Skip to main content

Rapportage Datalekken AP 2023

| Erna Havinga | ,

‘Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autoriteit Persoonsgegevens (AP). In deze blog lees je de belangrijkste conclusies uit het rapport.

Aantal datalekken

Onze digitale wereld maakt ons leven makkelijker, maar tegelijkertijd brengt het ook risico’s op het gebied van privacy met zich mee, zoals het risico op datalekken. Dit houdt in dat persoonlijke informatie onbedoeld wordt gedeeld met anderen, op ‘straat’ komt te liggen, of zelfs gestolen wordt. Dit laatste gebeurt vaak door hackersbendes en andere cybercriminelen, voor wie persoonsgegevens veel geld waard zijn. Cybercriminelen die in het bezit zijn van gestolen gegevens nemen meestal niet het risico om de gegevens zelf te misbruiken, maar verkopen deze door op het darkweb, of gebruiken ze om organisaties te chanteren. Als de organisatie niet betaalt, worden de gegevens openbaar gemaakt. De impact van dergelijke cyberaanvallen is dus enorm, zowel voor de slachtoffers van wie persoonsgegevens zijn gelekt als voor de getroffen organisatie. In 2023 kreeg de Autoriteit Persoonsgegevens (AP) maar liefst 25.694 meldingen van bedrijven, overheden en andere organisaties over een datalek. Naar schatting zijn zo’n 20 miljoen mensen, zowel in Nederland als wereldwijd, slachtoffer geworden van een datalek in 2023.

Oorzaken van datalekken

De AP registreert wat de oorzaken zijn van datalekken. De meeste gevallen, maar liefst 9.899 meldingen, gingen over een verkeerd verzonden brief met persoonsgegevens. Alleen als er sprake is van een ernstig inbreuk op de privacy, moet dit type datalek gemeld worden aan de AP. Andere veel voorkomende oorzaken van datalekken waren:

  • Verkeerd verzonden e-mail met persoonsgegevens (3.273)
  • Hacking, malware (bijv. ransomware) en/of phishing (1.313)
  • Onjuiste weergave van persoonsgegevens van klant in een klantportaal (1.279)
  • Overig, zoals persoonsgegevens die per ongeluk zijn gepubliceerd (3.675)

Wat opvalt is dat het in de meeste gevallen gaat om een menselijke fout, in plaats van dat het hackers zijn die gegevens buit maken. Het goede nieuws is dat je hier iets aan kunt doen! Bijvoorbeeld door bewustwording te creëren onder medewerkers, niet alleen met betrekking tot specifieke privacyaspecten, maar ook over de geldende werkinstructies. Daarnaast is het belangrijk dat procedures niet alleen op papier staan en worden gecommuniceerd, maar ook daadwerkelijk worden uitgevoerd. In de praktijk zie ik vaak dat er veel procedures worden opgesteld, maar dat er weinig aandacht wordt besteed aan de uitvoering en monitoring ervan.

Cyberaanvallen

Datalekken kunnen ook ontstaan door een cyberaanval. Deze brengen meestal hoge risico’s met zich mee voor de slachtoffers, zoals financiële schade of identiteitsfraude. In 2023 hebben ruim 7000 mensen melding gemaakt van identiteitsfraude bij het Centraal Meldpunt Identiteitsfraude (CMI). Bij identiteitsfraude maken criminelen misbruik van valse of gestolen identiteitsgegevens. Ze kopen bijvoorbeeld op naam van iemand anders spullen zonder te betalen. Dit kan nare gevolgen hebben die iemand jarenlang kunnen achtervolgen.

De AP houdt daarom toezicht om getroffen organisaties te helpen bij het maken van de juiste risicoafwegingen. Uit het rapport blijkt alleen dat veel slachtoffers van datalekken door cyberaanvallen niet worden geïnformeerd door de betrokken organisaties. Dit komt vaak doordat organisaties de risico’s van de aanval, in 7 van de 10 gevallen, te laag inschatten. Met als gevolg dat de mensen van wie persoonlijke gegevens zijn gelekt, zich niet kunnen beschermen tegen mogelijke oplichting of andere misdrijven door cybercriminelen. De AP houdt hier toezicht op en treedt actief op, zoals bij de cyberaanval bij Nebu.

