Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken

De Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens begon vorig jaar aan 635 onderzoeken naar datalekken bij bedrijven en overheden. Dat blijkt uit cijfers van de toezichthouder. Het aantal meldingen lag veel hoger.

De AP begon veel van die onderzoeken naar aanleiding van een melding, maar soms begon de toezichthouder ook zaken te onderzoeken die de betrokken bedrijven of overheidsinstanties zelf niet hadden gemeld, zegt de AP.

In totaal kwamen er in 2017 10.009 meldingen binnen van datalekken. Het aantal meldingen nam toe met zeventig procent, want in 2016 ging het om 5849 meldingen. De AP vermeldt geen oorzaak van de forse stijging.

Bij 47 procent van de vermeldingen gaat het om gegevens die naar een verkeerde ontvanger zijn gestuurd. Verloren of gestolen hardware, zoals laptops en usb-sticks, vormde 15 procent van de meldingen. De meeste meldingen kwamen van organisaties uit de zorgsector.

Sinds een paar jaar zijn bedrijven en organisaties verplicht om een melding te doen als zij te maken krijgen met een datalek. Die meldplicht datalekken geldt vanaf dit voorjaar niet alleen in Nederland, maar door nieuwe regels in de hele Europese Unie.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 29-03-2018 13:06 24

29-03-2018 • 13:06

24

Lees meer

AP: zorgsector meldt meeste datalekken in eerste helft van dit jaar
AP: zorgsector meldt meeste datalekken in eerste helft van dit jaar Nieuws van 19 september 2019
Autoriteit Persoonsgegevens ontvangt 21.000 meldingen van datalekken in 2018
Autoriteit Persoonsgegevens ontvangt 21.000 meldingen van datalekken in 2018 Nieuws van 29 januari 2019
Adresgegevens waren in te zien via PostNL bij retourzendingen webshops
Adresgegevens waren in te zien via PostNL bij retourzendingen webshops Nieuws van 7 juni 2018
Autoriteit Persoonsgegevens gaat in gesprek met KvK over verkoop van data
Autoriteit Persoonsgegevens gaat in gesprek met KvK over verkoop van data Nieuws van 17 april 2018
AP: boetes geven voor datalekken is tot nu toe niet nodig geweest
AP: boetes geven voor datalekken is tot nu toe niet nodig geweest Nieuws van 28 december 2017
Organisaties hoeven geen melding meer te doen als ze persoonsgegevens verwerken
Organisaties hoeven geen melding meer te doen als ze persoonsgegevens verwerken Nieuws van 6 november 2017
'Privacyregels EU eisen verdrievoudiging personeel Autoriteit Persoonsgegevens'
'Privacyregels EU eisen verdrievoudiging personeel Autoriteit Persoonsgegevens' Nieuws van 2 juni 2017
Nederlandse bedrijven hebben vermoedelijk 18.500 datalekken niet gemeld
Nederlandse bedrijven hebben vermoedelijk 18.500 datalekken niet gemeld Nieuws van 1 februari 2017
'Helft datalekken gemeenten niet gemeld aan Autoriteit Persoonsgegevens'
'Helft datalekken gemeenten niet gemeld aan Autoriteit Persoonsgegevens' Nieuws van 28 januari 2017
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Datalek Nederland

Reacties (24)

-Moderatie-faq
24
24
18
1
0
2
Wijzig sortering

Sorteer op:

Weergave:
BCC 29 maart 2018 13:19
De oorzaak van de stijging is duidelijk volgens mij: alle grote bedrijven maken zich klaar voor de nieuwe GDPR wetgeving en hebben daardoor nu voor het eerst interne procedures voor het melden van incidenten ipv ze onder het kleed schuiven.

Elk groot bedrijf heeft ongeveer 1 groot incident per maand (laptop medewerker gestolen, autorisatie fout in de gebruikte software, et cetera). Als je een leverancier hebt die nooit iets meldt, weet je straks zeker dat hij liegt.

