De Autoriteit Persoonsgegevens (AP) heeft in 2019 bijna 27.000 datalekmeldingen ontvangen. Dat is een groei van 29 procent ten opzichte van 2018. Het aantal meldingen stijgt al sinds de invoering van de meldplicht datalekken in 2016. Sinds mei 2018, toen de privacywet AVG van kracht werd, is het melden van een datalek door organisaties een Europese verplichting.
De privacy-toezichthouder gaat de komende jaren in het toezichtwerk extra nadruk leggen op de digitale overheid. Zij licht om die reden de datalekmeldingen binnen de sector openbaar bestuur uit in haar jaarlijkse rapportage. In 2019 ontving de AP 4.624 datalekmeldingen uit de sector openbaar bestuur: 27 procent meer dan in 2018. Het grootste aantal datalekmeldingen binnen de sector openbaar bestuur is afkomstig van gemeenten (33%), gevolgd door de Rijksoverheid (25%) en verplichte sociale verzekeringen (20%).
Centrale en lokale overheden beschikken over een grote hoeveelheid – vaak gevoelige en bijzondere – persoonsgegevens. Voorbeelden zijn burgerservicenummers (BSN) en gegevens over zorg en maatschappelijke dienstverlening. Het gaat met name om wettelijke en/of onvrijwillige verwerking van gegevens en burgers kunnen niet terecht bij een alternatieve dienstverlener.
Grote impact op burgers
Datalekken in deze sector kunnen daarom grote impact hebben op burgers, stelt Monique Verdier, vicevoorzitter van de AP: “Gegevens van burgers kunnen bij de verkeerde partij terecht komen. Door een verkeerd verstuurde e-mail of foutief geadresseerde post. Het kan bijvoorbeeld gaan over de wijziging van een sociale voorziening zoals jeugdzorg, WMO of gemeentelijke schuldhulpverlening. Wanneer deze post wordt ingezien door onbevoegden kan dat grote impact hebben op de betrokken personen.”
De AP ontving dit jaar 25 procent meer meldingen naar aanleiding van hacking, phishing of malware-incidenten dan in 2018. Vooral grotere organisaties, die persoonsgegevens van veel mensen verwerken, lijken hier doelwit van. Eind 2019 werd de Universiteit Maastricht bijvoorbeeld getroffen door een malware-aanval omdat een medewerker op een phishing-mail klikte. Naar verluidt zou de universiteit EUR 200.000 betaald hebben aan de hackers om weer toegang tot bestanden te krijgen.
Datalekken door hacking, phishing of malware leveren meestal een hoog risico op voor de mensen om wiens gegevens het gaat. Hackers kunnen met de verkregen gegevens bijvoorbeeld identiteitsfraude proberen te plegen of een abonnement op andermans naam afsluiten.
Nederland koploper in melden
Nederland loopt binnen de EU volgens de AP voorop op het gebied van digitalisering en is - samen met Duitsland en het Verenigd Koninkrijk - koploper waar de meeste datalekken worden gemeld.
De hoge mate van digitalisering van de Nederlandse maatschappij maakt het risico op grote en ernstige datalekken in Nederland relatief hoog. Het vereist extra aandacht voor fundamentele vraagstukken als privacybescherming en cybersecurity, aldus de AP.
Volgens de toezichthouder lijken organisaties zich onder meer door de AVG meer bewust te worden van de meldplicht datalekken. Maar de AP ziet door tips en klachten die zij ontvangt dat niet alle meldplichtige datalekken door organisaties worden gemeld. In 2019 zijn 28 onderzoeken gestart bij organisaties die (mogelijk) een datalek hadden moeten melden aan de AP en/of de betrokken personen en dat niet of te laat hebben gedaan. Per geval wordt bekeken of, en zo ja, welke actie of sanctie passend is.
