Het aantal meldingen blijft stijgen sinds de invoering van de meldplicht datalekken in 2016. De AP legt de komende jaren in het toezichtwerk extra nadruk op de digitale overheid.
Openbaar bestuur
4.624 datalekmeldingen ontving de AP in 2019 uit de sector openbaar bestuur. Dit zijn 27 procent meer meldingen dan in 2018.
Het grootste aantal datalekmeldingen binnen de sector openbaar bestuur is afkomstig van gemeenten (33 procent), gevolgd door de Rijksoverheid (25 procent) en verplichte sociale verzekeringen (20 procent).
Gevoelige gegevens
Centrale en lokale overheden beschikken over een grote hoeveelheid – vaak gevoelige en bijzondere – persoonsgegevens, zoals burgerservicenummers en gegevens over zorg en maatschappelijke dienstverlening.
Grote impact
Het betreft vooral wettelijke en/of onvrijwillige verwerking van gegevens en burgers kunnen niet terecht bij een alternatieve dienstverlener. Datalekken in deze sector kunnen daarom grote impact hebben op burgers.
Monique Verdier, vicevoorzitter van de AP:
“Gegevens van burgers kunnen bij de verkeerde partij terecht komen. Door een verkeerd verstuurde e-mail of foutief geadresseerde post. Het kan bijvoorbeeld gaan over de wijziging van een sociale voorziening zoals jeugdzorg, WMO of gemeentelijke schuldhulpverlening. Wanneer deze post wordt ingezien door onbevoegden kan dat grote impact hebben op de betrokken personen.”
Hacking, phishing of malware
De AP ontving dit jaar een kwart (25 procent) meer meldingen naar aanleiding van hacking, phishing of malware-incidenten dan in het jaar daarvoor. Met name grotere organisaties, die persoonsgegevens van veel mensen verwerken, lijken hier het doelwit van.
Datalekken door hacking, phishing of malware leveren meestal een hoog risico op voor de mensen waarvan de gegevens zijn. Hackers kunnen met de verkregen gegevens bijvoorbeeld identiteitsfraude proberen te plegen of een abonnement op een andere naam afsluiten.
Koploper
Nederland loopt binnen de EU voorop op het gebied van digitalisering en is – samen met Duitsland en het Verenigd Koninkrijk – koploper waar de meeste datalekken worden gemeld.
Door de hoge mate van digitalisering van de Nederlandse maatschappij is het risico op grote en ernstige datalekken in Nederland vrij hoog. Het vergt extra aandacht voor vraagstukken als privacybescherming en cybersecurity.
Datalek melden
Organisaties lijken zich onder meer door de Algemene Verordening Gegevensbescherming (AVG) meer bewust te worden van de meldplicht datalekken. Niet alle meldplichtige datalekken worden echter door organisaties gemeld.
28 onderzoeken zijn in 2019 gestart bij organisaties die (mogelijk) een datalek hadden moeten melden aan de AP en/of de betrokken personen en dat niet of te laat hebben gedaan. Per geval wordt bekeken of, en zo ja, welke actie of sanctie passend is.
Rapportage meldplicht datalekken 2019