Ga ervan uit dat je persoonlijke gegevens al eens gelekt zijn, of dat dit nog gaat gebeuren. Maar je kunt jezelf beschermen: maak daar werk van. Deze boodschap geeft de Autoriteit Persoonsgegevens (AP) Nederlanders mee, 5 jaar nadat de Algemene verordening gegevensbescherming (AVG) in werking is getreden.
In 5 jaar tijd heeft de AP meer dan 114.000 meldingen van datalekken ontvangen. Dat zijn er gemiddeld meer dan 20.000 per jaar. Van alle meldingen ging het in meer dan 6.500 gevallen om cyberaanvallen, die bijzonder schadelijk kunnen zijn voor mensen en organisaties. Omdat er inmiddels zo’n grote hoeveelheid data gestolen is, moeten mensen er van uitgaan dat hun persoonsgegevenszijn gelekt, of dat dit in de toekomst zal gebeuren.
Datalekken kunnen ernstige gevolgen hebben voor slachtoffers. Mensen kunnen financieel getroffen worden, bijvoorbeeld door identiteitsfraude en oplichting.
Wat kun je doen?
Wat je precies kunt doen hangt af van welke gegevens van jou zijn gelekt, en wie toegang tot deze gegevens heeft (gehad). Je kunt hierover informatie vragen bij de organisatie. Wat kun je verder doen? Enkele tips.
- E-mailadres en wachtwoord gelekt? Wijzig de wachtwoorden.
- E-mailadres of telefoonnummer gelekt? Wees alert op phishing.
- Identiteitsbewijs gelekt? Meld dit bij de gemeente en vraag een nieuw identiteitsbewijs aan.
Informeren over datalek
Organisaties zijn meestal verplicht om slachtoffers te informeren over een datalek. Slachtoffers kunnen zich dan wapenen tegen de gevolgen. De AVG stelt eisen aan die informatieverplichting aan de slachtoffers. De informatie moet in ieder geval antwoord geven op deze vragen:
- Wat is er gebeurd?
- Wat zijn (waarschijnlijk) de gevolgen?
- Welke maatregelen treft de organisatie?
- Wat kan het slachtoffer zelf doen?
- Waar kan het slachtoffer terecht met vragen?
Datalek melden
Nederland ontvangt relatief gezien de meeste datalekmeldingen binnen Europa. Aangezien Nederland sterk gedigitaliseerd is, is het risico op (grote of ernstige) datalekken hier relatief hoog. Extra aandacht voor de bescherming van persoonsgegevens en cybersecurity is daarom nodig.
De 21.151 meldingen zijn meldingen van datalekken in Nederland die de AP in 2022 heeft ontvangen via het meldloket datalekken op de website van de AP.
In 2022 is het aantal meldingen uit de sector financiële dienstverlening gedaald met 29% ten opzichte van 2021. Het aantal meldingen uit de sector openbaar bestuur is gedaald met 16% en het aantal meldingen uit de sector gezondheid en welzijn is gedaald met 6%.
Type datalekken
In 2022 ziet de AP een grote stijging in het aantal meldingen waarbij persoonsgegevenszijn toegevoegd aan een verkeerd dossier (+98%). Bijvoorbeeld wanneer een psychologisch rapport door een zorgverlener per ongeluk wordt toegevoegd aan het dossier van de verkeerde cliënt.
Verder ziet de AP een grote stijging van 65% van het aantal meldingen waarbij autorisaties van medewerkers te breed waren ingesteld. Als gevolg van dit type datalek kunnen medewerkers van
organisaties persoonsgegevens inzien die ze voor hun werkzaamheden niet nodig hebben.
Cyberaanvallen
De meeste meldingen van cyberaanvallen heeft de AP in 2022 ontvangen uit de sector Gezondheid en welzijn (424 meldingen). Een groot deel van deze datalekmeldingen heeft de AP ontvangen naar aanleiding van cyberaanvallen bij ICT-leveranciers in de zorg. Alleen al door de grootste drie cyberaanvallen bij ICT-leveranciers zijn van ongeveer 900.000 patiënten of cliënten medische persoonsgegevens gelekt.
Daarnaast heeft de AP veel meldingen van cyberaanvallen ontvangen uit de sector Informatie en communicatie (160 meldingen), Onroerend goed (149 meldingen), Bouw (144 meldingen) en Financiële dienstverlening (144 meldingen). Onder de sector ‘Informatie en communicatie’ valt ook ICT-dienstverlening.
Toezicht op gemelde datalekken
Het is belangrijk dat organisaties datalekken melden aan de AP. Zonder datalekmelding kan de AP geen toezicht houden op de informatieverplichting naar de slachtoffers. Verder kan de AP dan ook niet controleren of de getroffen organisatie wel voldoende beveiligingsmaatregelen neemt om nieuwe datalekken te voorkomen. Daarnaast stellen datalekmeldingen de AP in staat om risicoanalyses te maken en nieuwe trends te signaleren.
Bij een groot deel van de datalekmeldingen neemt de AP na een eerste beoordeling geen verdere actie. Van zulke meldingen ontving de AP er bijna 15.000 in 2022. Het gaat hier bijvoorbeeld vaak om meldingen van verkeerd verzonden post of e-mails.
Het afgelopen jaar heeft de AP bij 6.552 datalekmeldingen extra toezichtshandelingen verricht. Dat was nodig omdat de AP in deze datalekmeldingen grote risico’s identificeerde. Bijvoorbeeld omdat het ging om veel slachtoffers of (veel) gevoelige persoonsgegevens. Bij zulke meldingen doet de AP een diepgaandere controle.
Tijdens een verdiepende controle kan de AP contact opnemen met de organisatie om vragen te stellen over het datalek. Bijvoorbeeld omdat de datalekmelding onduidelijk is, onregelmatigheden bevat of inconsistent is.
