Skip to main content

Bij de Autoriteit Persoonsgegevens zijn vorig jaar 10.000 meldingen van datalekken binnengekomen. Ten opzichte van 2016 is het aantal meldingen met ruim 70% toegenomen, zo meldt de Autoriteit, van 5.849 naar 10.009. Dit is enerzijds goed, omdat de bekendheid van de meldplicht en het bewustzijn over de noodzakelijkheid van het melden van datalekken is toegenomen. Anderzijds betekent dit dat diverse organisaties het qua beveiliging vaak (nog) niet op orde hebben.

De Autoriteit constateert dat het bij bijna de helft (47%) van de datalekken die in 2017 zijn gemeld, gaat om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd of afgegeven. Van het totale aantal gemelde datalekken vormen 15% meldingen van kwijtgeraakte persoonsgegevens als gevolg van bijvoorbeeld een verloren of gestolen laptop, usb-stick of tas met dossiers. Bij het soort persoonsgegevens moet men denken aan gegevens zoals bijvoorbeeld NAW-gegevens, geslacht, geboortedatum en BSN-nummers.

De meeste meldingen van datalekken kwamen, net zoals in 2016, van organisaties uit de sectoren gezondheid & welzijn, het openbaar bestuur en de financiële dienstverlening. Het gaat dan met name om (zorg-)verzekeraars, ziekenhuizen, banken en gemeenten.

De Autoriteit heeft niet alleen meldingen geregistreerd, maar gaat zelf ook actief op zoek naar datalekken. In 2017 is de Autoriteit 635 onderzoeken naar beveiliging en mogelijke datalekken gestart. De Autoriteit onderzoekt ook organisaties die geen meldingen van mogelijke datalekken hebben gedaan. Het komende jaar gaat de Autoriteit hier nog meer aandacht aan besteden. De onderzoeken hebben over het algemeen geleid tot een waarschuwing van de overtredende organisaties en tot beëindiging van de overtreding. Een aantal van de onderzoeken loopt nog.

Ons team Privacy heeft hier al regelmatig over bericht: vanaf 25 mei geldt in Nederland de AVG (Algemene Verordening Gegevensbescherming). De meldplicht datalekken blijft onder de AVG bestaan. De inhoudelijke toets wijzigt echter. Daarnaast stelt de AVG strengere eisen aan de registratie van datalekken. Niet alleen de gemelde datalekken dienen door de organisatie te worden gedocumenteerd. Onder de AVG dienen voortaan alle datalekken gedocumenteerd te worden. Vanaf 25 mei zullen de boetes overigens hoger zijn. Het is daarom van belang om uw privacybeleid op orde te hebben. Hiermee worden risico’s verkleind en kunnen datalekken tijdig worden gemeld bij de Autoriteit. En ook bij eventuele onderzoeken van de Autoriteit Persoonsgegevens, moet u kunnen aantonen dat uw beleid en administratie op orde zijn.

Mocht u vragen hebben over het melden van datalekken of algemene vragen rondom de AVG, neem dan gerust contact op met ons team Privacy. Wij denken graag met u mee.

Mei 2018