In 2019 is er een stijging te zien in het aantal datalekmeldingen binnen Europa. Dit en meer blijkt uit onderzoek van DLA Piper onder de Europese privacy toezichthouders. Zo waren er in 2018, sinds de intrede van de AVG op 25 mei,in Europa 247 meldingen per dag. In 2020 waren dit 278 meldingen per dag. Kortom, een stijging van 12,6%. Maar betekent meer meldingen dan ook meer datalekken? En is dat dan goed of slecht nieuws?
De stijging in het aantal datalekmeldingen hoeft niet te betekenen dat er ook meer datalekken zijn. Deze waren er eerder waarschijnlijk ook al, alleen werden ze toen niet gemeld. Dat dat nu wel gebeurt, is in dit geval dus goed nieuws. Reden voor deze stijging is namelijk, naast de komst van de AVG, ook dat we steeds alerter zijn/worden. We herkennen datalekken eerder en melden deze vervolgens bij de Functionaris Gegevensberscherming (FG), die deze op zijn beurt weer meldt bij de toezichthoudende organisatie. Hiermee wordt erop toegezien dat er een oplossing of vervolgactie komt. Kortom, een positieve ontwikkeling waar we blij mee moeten zijn.
Status quo
Uit het onderzoek komt naar voren dat Nederland, Duitsland en het Verenigd Koninkrijk koplopers zijn als het gaat om het aantal datalekmeldingen met elk 40.647, 37.636 en 22.181 meldingen. Met 40.647 meldingen staat Nederland dus op nummer 1. Een mogelijke verklaring hiervoor kan onder andere zijn dat in Nederland organisaties al sinds 2016 bekend zijn met de meldplicht datalekken. Maar hoe is het aantal meldingen verdeeld binnen Nederland?
Op de website van de Autoriteit Persoonsgegevens (AP) zijn de cijfers te vinden van de eerste helft van 2019. Hier zien we dat het Openbaar Bestuur goed is voor 19% van de gemelde datalekken. Hier vallen ook alle Nederlandse gemeenten onder. Ook is te zien dat de meeste datalekken worden gemeld door de zorgsector (31%).
Oorzaken datalekken
De AP houdt bij wat de oorzaken zijn van datalekken. In de meeste gevallen, maar liefst 63%, zijn persoonsgegevens aan een verkeerde ontvanger verstuurd of afgegeven. Voorbeelden hiervan zijn het versturen van een e-mail of brief naar een verkeerd (e-mail)adres. Andere veel voorkomende datalekken zijn:
- Brief of postpakket kwijtgeraakt of geopend retour ontvangen (10%)
- Apparaat, gegevensdrager (bijv. USB-stick) en/of papier kwijtgeraakt of gestolen (5%)
- Persoonsgegevens die per ongeluk zijn gepubliceerd (4%)
- Hacking, malware (bijv. ransomware) en/of phishing (4%)
- Persoonsgegevens van verkeerde klant getoond in klantportaal (3%)
Melding datalek, en dan?
Wanneer de FG een datalekmelding krijgt, meldt hij deze bij de AP. Wanneer en hoe je dit moet melden bij de AP, beschreven we al eerder in de blog ‘Datalek melden bij de AP? Volg dan de volgende stappen!‘. Maar wat doet de AP vervolgens met de melding van het datalek?
Allereerst bekijkt de AP alle ontvangen meldingen van datalekken zorgvuldig. Gezien het grote aantal meldingen, ongeveer 2000 per maand, kunnen zij uiteraard niet alle meldingen even uitgebreid onderzoeken. Er zijn daarom twee mogelijkheden:
- Als uit de melding blijkt dat de gemeente de meldplicht juist heeft nageleefd en voldoende maatregelen heeft genomen, volgt er geen reactie.
- Als uit de melding blijkt dat de AP inhoudelijke vragen heeft over de melding, dan neemt de AP in de meeste gevallen binnen twee weken contact op met de gemeente.
In het geval van optie twee zijn er verschillende mogelijkheden waarop de AP dit kan doen. Dit is afhankelijk van de situatie en het type datalek. In de meeste gevallen wordt telefonisch contact opgenomen met de FG voor aanvullende informatie over het datalek of om de FG extra uitleg en advies te geven. Daarnaast kan de AP de gemeente ook uitleg geven over de AVG-wetgeving via een brief of via een gesprek aandringen tot het nemen van maatregelen. Zo kan de AP verplichten om de betrokken burgers, waarvan persoonsgegevens ‘gelekt’ zijn, te informeren wanneer dat (onterecht) nog niet gedaan is. In sommige gevallen doet de AP een inlichtingenverzoek, bijvoorbeeld om het rapport van het onderzoek naar het datalek op de vragen. Het is daarom altijd erg belangrijk om je onderzoek naar het datalek goed vast te leggen.
Onderzoek door de AP
Naast bovenstaande acties kan de AP ook een eigen onderzoek starten, namelijk:
- Een kortlopend onderzoek. Dit is het geval bij een mogelijke overtreding van de meldplicht door de gemeente. Bijvoorbeeld wanneer een datalek niet of te laat is gemeld aan de AP. Onder andere door tips van betrokkenen merkt de AP op dat niet alle datalekken daadwerkelijk of op tijd (binnen 72 uur na ontdekking) worden gemeld. De AP beschouwt dit als een ernstige zaak.
- Een diepgaander onderzoek. Bijvoorbeeld naar het naleven van de verplichting om organisatorisch passende maatregelen te nemen om persoonsgegevens te beveiligen.
Wanneer uit het eigen onderzoek van de AP blijkt dat de meldplicht goed is nageleefd en/of dat er voldoende maatregelen zijn genomen om nieuwe inbreuken te voorkomen, wordt het dossier gesloten. Wanneer dit niet het geval is, kan zo’n onderzoek in sommige gevallen ook leiden tot een sanctie/boete. Kortom, zorg dat je datalekken goed en tijdig meldt bij de AP. Doe je dit niet, dan kan de boete hoog oplopen… Zo kreeg het HaGa Ziekenhuis in Den Haag afgelopen jaar een boete van 460.000 euro van de AP, voor het slecht beveiligen van de medische dossiers van patiënten.
Meer informatie?
Voorkomen is natuurlijk altijd nog beter dan genezen! Vanuit de AP loopt de campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’, met praktische informatie over o.a. datalekken. Zoals een privacyvideo over wat te doen bij een datalek en tips om datalekken te voorkomen.
Heb je naar aanleiding van deze blog aanvullende vragen of hulp nodig om binnen jouw gemeente een datalekken protocol en/of register op te stellen, of juist hulp nodig bij de borging van de procedures binnen jouw gemeente? Neem dan gerust contact met ons op.
- Applicatiebeheer en de AVG: wat moet je weten? - 8 december 2024
- Van code naar vertrouwen: bouw het veilig - 22 november 2024
- Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024? - 10 november 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!