[Reactie gewijzigd door BCC op 22 juli 2024 23:17]

tweaker2010 @BCC29 maart 2018 13:33
Een groot incident? Als je een gestolen laptop een groot incident noemt... De meeste grote bedrijven hebben wekelijks (zo niet dagelijks) te maken met gestolen laptops. Als het goed is zijn deze beveiligd dmv Bitlocker oid dus zou het niet zo spannend moeten zijn. Grote incidenten ontstaan vaak door medewerkers die papieren en USB-sticks met gevoelige bedrijfs/persoonsdata in hun auto achterlaten. Dan heb je pas echt een probleem.
Verwijderd @tweaker201029 maart 2018 18:17
USB sticks moeten standaard ook versleuteld worden, liefst met Truecrypt.
paradoXical @tweaker201030 maart 2018 02:08
Seriously, USB stick? Al 5 jaar niet aangeraakt...
biglia @BCC29 maart 2018 13:31
Als die gestolen laptop volledig geëncrypteerd is, moet je dat dan ook melden?
Arnoud Engelfriet @biglia29 maart 2018 14:26
Ja, bij de toezichthouder wel. Je hoeft de slachtoffers niet te informeren als er adequate encryptie is gebruikt.
Oswaldius @Arnoud Engelfriet29 maart 2018 15:35
Je hoeft niet altijd bij de AP (toezichthouder) een datalek te melden.

Alleen als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming
van persoonsgegevens dan dient dit gemeld te worden. Dit is aan de organisatie zelf om te bepalen of dit zo is.

Stonden er gevoelige persoonsgegevens op de laptop?
Kunnen deze persoonsgegevens leiden tot nadelige gevolgen voor de betrokkene?

Als je op 1 van deze 2 vragen 'Ja' als antwoord kunt geven, dan dien je dit als datalek te melden bij de AP.
Arnoud Engelfriet @Oswaldius30 maart 2018 09:15
Dat klopt, maar mijn punt was dat het daarbij niet uitmaakt of de persoonsgegevens encrypted zijn. Ook dan moet het gemeld worden als aan de overige eisen is voldaan. En onder de AVG Is het criterium iets lager: melden tenzij het onwaarschijnlijk is dat er énig risico zal optreden (artikel 33 lid 1 AVG).
BCC @biglia29 maart 2018 13:33
In ieder geval het incident registeren. Of je moet melden is afhankelijk van je plek in de keten en je eigen inschatting. Waarschijnlijk wil je het wel melden aan je klant, als er bijvoorbeeld gecrypte klantdata op stond van die klant. Je klant moet dan zelf de inschatting maken of hij/zij melding doet bij het AP.

[Reactie gewijzigd door BCC op 22 juli 2024 23:17]

RobbieB @BCC29 maart 2018 13:54
GDPR heeft veel nieuwe eisen, maar verandert niets aan de meldplicht datalekken die al in de WBP zat.
De boetes worden hoger, maar waren al vrij hoog... het kijkt er eerder op dat er meer media aandacht voor is, waardoor dit soort berichten meer exposure krijgen...

[Reactie gewijzigd door RobbieB op 22 juli 2024 23:17]

tweaker2010 @RobbieB29 maart 2018 15:20
Het aantal datalekken is dan ook enorm toegenomen de laatste jaren. De GDPR heeft er aan bijgedragen dat er meer aandacht voor is en gelukkig ook een stukje bewustwording bij personeel als er iets gelekt wordt.

Daarnaast wordt er natuurlijk veel meer data gedeeld waardoor de kans ook toeneemt dat iets fout gaat. Denk ook aan prive smartphones of prive computers met bedrijfsdata erop. Een soort tikkende tijdbom.
RobbyTown 29 maart 2018 14:12
Ook toeval. Tref vandaag een geval van datalek aan.. Hoe en wat moet ik ergens melden met offline data lekken (papieren archief)? Heb een container besteld bij een container bedrijf echter zat er nog inhoud in van het vorige gebruiker/bedrijf... Redelijk groot archief met gevoelige info. Bedrijf die het erin doet is al fout dat hoort niet in bouwafval containers te worden gestort (die gaat er nu vanuit dat er niet meer is)...

[Reactie gewijzigd door RobbyTown op 22 juli 2024 23:17]

Arnoud Engelfriet @RobbyTown29 maart 2018 14:27
Jij moet daar niets mee. Je mág het doorgeven aan het containerbedrijf zodat zij daarna wettelijk verplicht worden dit te melden. Je mag ook de AP bellen, maar met zo'n "signaal" hoeven zij niets te doen. De meldplicht geldt alleen voor verantwoordelijke partijen.
Peoplen 30 maart 2018 00:46
Bij 'datalekken' denk ik aan een grote database met persoonlijke informatie die geheel inzichtelijk was, maar wanneer is iets eigenlijk een 'ernstige datalek'?

