Bijna 27.000 datalekken gemeld bij Autoriteit Persoonsgegevens

Privacy In 2019 werden 29 procent meer datalekken gemeld bij de Autoriteit Persoonsgegevens.
In bijna twee derde van de gevallen zijn data van één persoon gelekt.
In bijna twee derde van de gevallen zijn data van één persoon gelekt. Foto Rob Engelaar/ANP

De Autoriteit Persoonsgegevens (AP) ontving in 2019 bijna 27.000 datalekmeldingen van Nederlandse instellingen, 29 procent meer dan in 2018. Het aantal meldingen van een datalek na hacking, phishing of malware-incidenten steeg daarnaast met een kwart naar 902 incidenten, meldt de toezichthouder donderdag. De AP verklaart de stijging door een toennemend bewustzijn over de meldplicht.

De financiële sector meldde de meeste datalekken (30 procent), gevolgd door de zorg (28 procent) en het openbaar bestuur (17 procent). Twee derde van de meldingen betreft persoonsgegevens die naar de verkeerde ontvanger gestuurd zijn. In bijna twee derde van de meldingen worden data van één persoon gelekt. Hoewel het aantal datalekmeldingen na cybercrimeincidenten fors steeg, zijn zulke meldingen slechts 3 procent van het totaal. Wel worden in 30 procent van die gevallen meer dan vijfhonderd personen getroffen.

Nederlandse bedrijven meldden na Duitsland en het Verenigd Koninkrijk de meeste datalekken van de Europese Unie, per hoofd van de bevolking is het aantal meldingen het hoogste in de Europese Unie. Nederland is vergeleken met andere lidstaten in een hoge mate gedigitaliseerd, schrijft de AP. Ook werd de meldplicht eerder ingevoerd. Sinds 2016 zijn Nederlandse organisaties verplicht datalekken binnen 72 uur te melden. Niet of te laat melden kan leiden tot een boete.

Lees ook: Hellevoetsluis zoekt al vijf maanden naar gelekte gegevens

Boete voor HagaZiekenhuis

De Autoriteit Persoonsgegevens nam na 1.180 meldingen aanvullende acties, in de meeste gevallen werd telefonisch contact opgenomen met de melder. In een op de tien gevallen heeft de toezichthouder „een normuitleggende brief” opgestuurd. De AP rondde in 2019 vijftien onderzoeken af naar een niet-gemeld datalek. Deze bedrijven riskeren een sanctie of een waarschuwing. Zo kreeg het HagaZiekenhuis afgelopen zomer een boete bijna een half miljoen euro, omdat de interne beveiliging van de patiëntendossiers niet op orde was.

Vijftien onderzoeken naar niet gemelde datalekken lopen nog. Driemaal onderzocht de AP in 2019 een te late melding van een datalek. Ook deze instellingen riskeren een boete, die op kan lopen tot 4 procent van de jaaromzet.