AP ontvangt bijna 21.000 meldingen over datalekken in 2018

In 2018 zijn niet minder dan 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Dat is een ruime verdubbeling ten opzichte van 2017. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening.

Uit de meldingen (pdf) valt op dat datalekken door hacking en phishing met name voorkomen in de zorg. Bij phishing kan het gaan nep e-mails die afkomstig lijken van een betrouwbare partij.

In ruim tweederde (63 procent) van de datalekken die in 2018 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. De overige 27 procent bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, fishing of malware. Het gaat in de meeste gevallen om NAW-gegevens, gegevens over geslacht, medische gegevens en BSN.

Het aantal meldingen overstijgt het eerder geschatte aantal fors, zo schrijft de toezichthouder. De AP breidt daarom haar capaciteit uit om meer actie te kunnen ondernemen.

Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken is onder de AVG grotendeels hetzelfde gebleven als in de jaren daarvoor. De AVG stelt wel strengere eisen aan de registratie van datalekken. Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de gemelde datalekken. Daarnaast zijn de boetes vanaf 25 mei hoger.

Sinds 25 mei 2018 heeft de AP bij 298 datalekmeldingen actie ondernomen richting organisaties die een datalek gemeld hebben. Een deel van deze interventies loopt nog. Over het algemeen leidden deze acties tot een waarschuwing en beëindiging van de overtreding.