Datalekken

Datum laatste wijziging: 26 januari 2021  |  Trefwoorden: ,

Inhoud

  1. Evaluatie meldplicht datalekken na 1 jaar
  2. 41 procent bedrijven houdt zich niet aan Meldplicht Datalekken
  3. 5500 datalekmeldingen: waar gaat het mis?
  4. Evaluatie meldplicht datalekken na 1 jaar
  5. Weinig organisaties voorbereid op nieuwe privacyregels
  6. Nieuwe regels voor bedrijven
  7. Geheimhoudingsplicht is geen papieren tijger
  8. Onrechtmatig raadplegen Patiëntendossier
  9. 10.000 datalekken in 2017 gemeld
  10. Meldingen datalekken ruim verdubbeld in 2018
  11. Meldingen illegale verhandeling uit systemen GGD

Evaluatie meldplicht datalekken na 1 jaar

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Organisaties die een ernstig datalek hebben, moeten dit sindsdien melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. In bijna een jaar tijd (tot 15 december 2016) heeft de AP bijna 5500 meldingen ontvangen van datalekken.

De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten).

Er zijn veel datalekken waarbij gegevens per ongeluk bij iemand anders terecht komen dan de bedoeling is. Bijvoorbeeld door een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of als een klant in een klantportaal de gegevens van iemand anders ziet. Ook komt het vaak voor dat bijvoorbeeld een USB-stick met persoonsgegevens kwijtraakt of een laptop wordt gestolen.

Ruim 100 organisaties kregen een waarschuwing van de AP. In enkele andere tientallen gevallen doet de AP een diepgaander onderzoek. Deze onderzoeken lopen nog. (Bron AP, 28 dec. 2016)

41 procent bedrijven houdt zich niet aan Meldplicht Datalekken

Een jaar na het intreden van de wet Meldplicht Datalekken zegt 41 procent van de Nederlandse organisaties geen (tijdige) melding te maken van dataverlies. Belangrijkste redenen om niet te melden zijn onduidelijkheid over de impact van het datalek, reputatieschade en het voorkomen van verder misbruik. (Bron: Brisk)

Daarnaast speelt bij tien procent van de bedrijven en instellingen angst voor disciplinaire maatregelen mee, waardoor medewerkers datalekken ook intern onder de pet houden. Tegelijkertijd heeft meer dan de helft van het bedrijfsleven en overheden in 2016 te maken gehad met een of meer lekken van gevoelige informatie. Dit zijn de belangrijkste uitkomsten van het nationale onderzoek naar de Meldplicht Datalekken in de praktijk uitgevoerd eind 2016 door Pb7 Research onder 310 Nederlandse organisaties in opdracht van Kaspersky Lab.

Wat tenslotte opvalt, is de grote verdeeldheid onder organisaties over het nut van de Meldplicht voor datalekken. (Bron: Brisk, 2 feb.2017)

5500 datalekmeldingen: waar gaat het mis?

Een jaar na de invoering van de meldplicht datalekken maakte de Autoriteit Persoonsgegevens (AP) eind 2016 de balans op: ruim 5.500 meldingen in krap een jaar tijd. Een groot deel van die meldingen was te voorkomen geweest.

De meldingen die de Autoriteit Persoonsgegevens in 2016 ontving, gingen in veel gevallen over verkeerd bezorgde brieven, verkeerd geadresseerde e-mails en een slechte beveiliging van klantportalen waardoor klanten elkaars gegevens konden inzien. Ook komt het vaak voor dat USB-sticks met persoonsgegevens kwijtraken of dat een laptop wordt gestolen. (Bron: Brisk, 20 apr. 2017)

Evaluatie meldplicht datalekken na 1 jaar

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Organisaties die een ernstig datalek hebben, moeten dit sindsdien melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. In bijna een jaar tijd (tot 15 december 2016) heeft de AP bijna 5500 meldingen ontvangen van datalekken.

De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten).

Er zijn veel datalekken waarbij gegevens per ongeluk bij iemand anders terecht komen dan de bedoeling is. Bijvoorbeeld door een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of als een klant in een klantportaal de gegevens van iemand anders ziet. Ook komt het vaak voor dat bijvoorbeeld een USB-stick met persoonsgegevens kwijtraakt of een laptop wordt gestolen.

Ruim 100 organisaties kregen een waarschuwing van de AP. In enkele andere tientallen gevallen doet de AP een diepgaander onderzoek. Deze onderzoeken lopen nog. (Bron AP, 28 dec. 2016)

Weinig organisaties voorbereid op nieuwe privacyregels

Slechts 12% van alle organisaties in Nederland is compleet voorbereid op de aangescherpte privacyregels die volgend jaar gaan gelden. Dat blijkt uit het periodieke Privacy Governance onderzoek van PwC onder 351 Nederlandse organisaties.

