Aantal meldingen datalekken in 2018 verdubbeld

De Autoriteit Persoonsgegevens zag vooral veel meldingen uit de zorg en financiële sector. In de meeste gevallen ging het om gegevens van één persoon.

Een recent en groot datalek vond plaats bij hoteluitbater Marriott. Gegevens van mogelijk een half miljard hotelbezoekers belandden in november op straat.
Een recent en groot datalek vond plaats bij hoteluitbater Marriott. Gegevens van mogelijk een half miljard hotelbezoekers belandden in november op straat. Foto Remko de Waal/ANP

De Autoriteit Persoonsgegevens heeft in 2018 twee keer zoveel meldingen van datalekken ontvangen als een jaar eerder. Bijna 21.000 keer maakten organisaties melding van een lek, blijkt uit de dinsdag gepubliceerde cijfers van de Autoriteit. De sterke stijging heeft volgens de toezichthouder te maken met de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 en de media-aandacht hiervoor.

In de meeste gevallen, 63 procent, wordt een datalek veroorzaakt door het versturen van persoonsgegevens aan de verkeerde ontvanger. Het gaat dan vaak om medische gegevens, BSN of contactgegevens. Ook komt het regelmatig voor dat mensen hun eigen gegevens opvragen en daarbij per ongeluk ook andermans gegevens ontvangen.

De meeste meldingen zijn afkomstig uit de zorgsector (29 procent), financiële sector (26 procent) en het openbaar bestuur (17 procent). In 58 procent van de gemelde lekken gaat het om gegevens van maar één persoon. Slechts in 3 procent van de datalekken worden gegevens van meer dan 5.000 mensen verspreid. Deze lekken worden vaak veroorzaakt door hacking, malware of phishing.

Lees ook: Bijna tienduizend privacyklachten bij toezichthouder

Klachten

De Autoriteit Persoonsgegevens meldt dat ze in 2019 meer mensen zullen inzetten om het toegenomen aantal meldingen te onderzoeken. Daardoor kan het aantal opgelegde sancties, zoals waarschuwingen of boetes, aan organisaties ook toenemen, aldus een woordvoerder van de toezichthouder.

Sinds 2016 moeten organisaties verplicht een melding maken van datalekken. Doen organisaties dat niet (op tijd), dan krijgen ze een boete. De invoering van de AVG in 2018 heeft daar niet veel aan veranderd, behalve dat er strengere regels voor de registratie van datalekken kwamen. Zo moeten organisaties ook de maatregelen documenteren die zijn genomen na een datalek. De Autoriteit hoopt zo beter te kunnen controleren of organisaties aan hun meldplicht voldoen.

    • Cosette Molijn