Skip to main content

Het goede nieuws over datalekken!

| Erna Havinga | ,

In 2019 is er een stijging te zien in het aantal datalekmeldingen binnen Europa. Dit en meer blijkt uit onderzoek van DLA Piper onder de Europese privacy toezichthouders. Zo waren er in 2018, sinds de intrede van de AVG op 25 mei,in Europa 247 meldingen per dag. In 2020 waren dit 278 meldingen per dag. Kortom, een stijging van 12,6%. Maar betekent meer meldingen dan ook meer datalekken? En is dat dan goed of slecht nieuws?

De stijging in het aantal datalekmeldingen hoeft niet te betekenen dat er ook meer datalekken zijn. Deze waren er eerder waarschijnlijk ook al, alleen werden ze toen niet gemeld. Dat dat nu wel gebeurt, is in dit geval dus goed nieuws. Reden voor deze stijging is namelijk, naast de komst van de AVG, ook dat we steeds alerter zijn/worden. We herkennen datalekken eerder en melden deze vervolgens bij de Functionaris Gegevensberscherming (FG), die deze op zijn beurt weer meldt bij de toezichthoudende organisatie. Hiermee wordt erop toegezien dat er een oplossing of vervolgactie komt. Kortom, een positieve ontwikkeling waar we blij mee moeten zijn.

Status quo

Uit het onderzoek komt naar voren dat Nederland, Duitsland en het Verenigd Koninkrijk koplopers zijn als het gaat om het aantal datalekmeldingen met elk 40.647, 37.636 en 22.181 meldingen. Met 40.647 meldingen staat Nederland dus op nummer 1. Een mogelijke verklaring hiervoor kan onder andere zijn dat in Nederland organisaties al sinds 2016 bekend zijn met de meldplicht datalekken. Maar hoe is het aantal meldingen verdeeld binnen Nederland?

Op de website van de Autoriteit Persoonsgegevens (AP) zijn de cijfers te vinden van de eerste helft van 2019. Hier zien we dat het Openbaar Bestuur goed is voor 19% van de gemelde datalekken. Hier vallen ook alle Nederlandse gemeenten onder. Ook is te zien dat de meeste datalekken worden gemeld door de zorgsector (31%).

Oorzaken datalekken

De AP houdt bij wat de oorzaken zijn van datalekken. In de meeste gevallen, maar liefst 63%, zijn persoonsgegevens aan een verkeerde ontvanger verstuurd of afgegeven. Voorbeelden hiervan zijn het versturen van een e-mail of brief naar een verkeerd (e-mail)adres. Andere veel voorkomende datalekken zijn:

  • Brief of postpakket kwijtgeraakt of geopend retour ontvangen (10%)
  • Apparaat, gegevensdrager (bijv. USB-stick) en/of papier kwijtgeraakt of gestolen (5%)
  • Persoonsgegevens die per ongeluk zijn gepubliceerd (4%)
  • Hacking, malware (bijv. ransomware) en/of phishing (4%)
  • Persoonsgegevens van verkeerde klant getoond in klantportaal (3%)

Melding datalek, en dan?

Wanneer de FG een datalekmelding krijgt, meldt hij deze bij de AP. Wanneer en hoe je dit moet melden bij de AP, beschreven we al eerder in de blog ‘Datalek melden bij de AP? Volg dan de volgende stappen!‘. Maar wat doet de AP vervolgens met de melding van het datalek? 

Allereerst bekijkt de AP alle ontvangen meldingen van datalekken zorgvuldig. Gezien het grote aantal meldingen, ongeveer 2000 per maand, kunnen zij uiteraard niet alle meldingen even uitgebreid onderzoeken. Er zijn daarom twee mogelijkheden:

  1. Als uit de melding blijkt dat de gemeente de meldplicht juist heeft nageleefd en voldoende maatregelen heeft genomen, volgt er geen reactie.
  2. Als uit de melding blijkt dat de AP inhoudelijke vragen heeft over de melding, dan neemt de AP in de meeste gevallen binnen twee weken contact op met de gemeente.

In het geval van optie twee zijn er verschillende mogelijkheden waarop de AP dit kan doen. Dit is afhankelijk van de situatie en het type datalek. In de meeste gevallen wordt telefonisch contact opgenomen met de FG voor aanvullende informatie over het datalek of om de FG extra uitleg en advies te geven. Daarnaast kan de AP de gemeente ook uitleg geven over de AVG-wetgeving via een brief of via een gesprek aandringen tot het nemen van maatregelen. Zo kan de AP verplichten om de betrokken burgers, waarvan persoonsgegevens ‘gelekt’ zijn, te informeren wanneer dat (onterecht) nog niet gedaan is. In sommige gevallen doet de AP een inlichtingenverzoek, bijvoorbeeld om het rapport van het onderzoek naar het datalek op de vragen. Het is daarom altijd erg belangrijk om je onderzoek naar het datalek goed vast te leggen.

Onderzoek door de AP

Naast bovenstaande acties kan de AP ook een eigen onderzoek starten, namelijk:

  • Een kortlopend onderzoek. Dit is het geval bij een mogelijke overtreding van de meldplicht door de gemeente. Bijvoorbeeld wanneer een datalek niet of te laat is gemeld aan de AP. Onder andere door tips van betrokkenen merkt de AP op dat niet alle datalekken daadwerkelijk of op tijd (binnen 72 uur na ontdekking) worden gemeld. De AP beschouwt dit als een ernstige zaak.
  • Een diepgaander onderzoek. Bijvoorbeeld naar het naleven van de verplichting om organisatorisch passende maatregelen te nemen om persoonsgegevens te beveiligen.

Wanneer uit het eigen onderzoek van de AP blijkt dat de meldplicht goed is nageleefd en/of dat er voldoende maatregelen zijn genomen om nieuwe inbreuken te voorkomen, wordt het dossier gesloten. Wanneer dit niet het geval is, kan zo’n onderzoek in sommige gevallen ook leiden tot een sanctie/boete. Kortom, zorg dat je datalekken goed en tijdig meldt bij de AP. Doe je dit niet, dan kan de boete hoog oplopen… Zo kreeg het HaGa Ziekenhuis in Den Haag afgelopen jaar een boete van 460.000 euro van de AP, voor het slecht beveiligen van de medische dossiers van patiënten.

Meer informatie?

Voorkomen is natuurlijk altijd nog beter dan genezen! Vanuit de AP loopt de campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’, met praktische informatie over o.a. datalekken. Zoals een privacyvideo over wat te doen bij een datalek en tips om datalekken te voorkomen.

Heb je naar aanleiding van deze blog aanvullende vragen of hulp nodig om binnen jouw gemeente een datalekken protocol en/of register op te stellen, of juist hulp nodig bij de borging van de procedures binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…