Nog een klein jaar en dan moeten alle organisaties in Nederland voldoen aan de EU-verordening over privacy en databescherming. Die is veel strenger dan de huidige wet bescherming persoonsgegevens. Toch is slechts 12% van de organisaties op dit moment helemaal voorbereid op de nieuwe regels. Dat is nauwelijks meer dan aan het begin van dit jaar. De enquête is eind mei gehouden. Meer dan de helft van de ondervraagde organisaties is volgens PwC nog niet eens begonnen met voorbereidingen. Menskracht zou het grootste struikelblok zijn voor tijdige implementatie, gevolgd door onvoldoende kennis. (Bron: PwC, juni 2017)

Nieuwe regels voor bedrijven

Vanaf 25 mei 2018 worden de regels veel strenger. Vanaf dan geldt de Algemene Verordening Gegevensbescherming, de AVG. Deze geldt in de hele EU. Als bedrijven in gebreke blijven, dreigen vanaf eind mei 2018 sancties van privacy toezichthouders.

Volgens DLA Piper zijn veel bedrijven te laat wakker geworden. De nieuwe regels behelzen veel meer dan 'eventjes de privacy policy op de website aanpassen'. Er moeten allerlei technische maatregelen worden genomen, zoals het aanpassen van IT-systemen en de beveiliging.

Data-economie

Bedrijven moeten volgens de nieuwe regels nauwgezet in kaart brengen wat zij met data doen, en burgers krijgen meer rechten. Zo zijn bedrijven straks verplicht om individuen beter en eenvoudiger te informeren en vaker apart toestemming te vragen voor het gebruik van hun gegevens. Ook worden bedrijven verplicht om datalekken binnen 72 uur aan een toezichthouder te melden (dit laatste gold overigens al in Nederland). Dat alles moet er uiteindelijk toe leiden dat er meer controle komt over de enorme data-economie waarin bedrijven als Google, Facebook en Amazon veel macht hebben.

HR-kiosk

HR-kiosk voldoet al jaren aan de strengste privacy eisen. Wij zullen nooit persoonlijke data met derden delen en zelf ook geen (mis)gebruik maken van persoonlijke gegevens. Wel gebruiken wij macro data voor statistieken en om analyses te doen op het aantal bezoekers van HR-kiosk. Privacy statement HR-Kiosk

Geheimhoudingsplicht is geen papieren tijger

Het schenden van een geheimhoudingsbeding wordt een werknemer zwaar aangerekend. Ook wanneer de emoties hoog oplopen, moet een werkgever erop kunnen vertrouwen dat gevoelige informatie het bedrijf niet verlaat. Aldus in hoger beroep - 'ontbinding arbeidsovereenkomst op e-grond, tevens ernstig verwijtbaar handelen' - het Gerechtshof 's-Hertogenbosch, d.d. 2 mrt. 2018)

Onrechtmatig raadplegen Patiëntendossier

Uit eigen onderzoek van het Haga Ziekenhuis (5 april 2018) is gebleken dat enkele tientallen medewerkers onrechtmatig in een patiëntendossier hebben gekeken. Het Haga Ziekenhuis is hiervan geschrokken, want het hecht zeer groot belang aan het waarborgen van de privacy van patiënten. Patiënten moeten er op kunnen vertrouwen dat alleen bevoegde medewerkers hun dossier raadplegen.

De behandelaar heeft de patiënt om wie het gaat geïnformeerd en excuses gemaakt namens het ziekenhuis. Tegen betreffende medewerkers worden disciplinaire maatregelen genomen. Zekerheidshalve is ook de Autoriteit Persoonsgegevens geïnformeerd. Het onderzoek is half maart gestart en zal naar verwachting half april zijn afgerond.

10.000 datalekken in 2017 gemeld

In 2017 zijn 10.000 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is in 2017 met ruim 70% toegenomen ten opzichte van het jaar ervoor, van 5849 naar 10.009. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. De toename van het aantal gemelde lekken duidt op een toenemende bekende van de meldplicht, maar geeft ook aan dat de beveiliging nog vaak niet op orde is.

Bij bijna de helft van de datalekken (47%) die in 2017 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. Meldingen van kwijtgeraakte persoonsgegevens door  bijvoorbeeld een verloren of gestolen laptop, usb-stick of tas met dossiers vormen 15% van het totale aantal gemelde datalekken. Het gaat in de meeste gevallen om NAW-gegevens, geslacht, geboortedatum en BSN. (Bron: AP, 29 mrt. 2018)

Meldingen datalekken ruim verdubbeld in 2018

In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is meer dan verdubbeld ten opzichte van 2017. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening.

In ruim twee derde (63 procent) van de datalekken die in 2018 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. De overige 27 procent bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, fishing of malware. Het gaat in de meeste gevallen om NAW-gegevens, gegevens over geslacht, medische gegevens en BSN. (Bron: Computable, 29 jan. 2019)

Meldingen illegale verhandeling uit systemen GGD

Miljoenen privégegevens van Nederlanders uit twee registratiesystemen van de GGD worden op internet illegaal verhandeld. RTL Nieuws meldt dat het gaat om adressen, telefoonnummers en burgerservicenummers. (Bron: De Volkskrant, 26 jan. 2021)

Reactie Autoriteit Personeelgegevens (27 jan. 2021): "Uit onderzoek van RTL-nieuws bleek maandag dat er grootschalig is gehandeld in miljoenen persoonsgegevens van mensen die contact hebben gehad met de GGD, zoals voor een afspraak voor een coronatest. De Autoriteit Persoonsgegevens (AP) krijgt hierover zeer veel telefoontjes van ongeruste mensen. Daarom zijn we op dit moment telefonisch slecht bereikbaar. De wachttijden zijn lang."