Skip to main content

Het goede nieuws over datalekken!

| Erna Havinga | ,

In 2019 is er een stijging te zien in het aantal datalekmeldingen binnen Europa. Dit en meer blijkt uit onderzoek van DLA Piper onder de Europese privacy toezichthouders. Zo waren er in 2018, sinds de intrede van de AVG op 25 mei,in Europa 247 meldingen per dag. In 2020 waren dit 278 meldingen per dag. Kortom, een stijging van 12,6%. Maar betekent meer meldingen dan ook meer datalekken? En is dat dan goed of slecht nieuws?

De stijging in het aantal datalekmeldingen hoeft niet te betekenen dat er ook meer datalekken zijn. Deze waren er eerder waarschijnlijk ook al, alleen werden ze toen niet gemeld. Dat dat nu wel gebeurt, is in dit geval dus goed nieuws. Reden voor deze stijging is namelijk, naast de komst van de AVG, ook dat we steeds alerter zijn/worden. We herkennen datalekken eerder en melden deze vervolgens bij de Functionaris Gegevensberscherming (FG), die deze op zijn beurt weer meldt bij de toezichthoudende organisatie. Hiermee wordt erop toegezien dat er een oplossing of vervolgactie komt. Kortom, een positieve ontwikkeling waar we blij mee moeten zijn.

Status quo

Uit het onderzoek komt naar voren dat Nederland, Duitsland en het Verenigd Koninkrijk koplopers zijn als het gaat om het aantal datalekmeldingen met elk 40.647, 37.636 en 22.181 meldingen. Met 40.647 meldingen staat Nederland dus op nummer 1. Een mogelijke verklaring hiervoor kan onder andere zijn dat in Nederland organisaties al sinds 2016 bekend zijn met de meldplicht datalekken. Maar hoe is het aantal meldingen verdeeld binnen Nederland?

Op de website van de Autoriteit Persoonsgegevens (AP) zijn de cijfers te vinden van de eerste helft van 2019. Hier zien we dat het Openbaar Bestuur goed is voor 19% van de gemelde datalekken. Hier vallen ook alle Nederlandse gemeenten onder. Ook is te zien dat de meeste datalekken worden gemeld door de zorgsector (31%).

Oorzaken datalekken

De AP houdt bij wat de oorzaken zijn van datalekken. In de meeste gevallen, maar liefst 63%, zijn persoonsgegevens aan een verkeerde ontvanger verstuurd of afgegeven. Voorbeelden hiervan zijn het versturen van een e-mail of brief naar een verkeerd (e-mail)adres. Andere veel voorkomende datalekken zijn:

  • Brief of postpakket kwijtgeraakt of geopend retour ontvangen (10%)
  • Apparaat, gegevensdrager (bijv. USB-stick) en/of papier kwijtgeraakt of gestolen (5%)
  • Persoonsgegevens die per ongeluk zijn gepubliceerd (4%)
  • Hacking, malware (bijv. ransomware) en/of phishing (4%)
  • Persoonsgegevens van verkeerde klant getoond in klantportaal (3%)

Melding datalek, en dan?

Wanneer de FG een datalekmelding krijgt, meldt hij deze bij de AP. Wanneer en hoe je dit moet melden bij de AP, beschreven we al eerder in de blog ‘Datalek melden bij de AP? Volg dan de volgende stappen!‘. Maar wat doet de AP vervolgens met de melding van het datalek? 

Allereerst bekijkt de AP alle ontvangen meldingen van datalekken zorgvuldig. Gezien het grote aantal meldingen, ongeveer 2000 per maand, kunnen zij uiteraard niet alle meldingen even uitgebreid onderzoeken. Er zijn daarom twee mogelijkheden:

  1. Als uit de melding blijkt dat de gemeente de meldplicht juist heeft nageleefd en voldoende maatregelen heeft genomen, volgt er geen reactie.
  2. Als uit de melding blijkt dat de AP inhoudelijke vragen heeft over de melding, dan neemt de AP in de meeste gevallen binnen twee weken contact op met de gemeente.

In het geval van optie twee zijn er verschillende mogelijkheden waarop de AP dit kan doen. Dit is afhankelijk van de situatie en het type datalek. In de meeste gevallen wordt telefonisch contact opgenomen met de FG voor aanvullende informatie over het datalek of om de FG extra uitleg en advies te geven. Daarnaast kan de AP de gemeente ook uitleg geven over de AVG-wetgeving via een brief of via een gesprek aandringen tot het nemen van maatregelen. Zo kan de AP verplichten om de betrokken burgers, waarvan persoonsgegevens ‘gelekt’ zijn, te informeren wanneer dat (onterecht) nog niet gedaan is. In sommige gevallen doet de AP een inlichtingenverzoek, bijvoorbeeld om het rapport van het onderzoek naar het datalek op de vragen. Het is daarom altijd erg belangrijk om je onderzoek naar het datalek goed vast te leggen.

Onderzoek door de AP

Naast bovenstaande acties kan de AP ook een eigen onderzoek starten, namelijk:

  • Een kortlopend onderzoek. Dit is het geval bij een mogelijke overtreding van de meldplicht door de gemeente. Bijvoorbeeld wanneer een datalek niet of te laat is gemeld aan de AP. Onder andere door tips van betrokkenen merkt de AP op dat niet alle datalekken daadwerkelijk of op tijd (binnen 72 uur na ontdekking) worden gemeld. De AP beschouwt dit als een ernstige zaak.
  • Een diepgaander onderzoek. Bijvoorbeeld naar het naleven van de verplichting om organisatorisch passende maatregelen te nemen om persoonsgegevens te beveiligen.

Wanneer uit het eigen onderzoek van de AP blijkt dat de meldplicht goed is nageleefd en/of dat er voldoende maatregelen zijn genomen om nieuwe inbreuken te voorkomen, wordt het dossier gesloten. Wanneer dit niet het geval is, kan zo’n onderzoek in sommige gevallen ook leiden tot een sanctie/boete. Kortom, zorg dat je datalekken goed en tijdig meldt bij de AP. Doe je dit niet, dan kan de boete hoog oplopen… Zo kreeg het HaGa Ziekenhuis in Den Haag afgelopen jaar een boete van 460.000 euro van de AP, voor het slecht beveiligen van de medische dossiers van patiënten.

Meer informatie?

Voorkomen is natuurlijk altijd nog beter dan genezen! Vanuit de AP loopt de campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’, met praktische informatie over o.a. datalekken. Zoals een privacyvideo over wat te doen bij een datalek en tips om datalekken te voorkomen.

Heb je naar aanleiding van deze blog aanvullende vragen of hulp nodig om binnen jouw gemeente een datalekken protocol en/of register op te stellen, of juist hulp nodig bij de borging van de procedures binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…