02-2020, 13:30 door Anoniem

Lees overweging 85 AVG nog maar een keer opnieuw: "Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie."

Bij een verkeerd bezorgde brief is de kans misschien kleiner op dergelijke ongevallen, maar niet nul. Dus valt het inderdaad onder een inbreuk (de populaire term is datalek, maar omdat de definitie van een inbreuk conform artikel 4 lid 12 "inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens" is, is de term datalek niet helemaal goed.

06-02-2020, 14:41 door Anoniem

Nu heeft AP dat rapport geschreven, en toen?

Zolang serieuze programmeurs als domme tool worden gezien in overheidsinstanties zal er niets veranderen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer