datalek autoriteit

Datalek Autoriteit

Datalekken moeten sinds de invoering van de meldplicht datalekken (1 januari 2016) gemeld worden bij de Autoriteit Persoonsgegevens. Bedrijven doen dat dan ook massaal: in de periode van januari tot en met maart 2017 meer dan 2300 keer. Dit meldt de Autoriteit Persoonsgegevens op haar website.

Wat doet de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens is een instelling die toezicht houdt op de naleving van wetgeving op het gebied van privacy. De Autoriteit Persoonsgegevens adviseert over nieuwe regelgeving en voert zelf ook zelf onderzoeken uit. Zo’n onderzoek wordt ingesteld naar aanleiding van tips met betrekking tot mogelijke wetsovertredingen. Ook kan de AP een onderzoek starten wanneer bijvoorbeeld belangenorganisaties hierom vragen. Datalekken moeten gemeld worden bij de Autoriteit Persoonsgegevens, zodat deze onderzocht kunnen worden door de instantie. Hoe diepgaand het onderzoek is, hangt uiteraard af van de situatie.

Eerste kwartaal 2017: ruim 2.300 keer datalek gemeld bij Autoriteit Persoonsgegevens

Tussen 1 januari en eind maart 2017 heeft de Autoriteit Persoonsgegevens meer dan 2.300 meldingen ontvangen van datalekken. Boetes zijn er in het eerste kwartaal van 2017 nog niet uitgedeeld, maar veel organisaties ontvingen wel een waarschuwing. In totaal heeft de AP 135 onderzoeken naar datalekken en gegevensbeveiliging gedaan.

Sectoren met veel meldingen

Hoeveel datalekken er gemeld werden, verschilde per sector. Opvallend is dat 27 procent van de meldingen vanuit de sector gezondheid en welzijn kwam. Ook bedrijven in de financiële dienstverlening meldden relatief veel datalekken, 21 procent van de meldingen kwam uit deze sector. Eén op de vijf meldingen kwam vanuit openbaar bestuur.

Soort datalek

45 procent van de gemelde datalekken in het eerste kwartaal van 2017 ging over het versturen of geven van persoonlijke gegevens aan de verkeerde persoon. Denk bijvoorbeeld aan een vertrouwelijke brief die niet bij de juiste ontvanger terecht is gekomen.

Niet altijd veel mensen betrokken

Datalekken hebben lang niet altijd betrekking op grote aantallen mensen. Dit blijkt ook uit de cijfers van de Autoriteit Persoonsgegevens. De meldingen gingen in zes op de tien gevallen om minder dan tien mensen. Slechts een enkele keer ging het op grote schaal mis: in één geval was er sprake van 680.000 betrokkenen bij één datalek.

Bijna 5.500 datalekken gemeld bij Autoriteit Persoonsgegevens in 2016

Ook in 2016 (periode 1 januari tot en met 15 december) zijn er al flink veel datalekken gemeld: bijna 5.500. De Autoriteit Persoonsgegevens heeft de belangrijkste feiten en cijfers over deze meldingen verwerkt in een factsheet.

Te lezen valt onder andere dat de Autoriteit Persoonsgegevens in ruim 4.000 gevallen extra vragen heeft gesteld. Uiteindelijk kregen meer dan honderd organisaties een waarschuwing en een deel van de onderzoeken loopt nog.

Meeste meldingen gezondheidszorg

De gezondheidszorg rapporteerde het vaakst een datalek, 29 procent van de meldingen kwam uit die sector. Vanuit de financiële dienstverlening (banken horen daar ook bij) kwam 17 procent van de meldingen. Ook het openbaar bestuur deed relatief veel meldingen, daar kwam 15 procent van de meldingen vandaag.

Veel voorkomende datalekken

In het factsheet heeft de Autoriteit Persoonsgegevens ook een lijst opgenomen met regelmatig voorkomende datalekken. Datalekken die regelmatig voorkomen zijn volgens de Autoriteit Persoonsgegevens:

  • Het kwijtraken van een USB-stick of andere gegevensdrager waarop persoonsgegevens staan
  • Laptop of smartphone met daarop persoonsgegevens wordt gestolen
  • Poststukken met persoonsgegevens komen niet aan bij de ontvanger of worden ongeopend teruggestuurd
  • E-mails met persoonsgegevens die bij de verkeerde ontvanger terechtkomen
  • Een klant ziet de gegevens van iemand anders in een klantportaal

Meer geld voor Autoriteit Persoonsgegevens

Op Prinsjesdag 2017 is bekendgemaakt dat de Autoriteit Persoonsgegevens vanaf 2019 kan rekenen op een structurele extra bijdrage van zeven miljoen euro. Dit is opgenomen in de begroting van het ministerie van Veiligheid & Justitie. De AP kan het geld goed gebruiken, omdat op 25 mei 2018 de nieuwe Europese privacywetgeving gaat gelden. De Autoriteit Persoonsgegevens heeft het geld nodig om de onderzoeken naar datalekken en bescherming van gegevens te kunnen uitvoeren en boetes op te leggen.