Aantal meldingen datalekken flink gestegen

De Autoriteit Persoonsgegevens verwacht dat het aantal meldingen in 2019 14 procent hoger uitvalt dan in 2018. In het eerste half jaar kwamen ruim 11.000 meldingen binnen.

Organisaties moeten melding maken van datalekken.
Organisaties moeten melding maken van datalekken. Foto iStock

In de eerste zes maanden van dit jaar zijn flink meer datalekken gemeld bij de Autoriteit Persoonsgegevens (AP) dan vorig jaar het geval was. Dat meldt de instantie donderdag in een halfjaarrapport.

In de eerste helft van 2019 zijn 11.906 datalekken gemeld. In 2018 ging het om 8.898 meldingen. Over dit hele jaar denkt de AP dat er ongeveer 24.000 datalekmeldingen zullen binnenkomen, een stijging van 14 procent in vergelijking met 2018. De AP houdt er rekening mee dat het aantal meldingen in de komende maanden „stabiliseert”, zegt een woordvoerder tegen NRC. „Sinds de meldplicht van datalekken in 2016 inging, hebben die cijfers een vlucht genomen. Inmiddels zijn meer organisaties bekend met de meldplicht, dus we verwachten dat het aantal meldingen nu niet meer zo zal schommelen als we in voorgaande jaren zagen.”

Lees ook deze analyse over datalekken in de zorg: zorg vaker slordig met privégegevens

Gegevens in zorg

Uit de halfjaarreportage blijkt dat de meeste meldingen uit de zorg kwamen: 31 procent. Ook instanties in de financiële sector (20 procent) en openbaar bestuur (19 procent) hadden veel lekken. Die top drie is volgens de AP vergelijkbaar met de herkomst van meldingen vorig jaar. De meeste lekken zijn een gevolg van verkeerd verstuurde persoonsgegevens, bijvoorbeeld via de post of e-mail.

„Een foutje is zo gemaakt, veel mensen werken met deze persoonsgegevens”, aldus de woordvoerder van de AP. „Dat betekent niet dat dat niet vervelend is: als het gaat om BSN-nummers, of gegevens die te maken hebben met medische of juridische kwesties kan dat heel kwalijke gevolgen hebben. Het zijn privégegevens.” Onlangs meldden media dat een medewerker van het Haagse Haga Ziekenhuis een uitdraai met daarop patiëntgegevens had gebruikt om een boodschappenlijstje op te schrijven.

Sinds 2016 zijn organisaties verplicht een datalek te melden aan de AP. De instelling ontving een aantal keer bericht van een betrokken persoon van wie de gegevens waren gelekt, zonder dat de verwantoordelijke organisatie daarvan melding had gemaakt. In zo’n geval kan de AP een boete uitschrijven, zoals het deed bij Uber, dat te laat melding maakte.