Te veel organisaties in Nederland die worden getroffen door een cyberaanval, laten na om mensen te waarschuwen dat hun gegevens in verkeerde handen zijn gevallen. Veel organisaties (7 van de 10 gevallen) schatten de risico’s van de cyberaanval namelijk te laag in. Hierdoor kunnen de mensen van wie er persoonlijke gegevens zijn gelekt, zich niet wapenen tegen mogelijke oplichting of andere misdrijven van cybercriminelen. Daarvoor waarschuwt de Autoriteit Persoonsgegevens (AP) in het jaarlijkse overzicht van datalekmeldingen in Nederland.
Datalekmeldingen
In totaal ontving de AP in 2023 meer dan 25.000 meldingen van een datalek. Circa 20 miljoen mensen werden slachtoffer.
Het gaat om datalekken waarbij bijvoorbeeld medische persoonsgegevens, creditcardgegevens of kopieën van paspoorten betrokken zijn. Het gaat daarnaast ook om datalekken waarbij schijnbaar minder gevoelige persoonsgegevens getroffen zijn, zoals e-mailadressen en NAW-gegevens. Criminelen kunnen echter ook deze gegevens gebruiken voor phishingberichten.
5.480 datalekken zijn via een zogenoemde bulkmelding gemeld. In een bulkmelding meldt een organisatie meerdere datalekken die worden veroorzaakt door verkeerde postverzending. Het in bulk melden van gelijksoortige datalekken kan de administratieve last voor organisaties verlichten.
De AP ontving in 2023 de meeste meldingen over een verkeerd verzonden brief met daarin persoonsgegevens (9.899 meldingen). Alleen als sprake is van een ernstig privacyinbreuk moet dit type datalek aan de AP worden gemeld.
De meeste datalekmeldingen ontving AP van organisaties in de sectoren gezondheid (8.929), openbaar bestuur (4.347) en financiële dienstverlening (1.946).
Informatieplicht bij datalekken
Organisaties zijn wettelijk verplicht om mensen te waarschuwen als sprake is van een hoog risico na een datalek. In de praktijk ziet de AP dat organisaties de risico’s vaak juist te laag inschatten waardoor zij mensen niet laten weten dat hun persoonsgegevens zijn gelekt.
Wat is een cyberaanval?
Bij een cyberaanval proberen criminelen in te breken in digitale systemen. Criminelen kunnen bijvoorbeeld inbreken in mailboxen en naar de contacten phishingmails versturen. Of het gaat om een ransomware-aanval waarbij de criminelen data versleutelen, waardoor de getroffen organisatie niet meer bij de data kan. In ruil voor losgeld beloven criminelen de ‘sleutel’ te geven zodat de organisatie weer bij de data kan.
Inhurende organisaties verantwoordelijk
In 2023 ging het bij datalekken ruim 1.300 keer om een cyberaanval. Cyberaanvallers richten hun digitale pijlen vaak op IT-leveranciers. Organisaties huren IT-leveranciers in om vaak grote hoeveelheden persoonsgegevens te beheren. Deze inhurende organisaties blijven doorgaans zelf verantwoordelijk als er iets gebeurt met deze gegevens. Zij moeten mensen dan ook zelf informeren als hun persoonsgegevens bij de IT-leverancier in verkeerde handen zijn gevallen.
Interventies AP
De AP gaat na of organisaties die slachtoffers moeten informeren, dat ook daadwerkelijk doen. De AP kan ook ingrijpen. In 2023 gebeurde dat bijvoorbeeld na een omvangrijk datalek dat volgde op een cyberaanval op de IT-leverancier Nebu. De AP maande meer dan 30 klanten van Nebu om de slachtoffers te informeren. Dit deed de AP nadat was gebleken dat deze organisaties zelf in eerste instantie hadden besloten om dat niet te doen. Ongeveer 50.000 mensen konden zich door deze interventie van de AP teweerstellen tegen mogelijke cybercriminelen.