Het goede nieuws over datalekken!

| Erna Havinga | ,

In 2019 is er een stijging te zien in het aantal datalekmeldingen binnen Europa. Dit en meer blijkt uit onderzoek van DLA Piper onder de Europese privacy toezichthouders. Zo waren er in 2018, sinds de intrede van de AVG op 25 mei,in Europa 247 meldingen per dag. In 2020 waren dit 278 meldingen per dag. Kortom, een stijging van 12,6%. Maar betekent meer meldingen dan ook meer datalekken? En is dat dan goed of slecht nieuws?

De stijging in het aantal datalekmeldingen hoeft niet te betekenen dat er ook meer datalekken zijn. Deze waren er eerder waarschijnlijk ook al, alleen werden ze toen niet gemeld. Dat dat nu wel gebeurt, is in dit geval dus goed nieuws. Reden voor deze stijging is namelijk, naast de komst van de AVG, ook dat we steeds alerter zijn/worden. We herkennen datalekken eerder en melden deze vervolgens bij de Functionaris Gegevensberscherming (FG), die deze op zijn beurt weer meldt bij de toezichthoudende organisatie. Hiermee wordt erop toegezien dat er een oplossing of vervolgactie komt. Kortom, een positieve ontwikkeling waar we blij mee moeten zijn.

Status quo

Uit het onderzoek komt naar voren dat Nederland, Duitsland en het Verenigd Koninkrijk koplopers zijn als het gaat om het aantal datalekmeldingen met elk 40.647, 37.636 en 22.181 meldingen. Met 40.647 meldingen staat Nederland dus op nummer 1. Een mogelijke verklaring hiervoor kan onder andere zijn dat in Nederland organisaties al sinds 2016 bekend zijn met de meldplicht datalekken. Maar hoe is het aantal meldingen verdeeld binnen Nederland?

Op de website van de Autoriteit Persoonsgegevens (AP) zijn de cijfers te vinden van de eerste helft van 2019. Hier zien we dat het Openbaar Bestuur goed is voor 19% van de gemelde datalekken. Hier vallen ook alle Nederlandse gemeenten onder. Ook is te zien dat de meeste datalekken worden gemeld door de zorgsector (31%).

Oorzaken datalekken

De AP houdt bij wat de oorzaken zijn van datalekken. In de meeste gevallen, maar liefst 63%, zijn persoonsgegevens aan een verkeerde ontvanger verstuurd of afgegeven. Voorbeelden hiervan zijn het versturen van een e-mail of brief naar een verkeerd (e-mail)adres. Andere veel voorkomende datalekken zijn:

  • Brief of postpakket kwijtgeraakt of geopend retour ontvangen (10%)
  • Apparaat, gegevensdrager (bijv. USB-stick) en/of papier kwijtgeraakt of gestolen (5%)
  • Persoonsgegevens die per ongeluk zijn gepubliceerd (4%)
  • Hacking, malware (bijv. ransomware) en/of phishing (4%)
  • Persoonsgegevens van verkeerde klant getoond in klantportaal (3%)

Melding datalek, en dan?

Wanneer de FG een datalekmelding krijgt, meldt hij deze bij de AP. Wanneer en hoe je dit moet melden bij de AP, beschreven we al eerder in de blog ‘Datalek melden bij de AP? Volg dan de volgende stappen!‘. Maar wat doet de AP vervolgens met de melding van het datalek? 

Allereerst bekijkt de AP alle ontvangen meldingen van datalekken zorgvuldig. Gezien het grote aantal meldingen, ongeveer 2000 per maand, kunnen zij uiteraard niet alle meldingen even uitgebreid onderzoeken. Er zijn daarom twee mogelijkheden:

  1. Als uit de melding blijkt dat de gemeente de meldplicht juist heeft nageleefd en voldoende maatregelen heeft genomen, volgt er geen reactie.
  2. Als uit de melding blijkt dat de AP inhoudelijke vragen heeft over de melding, dan neemt de AP in de meeste gevallen binnen twee weken contact op met de gemeente.

In het geval van optie twee zijn er verschillende mogelijkheden waarop de AP dit kan doen. Dit is afhankelijk van de situatie en het type datalek. In de meeste gevallen wordt telefonisch contact opgenomen met de FG voor aanvullende informatie over het datalek of om de FG extra uitleg en advies te geven. Daarnaast kan de AP de gemeente ook uitleg geven over de AVG-wetgeving via een brief of via een gesprek aandringen tot het nemen van maatregelen. Zo kan de AP verplichten om de betrokken burgers, waarvan persoonsgegevens ‘gelekt’ zijn, te informeren wanneer dat (onterecht) nog niet gedaan is. In sommige gevallen doet de AP een inlichtingenverzoek, bijvoorbeeld om het rapport van het onderzoek naar het datalek op de vragen. Het is daarom altijd erg belangrijk om je onderzoek naar het datalek goed vast te leggen.

Onderzoek door de AP

Naast bovenstaande acties kan de AP ook een eigen onderzoek starten, namelijk:

  • Een kortlopend onderzoek. Dit is het geval bij een mogelijke overtreding van de meldplicht door de gemeente. Bijvoorbeeld wanneer een datalek niet of te laat is gemeld aan de AP. Onder andere door tips van betrokkenen merkt de AP op dat niet alle datalekken daadwerkelijk of op tijd (binnen 72 uur na ontdekking) worden gemeld. De AP beschouwt dit als een ernstige zaak.
  • Een diepgaander onderzoek. Bijvoorbeeld naar het naleven van de verplichting om organisatorisch passende maatregelen te nemen om persoonsgegevens te beveiligen.

Wanneer uit het eigen onderzoek van de AP blijkt dat de meldplicht goed is nageleefd en/of dat er voldoende maatregelen zijn genomen om nieuwe inbreuken te voorkomen, wordt het dossier gesloten. Wanneer dit niet het geval is, kan zo’n onderzoek in sommige gevallen ook leiden tot een sanctie/boete. Kortom, zorg dat je datalekken goed en tijdig meldt bij de AP. Doe je dit niet, dan kan de boete hoog oplopen… Zo kreeg het HaGa Ziekenhuis in Den Haag afgelopen jaar een boete van 460.000 euro van de AP, voor het slecht beveiligen van de medische dossiers van patiënten.

Meer informatie?

Voorkomen is natuurlijk altijd nog beter dan genezen! Vanuit de AP loopt de campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’, met praktische informatie over o.a. datalekken. Zoals een privacyvideo over wat te doen bij een datalek en tips om datalekken te voorkomen.

Heb je naar aanleiding van deze blog aanvullende vragen of hulp nodig om binnen jouw gemeente een datalekken protocol en/of register op te stellen, of juist hulp nodig bij de borging van de procedures binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.