Aantal gemelde datalekken stijgt

Voorzitter Aleid Wolfsen: “We zien een flinke toename van het aantal gemelde datalekken. Het lijkt er enerzijds op dat de bekendheid van de meldplicht toeneemt. Anderzijds baart het ons zorgen dat de beveiliging nog vaak niet op orde is.” De meeste meldingen komen net als in 2016 uit de zorgsector, het openbaar bestuur en de financiële dienstverlening.

Verkeerde ontvanger

Bij bijna de helft van de datalekken (47 procent) die in 2017 zijn gemeld gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. Meldingen van kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop, usb-stick of tas met dossiers vormen 15 procent van het totale aantal gemelde datalekken.

In 6 procent van de gevallen ging het om hacking, malware of phishing. Meestal betreft het NAW-gegevens: geslacht, geboortedatum en BSN, in 42 procent van de gevallen die van één persoon.

Boete omhoog

Uit onderzoek van Pb7 Research onder 310 Nederlandse organisaties bleek vorig jaar dat 41 procent van de datalekken niet werd gemeld. De boete voor het verzwijgen van datalekken is nu nog € 820.000, niet onoverkomelijk voor een groot bedrijf. Daarom wordt het boetebedrag vanaf 25 mei 2018 verhoogd: bedrijven kunnen dan een boete verwachten van 2 procent van hun wereldwijde omzet of van 10 miljoen euro.

Gevreesd wordt dat de Autoriteit Persoonsgegevens dan pas echt overspoeld wordt met meldingen van het better safe than sorry-soort, waaruit het nog lastiger wordt de echt belangrijke datalekken te filteren. En de astronomisch hoge boetes zijn niet echt een prikkel om te investeren in systemen die datalekken kunnen detecteren – wat je niet weet, kun je ook niet melden.