Cyberaanval Nebu

In het rapport wordt de cyberaanval bij Nebu, een ICT-leverancier van software voor markt- en klanttevredenheidsonderzoek, specifiek uitgelicht. Deze aanval vond plaats in maart 2023 en trof ook organisaties die klant waren bij Nebu, waaronder VodafoneZiggo. Ongeveer 2,5 miljoen Nederlanders waren slachtoffer van deze cyberaanval. De AP heeft na het datalek streng toezicht gehouden op de naleving van de meldplicht aan slachtoffers, om zo hun digitale weerbaarheid te versterken. Organisaties waren verplicht om slachtoffers te informeren, omdat hun e-mailadres, telefoonnummer en NAW-gegevens waren getroffen. Niet alle organisaties deden dit, omdat ze het risico voor de slachtoffers te laag hadden ingeschat. De AP heeft vervolgens interventies uitgevoerd bij 34 klantorganisaties van Nebu, waarna alsnog 5.000 slachtoffers werden geïnformeerd over de cyberaanval. De AP wil hiermee benadrukken dat je als klantorganisatie altijd verantwoordelijk blijft voor een zorgvuldige verwerking van persoonsgegevens, ook wanneer de verwerking wordt uitbesteedt aan een andere organisatie, zoals een ICT-leverancier (in dit geval Nebu).

Naast het onderzoek bij Nebu, heeft de AP in 2023 bij 5.895 datalekmeldingen actief opgetreden en extra toezichtsmaatregelen genomen. Daarnaast is er naar aanleiding van 27 datalekken een onderzoek gestart. Dit was nodig omdat de AP in deze datalekmeldingen grote risico’s heeft geïdentificeerd, bijvoorbeeld vanwege het grote aantal slachtoffers of de hoeveelheid gevoelige persoonsgegevens.

Gemeenten

Het jaarverslag meldt ook dat gemeentelijke organisaties het meeste aantal cyberaanvallen hebben gemeld. Een mogelijke verklaring hiervoor kan zijn dat het meldproces van beveiligingsincidenten goed is geïmplementeerd binnen gemeenten. De verwachting is namelijk dat andere sectoren in gelijke mate worden getroffen, maar dat gemeenten deze incidenten nu ook consequent melden, wat positief is! Dit kan betekenen dat de bewustwording is verbeterd, waardoor medewerkers dit soort incidenten sneller herkennen en ook melden. 

Samenwerking is cruciaal

Het maken van een juiste risico-inschatting door getroffen organisaties is de eerste stap naar een maatschappij die digitaal weerbaar is. Het delen van feiten en cijfers over datalekken kan hierbij helpen. Daarom deelt de AP informatie uit datalekmeldingen met het Centraal Bureau voor de Statistiek (CBS) voor wetenschappelijk onderzoek. Ook gaat de AP intensiever samenwerken met andere toezichthouders onder de NIS2-richtlijn om de digitale weerbaarheid te verhogen. De NIS2-richtlijn stelt strenge eisen aan de cybersecurity van de Nederlandse vitale infrastructuur, zoals overheidsinstellingen en ziekenhuizen. Zo zullen NIS2-toezichthouders in de toekomst de AP informeren over (potentiële) datalekken die organisaties verplicht zijn te melden aan de AP. Denk aan cyberincidenten die de bedrijfscontinuïteit in gevaar brengen en die voorkomen hadden kunnen worden met passende technische, operationele en organisatorische maatregelen.

Wat kun je zelf als organisatie doen?

De AP benadrukt dat het belangrijk is om als organisatie passende maatregelen te nemen om datalekken zoveel mogelijk te voorkomen en, indien nodig, correct te melden. Hieronder enkele tips die hierbij kunnen helpen:

  • Stel duidelijke procedures/werkinstructies en beleid op over hoe er veilig moet worden gewerkt met persoonsgegevens.
  • Zorg voor een duidelijke procedure voor het melden van datalekken, inclusief een risicoafweging voor de betrokkenen.
  • Implementeer deze procedure ook daadwerkelijk bij de relevante medewerkers, in plaats van er alleen over te communiceren. Communiceren is geen implementeren!
  • Neem de risicobepaling ook op in de Data Protection Impact Assessment (DPIA), waar mogelijk de impact voor de betrokkenen al wordt onderzocht.
  • Pas processen en procedures aan wanneer er naar aanleiding van een datalek reden toe is. 
  • Monitor en/of toets afdelingen met een hoog risico om datalekken te herkennen en te melden.


Kortom, de bescherming van persoonsgegevens is een doorlopend proces dat continu aandacht vraagt. Mensen moeten erop kunnen vertrouwen dat organisaties veilig met hun persoonsgegevens omgaan. Datalekken kunnen dit vertrouwen schaden. Het is daarom belangrijk om als organisatie de juiste maatregelen te treffen om datalekken te voorkomen en er op de juiste manier mee om te gaan wanneer ze toch optreden.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons op.

Lees ook:
Wat zijn de verplichtingen rondom het melden van een datalek?

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…
Verder lezen

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…
Verder lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…
Verder lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …
Verder lezen

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…
Verder lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …
Verder lezen