Aantal datalekken in 2017 bijna verdubbeld

Hoewel de Autoriteit Persoonsgegevens naar 635 lekken onderzoek deed, werd er geen enkele boete uitgedeeld.

Foto Jerry Lampen/ANP

Het aantal datalekken dat is gemeld bij de Autoriteit Persoonsgegevens (AP) is in 2017 bijna verdubbeld. Ging het in 2016 nog om zo’n 5.800 lekken, een jaar later ging het om ruim 10.000 gemelde lekken. Een grotere bekendheid van de in 2016 ingevoerde meldplicht voor datalekken is volgens AP-voorzitter Aleid Wolfsen de belangrijkste oorzaak voor de stijging. Geen enkel lek heeft nog tot een boete voor de veroorzaker ervan geleid.

In een groot deel van de gevallen blijkt het te gaan om menselijke fouten. Zo werden persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger (47 procent van de lekken). Dat is bijvoorbeeld het geval wanneer iemand een mailtje met bijlage aan de verkeerde persoon verzendt. Ook het kwijtraken van een usb-stick of laptop draagt voor een aanzienlijk deel (14 procent) bij aan het aantal datalekken. Het is dus niet zo dat gegevens alleen maar vrijkomen wanneer een server of computer gehackt wordt. Die categorie is goed voor 6 procent van alle lekken.

De meeste meldingen van het onjuist omspringen met gegevens komen uit de zorgsector (19 procent), gevolgd door het openbaar bestuur en de financiële dienstverlening (beide 19 procent). In een aanzienlijk deel van de gevallen (42 procent) werden de gegevens van één persoon vrijgegeven. In iets meer dan 7 procent van de gevallen werden bij één lek de gegevens van meer dan vijfhonderd personen gelekt.

Meldplicht

Wie te maken krijgt met een ernstig datalek, is verplicht daarvan melding te doen bij de Autoriteit Persoonsgegevens. Met ‘ernstige lekken’ worden gevallen bedoeld waarbij er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. De meldplicht is sinds begin 2016 van kracht.

De meest gelekte data waren in 2017 NAW-gegevens (naam, adres en woonplaats), evenals geslacht, geboortedatum en Burgerservicenummer (BSN). De AP deed in 2017 635 onderzoeken naar mogelijke datalekken naar aanleiding van tips die waren binnengekomen. Nu nog is het zo dat de tips gewogen worden en de AP daarna besluit om al dan niet een onderzoek in te stellen. Die werkwijze gaat veranderen. Vanaf 25 mei zal de autoriteit met iedere individuele klacht aan de slag gaan, zo stelt een woordvoerder. Dan treedt nieuwe privacy wetgeving in werking (zie hieronder).

Wie de meldplicht overtreedt kan een boete van maximaal 820.000 euro krijgen. Sinds de invoering ervan heeft de AP nog nooit een boete uitgedeeld. Volgens een woordvoerder heeft dat ermee te maken dat de organisatie moet aantonen dat het lek ontstaat door opzettelijk (nalatig) handelen. “Vaak gaat het niet om bewust lekken. Het is ook niet ons doel boetes op te leggen. Het gaat ons om bewustwording en aanpassing van het lek.”

Nieuwe privacywetgeving

Dat gaat binnenkort veranderen. Vanaf 25 mei van dit jaar is de Algemene verordening gegevensbescherming (AVG) van kracht. Die houdt in dat een individu aan bedrijven of instanties mag vragen welke persoonsgegevens ze over hem of haar hebben, en die vervolgens kan laten corrigeren. Voor de meldplicht betekent het dat de AP ook al een boete kan opleggen als er alleen een datalek wordt vastgesteld - er hoeft niet meer te worden aangetoond dat er sprake is van opzet. Als er slordig met persoonsgegevens wordt omgesprongen kan dan een boete van 20 miljoen euro worden opgelegd, of maximaal 4 procent van de wereldwijde omzet.

Lees hier wat er met de nieuwe privacywetgeving vanaf 25 mei gaat veranderen

Bovendien heeft de AP het idee dat het werkelijke aantal lekken groter is dan de 10.000 gemelde lekken. Hoe ze die wil gaan opsporen? “We kunnen daar nog niet al te veel over zeggen, maar als bijvoorbeeld de media melding maken van een lek terwijl dat niet bij ons gemeld is, gaan we daar achteraan”, aldus een woordvoerder.