In 2019 ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 datalekmeldingen. Dat is een stijging van 29% ten opzichte van 2018. Sinds de invoering van de meldplicht datalekken in 2016 blijft het aantal meldingen stijgen. De AP legt de komende jaren in het toezichtwerk extra nadruk op de digitale overheid en licht om die reden de datalekmeldingen binnen de sector openbaar bestuur uit in haar jaarlijkse rapportage.
Geen alternatief
In 2019 ontving de AP 4.624 datalekmeldingen uit de sector openbaar bestuur. Dit zijn 27% meer meldingen dan in 2018. Het grootste aantal datalekmeldingen binnen de sector openbaar bestuur is afkomstig van gemeenten (33%), gevolgd door de Rijksoverheid (25%) en verplichte sociale verzekeringen (20%).
Centrale en lokale overheden beschikken over een grote hoeveelheid – vaak gevoelige en bijzondere – persoonsgegevens, zoals burgerservicenummers en gegevens over zorg en maatschappelijke dienstverlening.
Het gaat met name om wettelijke en/of onvrijwillige verwerking van gegevens en burgers kunnen niet terecht bij een alternatieve dienstverlener. Datalekken in deze sector kunnen daarom grote impact hebben op burgers.
Monique Verdier, vicevoorzitter van de AP: “Gegevens van burgers kunnen bij de verkeerde partij terecht komen. Door een verkeerd verstuurde e-mail of foutief geadresseerde post. Het kan bijvoorbeeld gaan over de wijziging van een sociale voorziening zoals jeugdzorg, WMO of gemeentelijke schuldhulpverlening. Wanneer deze post wordt ingezien door onbevoegden kan dat grote impact hebben op de betrokken personen.”
Kwart meer meldingen hacking, phishing of malware-incidenten
De AP ontving dit jaar een kwart (25%) meer meldingen naar aanleiding van hacking, phishing of malware-incidenten dan in het jaar daarvoor. Vooral grotere organisaties, die persoonsgegevens van veel mensen verwerken, lijken hier doelwit van.
Datalekken door hacking, phishing of malware leveren meestal een hoog risico op voor de mensen om wiens gegevens het gaat. Hackers kunnen met de verkregen gegevens bijvoorbeeld identiteitsfraude proberen te plegen of een abonnement op andermans naam afsluiten.
Nederland koploper in melden
Nederland loopt binnen de EU voorop op het gebied van digitalisering en is – samen met Duitsland en het Verenigd Koninkrijk – koploper waar de meeste datalekken worden gemeld.
Door de hoge mate van digitalisering van de Nederlandse maatschappij is het risico op grote en ernstige datalekken in Nederland relatief hoog. Het vereist extra aandacht voor fundamentele vraagstukken als privacybescherming en cybersecurity.
Actie of sanctie AP bij niet melden
Organisaties lijken zich onder meer door de nieuwe privacywet meer bewust te worden van de meldplicht datalekken. Maar de AP ziet door tips en klachten die zij ontvangt dat niet alle meldplichtige datalekken door organisaties worden gemeld.
In 2019 zijn 28 onderzoeken gestart bij organisaties die (mogelijk) een datalek hadden moeten melden aan de AP en/of de betrokken personen en dat niet of te laat hebben gedaan. Per geval wordt bekeken of, en zo ja, welke actie of sanctie passend is.