Het aantal datalekken in Nederland stijgt fors. Er gaat bijna geen dag voorbij of een organisatie wordt hiermee geconfronteerd. Wat betekent dit voor jouw organisatie en wat kun je hiertegen doen?

• “Datalek bij psychiatrisch centrum Parnassia door fout in e-mailverzending”
• “Datalek bij gemeente Etten-Leur; bijna 2.000 e-mailadressen op straat”
• “Hoe een datalek het MKB de kop kan kosten”

Het zijn zomaar enkele koppen van nieuwsberichten die we de afgelopen weken voorbij zagen komen. Een datalek is het vrijkomen van (persoons)gegevens van een organisatie zonder dat dit de bedoeling was van deze organisatie; de gegevens komen in handen van de verkeerde mensen en/of belanden zelfs op het internet.

Datalekken in cijfers

In 2018 zijn 20.881 datalekken gemeld aan de Autoriteit Persoonsgegevens (AP). Dat is een forse toename vergeleken met voorgaande jaren. Zo werden in 2016 5.849 meldingen ontvangen; in 2017 waren dat er 10.009.

Volgens de AP worden de meeste datalekken gemeld vanuit de sectoren gezondheid en welzijn (29%), financiële dienstverlening (26%) en openbaar bestuur (17%). Het meest voorkomende type datalek is het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger; het gaat hierbij om 63% van de meldingen. Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend. De soorten gegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens, burgerservicenummers en medische gegevens.

De rol van de AVG

Een datalek heeft een rampzalige uitwerking op het vertrouwen in een organisatie. Sinds het ingaan van de Algemene verordening gegevensbescherming (AVG) vorig jaar kan zo’n incident zelfs resulteren in een forse boete.

Doel van de AVG is de persoonsgegevens van burgers in de Europese Unie te beschermen. Daardoor heb je als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt meer nadruk op de verantwoordelijkheid van jou als organisatie om aan te tonen dat je je aan de wet houdt, de zogeheten verantwoordingsplicht.

Overtreedt een organisatie de AVG, dan kan de AP een boete opleggen, van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

In juli werd een eerste boete uitgedeeld op basis van de AVG. Het HagaZiekenhuis kreeg een voorlopige boete van 460.000 euro opgelegd vanwege de slechte interne beveiliging van patiëntendossiers.

Datalekken in 3 vormen

Een datalek kan diverse vormen aannemen. Er kan een grove onderverdeling worden gemaakt in 3 soorten:

• Een onbewuste lek van binnenuit: door een menselijke fout worden gevoelige data onbedoeld naar buiten gebracht.
• Een bewuste lek van binnenuit: een (ex-)medewerker brengt zonder toestemming data van de organisatie naar buiten.
• Een aanval van buitenaf: een hacker steelt bedrijfsdata, veelal met politieke of financiële motieven.

De variëteit van bovenstaande voorbeelden maakt duidelijk dat elke organisatie – familiebedrijf en multinational, profit en non-profit – serieus de gevaren van een datalek onder ogen moet zien.

Download onze whitepaper

Gelukkig zijn er ook methoden en middelen om de kans op een datalek te minimaliseren. In onze nieuwe whitepaper geven we concrete adviezen die jouw organisatie weerbaarder maken. Download ‘4 redenen voor een Security CheckUp’ hier.