Meld datalekken altijd

07 februari 2020

Privacy en datalekken blijven hot topics. Het rapport ‘Meldplicht datalekken 2019’ van de Autoriteit Persoonsgegevens geeft de laatste gegevens weer. Uit dit rapport blijkt dat de AP in 2019 bijna 27.000 datalekmeldingen ontving, 29% meer dan in 2018. Toch melden bedrijven datalekken niet altijd. Ons advies: wel doen.

AP: aantal datalekmeldingen flink gestegen

Gisteren publiceerde de Autoriteit Persoonsgegevens (AP) haar rapport ‘Meldplicht datalekken 2019’. Uit dit rapport blijkt dat de AP in 2019 bijna 27.000 datalekmeldingen ontving, 29% meer dan in 2018. Hierdoor staat Nederland samen met Duitsland en het Verenigd Koninkrijk in de top drie van Europese landen waar de meeste datalekken worden gemeld.

Vooral het aantal meldingen naar aanleiding van hacking, phishing of malware-incidenten steeg fors met ruim 25% ten opzichte van 2018. Hackers richten zich hierbij voornamelijk op organisaties die grote hoeveelheden persoonsgegevens van veel betrokkenen verwerken. Toch wordt van het totale aantal datalekmeldingen slechts 3% veroorzaakt door hacking, phishing of malware. Veruit de meeste gemelde datalekken (67%) ontstaan door het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger, door bijvoorbeeld een typefout in het e-mailadres of het selecteren van een verkeerde geadresseerde. Een ruime meerderheid van het aantal datalekmeldingen betrof daarom 1 persoon (64%) of tussen de 2 en 10 personen (19%).

Meld datalekken!
Hoewel er steeds meer datalekken worden gemeld, gebeurt dit nog lang niet altijd. Meld u het datalek niet, dan kan de AP naar aanleiding van tips en klachten van betrokkenen of naar eigen inzicht nader onderzoek instellen binnen uw organisatie. Per geval zal de AP bekijken of, en zo ja, welke actie of sanctie passend is. In 2019 werden 28 van deze onderzoeken gestart.

Doet zich een datalek voor binnen uw organisatie, meld deze dan in beginsel uiterlijk binnen 72 uur bij het meldloket datalekken van de AP. Wanneer uit uw melding blijkt dat de meldplicht conform de richtlijnen van de AVG is nageleefd en u adequate maatregelen heeft getroffen, heeft uw organisatie aan haar verplichtingen voldaan en zal een boete kunnen worden voorkomen. Heeft de AP inhoudelijke vragen over de melding, dan neemt zij in de meeste gevallen binnen 2 weken contact met u op.