Ik heb bij meerdere klantenservices gewerkt voor verscheidene grote bedrijven en meer dan eens meegemaakt dan per ongeluk een factuur naar de verkeerd persoon werd gestuurd. In deze factuur staat dan oa de persoonsgegevens en rekeninggegevens van een andere klant. Ook gaat er wel eens iets missen met het inloggen in een account (dat een klant in een account van een andere klant terechtkomt).

Bovenstaande is een datalek, maar wel een datalek waarbij één klant de gegevens kan inzien van één andere klant. Dit is iets anders dan het verliezen van een hardeschijf met een volledige database.

Worden de datalekken zoals ik heb beschreven ook meegeteld?
Munters @Peoplen30 maart 2018 11:26
Als een datalek gemeld wordt, dan wordt deze meegeteld.
Een bedrijf kan zelf beslissen of jouw beschreven situatie erg genoeg is om extern door te melden.
CAPSLOCK2000
29 maart 2018 14:17
Bij 47 procent van de vermeldingen gaat het om gegevens die naar een verkeerde ontvanger zijn gestuurd.
We hebben zo ontzettend hard goede encryptie voor e-mail en bestanden nodig dat het niet meer leuk is. Bijna de helft(!) van de lekken zou kunnen worden voorkomen met één verbetering.

Technisch gezien is er best wel wat mogelijk, zoals PGP, S/MIME en nog wat andere standaarden en initiatieven, maar in praktijk worden die nauwelijks gebruikt. Deel van het probleem is dat er een enorm ecosysteem rond e-mail is dat het moeilijk maakt om dingen al te veel te veranderen. Wie een oplossing bedenkt die makkelijk is uit te voeren en voldoende backwardscompatible is om met bestaande systemen te werken kan de wereld een stuk mooier maken.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 23:17]

rik86 @CAPSLOCK200029 maart 2018 15:17
Tja, als je een tikfout maakt in een mailadres is kan het een data-lek zijn, want verkeerde ontvangen. Los je dat op met jouw oplossing?
CAPSLOCK2000
@rik8629 maart 2018 15:51
Ja, want door de data te versleutelen kan de foutieve ontvanger deze niet lezen.
Munters @CAPSLOCK200030 maart 2018 11:24
Niet per definitie.
Als je een mail naar 2 personen stuurt (kan ook een cc zijn), en je maakt een fout in 1 van de twee adressen, dan heb je al een datalek, want je stuurt het mailadres van persoon 1 per ongeluk door naar het foutieve adres.
biglia 29 maart 2018 13:29
Sinds een paar jaar zijn bedrijven en organisaties verplicht om een melding te doen als zij te maken krijgen met een datalek. Die meldplicht datalekken geldt vanaf dit voorjaar niet alleen in Nederland, maar door nieuwe regels in de hele Europese Unie.
Vanaf 25 mei 2018 om precies te zijn. In België bijvoorbeeld is het momenteel enkel wettelijk verplicht om gegevenslekken in de telecomsector te melden. Vanaf datum verandert er trouwens heel veel omtrent privacy (GDPR).
sjhgvr 29 maart 2018 13:12
En wat heeft het opgeleverd?
Alleen wat nummertjes?

[Reactie gewijzigd door sjhgvr op 22 juli 2024 23:17]

Anonymoussaurus
@sjhgvr29 maart 2018 13:16
Misschien nu nog niet, maar met de aankomende AVG (die op 25 mei van kracht wordt) mag de AP zelf ook hoge boetes opleggen, bijvoorbeeld zoveel procent van de jaaromzet. Met bijvoorbeeld 10.000 euro per dag dat er iets niet gedaan wordt wat wel is opgelegd. Bron: iemand van AP waarmee ik aan de telefoon heb gezeten.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 23:17]

jpsch @sjhgvr29 maart 2018 13:18
Inzicht? Meer aandacht bij de bedrijven (ook die niet melden)?
totaalgeenhard 29 maart 2018 19:28
Er zijn al meer dan 1 miljoen zzp'ers.

Dus dat aantal is niet eens druppel op gloeiende plaat.

Maar goed niet gek lang geleden hadden ze maar 2 auditors... "het gaat de goede kant op"

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq