Autoriteit Persoonsgegevens ontvangt 21.000 meldingen van datalekken in 2018

De Autoriteit Persoonsgegevens heeft in 2018 in totaal 20.881 meldingen van datalekken binnengekregen. Dat is volgens de toezichthouder meer dan een verdubbeling ten opzichte van het jaar daarvoor. In 2016 ging het nog om 5500 meldingen.

Bijna een derde van de datalekken vond plaats in de gezondheidszorg. Die was goed voor 29 procent van de meldingen, gevolgd door de financiële dienstverlening en het openbaar bestuur met respectievelijk 26 en 17 procent. De AP stelt zelf dat dit aantal haar verwachtingen heeft overtroffen en dat het daarom de capaciteit uitbreidt. "Deze acties kunnen leiden tot meer handhavende maatregelen", stelt de autoriteit.

Mogelijk komt de stijging in meldingen door de extra aandacht die de AVG genereert, stelt de AP in zijn rapportage. Die wet ging op 25 mei van het afgelopen jaar in, maar de meldplicht voor datalekken geldt in Nederland sinds 2016. Die twee wetten zijn op het gebied van deze meldplicht grotendeels hetzelfde. Met ingang van 25 mei 2018 zijn de boetes voor datalekken wel hoger.

Die handhavende maatregelen komen veelal neer op voorlichting in de vorm van brieven, gesprekken, waarschuwingen, maar het kunnen ook boetes zijn. Over de genomen maatregelen wijdt de AP niet uit, maar het herhaalt wel de grootste van het jaar: de boete aan Uber van 600.000 euro. Dit was voor een datalek waarbij 174.000 Nederlandse chauffeurs en klanten betrokken waren. Verder stelt het dat "over het algemeen de overtreding daarna beëindigt". Bekend is dat in 2016 en 2017 geen boetes zijn uitgedeeld.

Autoriteit Persoonsgegevens meldingen 2018

Door Mark Hendrikman

Redacteur

Feedback • 29-01-2019 16:05 21

29-01-2019 • 16:05

21

Lees meer

Autoriteit Persoonsgegevens verbetert meldformulier datalekken
Autoriteit Persoonsgegevens verbetert meldformulier datalekken Nieuws van 4 mei 2021
Autoriteit Persoonsgegevens kan stroom aan privacyklachten niet aan
Autoriteit Persoonsgegevens kan stroom aan privacyklachten niet aan Nieuws van 12 maart 2021
AP kreeg 27.800 privacyklachten in 2019 en slaakt noodkreet over onderbezetting
AP kreeg 27.800 privacyklachten in 2019 en slaakt noodkreet over onderbezetting Nieuws van 14 februari 2020
AP: zorgsector meldt meeste datalekken in eerste helft van dit jaar
AP: zorgsector meldt meeste datalekken in eerste helft van dit jaar Nieuws van 19 september 2019
AP is akkoord met gedragscode Nederlandse ict-sector voor persoonsgegevens
AP is akkoord met gedragscode Nederlandse ict-sector voor persoonsgegevens Nieuws van 13 augustus 2019
Medewerkers Menzis hadden onterecht toegang tot medische dossiers
Medewerkers Menzis hadden onterecht toegang tot medische dossiers Nieuws van 4 april 2019
'Nokia 7 Plus stuurde persoonlijke data naar Chinees staatsbedrijf'
'Nokia 7 Plus stuurde persoonlijke data naar Chinees staatsbedrijf' Nieuws van 21 maart 2019
Supermarkt zet gezichtsherkenning in tegen winkeldiefstal
Supermarkt zet gezichtsherkenning in tegen winkeldiefstal Nieuws van 19 maart 2019
AP onderzoekt mogelijk delen van data over politieke voorkeur door partijen
AP onderzoekt mogelijk delen van data over politieke voorkeur door partijen Nieuws van 15 februari 2019
Trakt.tv meldt dat het in 2014 een datalek had
Trakt.tv meldt dat het in 2014 een datalek had Nieuws van 7 februari 2019
Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken
Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken Nieuws van 29 maart 2018
AP: boetes geven voor datalekken is tot nu toe niet nodig geweest
AP: boetes geven voor datalekken is tot nu toe niet nodig geweest Nieuws van 28 december 2017
Nederlandse bedrijven hebben vermoedelijk 18.500 datalekken niet gemeld
Nederlandse bedrijven hebben vermoedelijk 18.500 datalekken niet gemeld Nieuws van 1 februari 2017
'Helft datalekken gemeenten niet gemeld aan Autoriteit Persoonsgegevens'
'Helft datalekken gemeenten niet gemeld aan Autoriteit Persoonsgegevens' Nieuws van 28 januari 2017
Bijna 5500 datalekken gemeld bij Autoriteit Persoonsgegevens
Bijna 5500 datalekken gemeld bij Autoriteit Persoonsgegevens Nieuws van 28 december 2016
CBP publiceert definitieve beleidsregels meldplicht datalekken
CBP publiceert definitieve beleidsregels meldplicht datalekken Nieuws van 9 december 2015
Meer producten en artikelen
Politiek en recht Privacy AVG Autoriteit Persoonsgegevens Datalek

Reacties (21)

-Moderatie-faq
21
21
16
2
1
2
Wijzig sortering

Sorteer op:

Weergave:
3raser 29 januari 2019 16:23
Met zoveel lekken is het bijna noemenswaardig als je gegevens nog niet op straat liggen.
Zijn er ook statistieken over hoeveel personen er zijn getroffen door deze datalekken?
Geim @3raser29 januari 2019 16:26
Ja, staat op pagina 6 van het rapport, zie link hierboven.

"In de ruime meerderheid van de gevallen, namelijk 58%, raakt het datalek 1 persoon. Het gaat in deze
gevallen veelal (77%) om het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger.
In mindere mate (3%) treft het datalek een zeer groot aantal betrokkenen. Datalekken die 5.000 of meer
personen raken, worden vaak veroorzaakt door hacking, malware en/of phishing.
"
BStorm @Geim29 januari 2019 18:26
Wat ik toch vooral eens wil weten is:

Hoe groot is nu eigenlijk de kans dat een willekeurig Nederlander slachtoffer wordt van identiteits-criminaliteit (criminele nalatigheid / menselijk falen waar de proces-organisatie ernstig te verwijten valt) door het soort toezicht & 'handhaving' dat anno nu éénentwintig duizend meldingen in één jaar krijgt en in het verleden kennelijk zó effectief gebleken is dat ze wel twee jaren, aanéén, geen enkele boete besloot uit te delen.

21.000 x 0,58 = 12.180 personen
21.000 x 0,03 = 630 maal 'veel' personen. Gaan we uit van die 5.000+ dan zijn het er zo al 3,15 miljoen extra.
En dat laat buiten beschouwing de platforms als facebook en dergelijke waar het al snel gaat om 500.000 personen in plaats van die 5.000 (per stuk van die 630 stuks incidenten met 'veel' slachtoffers).
Ook nog buiten beschouwing blijven dan de gevallen waar het gaat tussen 1+ en 5.000(of meer); dus die 42-3=39 procent.

Al-met-al dus -minimaal- zo'n 3 miljoen burger-slachtoffers per jaar. Als je dat nou vergelijkt met onze zendingen naar landen ver weg waar we vaak voor veelvouden van het budget van dit binnenlands toezicht bijzonder ineffectief komen zijn :?

Als we uitgaan van zo'n 12 miljoen burgers die digitaal kwetsbaar zijn dan duurt het bij minimale spreiding maximaal ~ drie en een half jaar voor iedere willekeurige burger -ja, jij ook- slachtoffer wordt van de AP die niet afdoende functioneert.

PS: Dit is niet bedoeld als rant op de AP; opvolgende regeringen hebben eenvoudigweg de capaciteit van dit soort ZBO's afgebroken door budgetten die bewust NIET afdoende zouden zijn voor uitvoering van de wettelijke verantwoordelijkheid. Tot ver -zoals we alweer zien- voorbij het punt van ordinair falen. ( À 'We hebben het niet geweten')

BRON daarbij: "Eigenlijk is het CBP al vanaf het ontstaan een organisatie geweest die “undermanned and understaffed” is."
Uit diezelfde bron (bijna 2016) [zorgictzorgen.nl/onderbezetting-toezichthouder-privacycbp-is-politieke-keuze/]

"Jacob Kohnstamm (dan voorzitter van het College Bescherming Persoonsgegevens(CBP)) werd geïnterviewd vanwege de naamsverandering van het CBP per 1 januari 2016. Het College Bescherming Persoonsgegevens gaat dan Autoriteit Persoonsgegevens heten."
Desondanks moet Kohnstamm na verzoeken om uitbreiding van formatieplaatsen constateren dat er geen budget voor uitbreiding komt
Met de huidige bezetting kan het CBP maar 15 tot 20 grote zaken per jaar aan.
Bender @3raser29 januari 2019 16:27
Statistieken zijn waardeloos als de berekenmethode of de waarde niet bekend is.

Het AP stelt een cryptovirus of een delete-virus, ook als een datalek terwijl het er dan helemaal niet om het lekken van data gaat (maar wel een ander probleem).
En een lek staat los van het feit of er persoonsgegevens gelekt is, een datalek (of dus cryptovirus) zonder persoonsgegevens moet ook gemeld worden en is dus waarschijnlijk hier in opgenomen.

[Reactie gewijzigd door Bender op 22 juli 2024 23:52]

gimbal @Bender29 januari 2019 16:53
Bekend is... en getoetst is. Het is vandaag de dag net iets te makkelijk om met conflicterende belangen statistieken en onderzoeksresultaten te publiceren (alleen online als het moet) en dat dit zonder enige toetsing voor waar genomen wordt.
Verwijderd @gimbal29 januari 2019 17:44
Of je leest het uitgebreide rapport waar alles verantwoord is.
StefanJanssen @Bender29 januari 2019 17:24
Een cryptovirus of deletevirus is ook een datalek, een ongeautoriseerd persoon/systeem kan bij privacy gevoelige informatie. Als dit kan kan een ander software pakket dit ook en moet het ook gemeld worden.
Een datalek is ook een datalek wanneer er geen misbruik gemaakt van is maar het wel zo had kunnen zijn.
Magic @StefanJanssen29 januari 2019 18:24
Bij een cryptolocker hoeft de aanvaller niet perse toegang te hebben tot deze gegevens, toch is het inderdaad een datalek. Of zoals het AP zegt:
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.
Verwijderd @Bender29 januari 2019 17:43
Statistieken zijn waardeloos als de berekenmethode of de waarde niet bekend is.
Op Tweakers staat alleen de verkorte versie, als je de hele wilt zien met alle verantwoordingen kan je die gewoon even opvragen en zijn al je vragen beantwoord. Denk je nu echt dat de AP geen rapport kan maken?
R4gnax
@Bender29 januari 2019 20:51
Het AP stelt een cryptovirus of een delete-virus, ook als een datalek terwijl het er dan helemaal niet om het lekken van data gaat (maar wel een ander probleem).
Bij gegevens die versleuteld worden kun jij niet garanderen dat de data na ontsleuteling nog dezelfde is. De gegevens kunnen onderhuids gewijzigd zijn voordat ze versleuteld zijn. Er kunnen ook ordinair enkele essentiele stukjes data verwijderd zijn.

Dat is gewoon een data lek.

Of ga je vertellen dat jij het OK vindt als er niets gemeld wordt wanneer mensen mogelijk in medische gegevens hebben lopen klooien en geregistreerde bloedgroepen aan hebben gepast of heftige allergische reacties op bepaalde medicatie hebben weggehaald?
DigitalExorcist @3raser29 januari 2019 16:25
En hoeveel zijn er nog niet gemeld, ondanks dat dat wel zou moeten. Als je al een tapfout in een mailadres maakt en geen NDR terugkrijgt is het al een lek...

Of dat je mensen in de CC zet in plaats van de BCC, waarbij iedereen dus de mailadressen van iedereen kan zien. Da's ook een lek. Moet dus ook gemeld worden.
Ircghost @DigitalExorcist29 januari 2019 16:32
Nee dat hoeft niet gemeld te worden aan de AP. Dat ligt o.a.aan de proportionaliteit van het lek en de te nemen maatregelen. In zo'n geval zou je puur theoretisch wel de bevinding moeten melden aan de DPO/Privacy Officer en die moet dan zijn beweegredenen uiteenzetten waarom er al dan niet een melding gemaakt van dient te worden.
DigitalExorcist @Ircghost29 januari 2019 16:36
Ja maar sportclubjes hebben dat doorgaans niet ;) En als mail intern blijft is het niet zo'n punt, maar extern wél.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 23:52]

Verwijderd @DigitalExorcist29 januari 2019 17:42
Maar dan is het nog geen meldenswaardig datalek.

Natuurlijk mag jij als je zelf een dergelijke fout maakt dat zelf melden. Dan krijg je een prima antwoord en hebben we weer wat geld verspild met zijn alle.
DigitalExorcist @Verwijderd29 januari 2019 18:04
Heel simpel: https://www.rendement.nl/...eldt-ook-als-datalek.html

E-mailadressen zijn persoonsgegevens. Lek je die, dan meld je die. Punt.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 23:52]

Aardwolf @DigitalExorcist30 januari 2019 08:57
Hm maar hoe zit het dan als die mensen jou, elkaar en/of het onderwerp kennen, ook al zijn ze extern? Volgens mij is het ook weer niet zo strikt. Zeker iig afspraakuitnodiging na een eerste overleg, is het ergens raar dat je elkaar niet kent en dus dat mailadressen in AAN of CC niet mag.

Heb je gewoon een bulkmail die aan grote groepen mensen gericht is, ja dan kan ik begrijpen dat dit beter via BCC is. Daarmee vang je direct af dat mensen niet "allen beantwoorden" doen, wat al snel storend is bij een grote groep en meestal niet heel handig.

Een praktijkvoorbeeld zou het volgende kunnen zijn. Iemand stuurt in het algemeen een email, bijv omdat hij weggaat bij het bedrijf. Dit doet hij via AAN of CC, omdat iedereen het mag weten. Maar een hoop mensen kennen de persoon in kwestie niet en verliezen er ook niets mee. Een ontvanger reageert hier zeer persoonlijk op. Per ongeluk aan allen beantwoorden. Iedereen leest nu van die persoon het persoonlijke verhaal, wat mogelijk juist nadelig is voor zijn/haar positie. Natuurlijk moet je zelf ook oplettend zijn (zowel wat je schrijft via zakelijke mail, als ontvangers), maar gaat het eigenlijk al mis bij de eerste zender.
Die eerste zender had daarom m.i. beter gericht kunnen sturen. Dus in een CC (als iedereen elkaar, het onderwerp kent èn hetzelfde belang heeft of zou moeten krijgen) of anders BCC (wanneer 1 van de CC voorwaarden nee is).

Ben benieuwd of m'n gedachtegang klopt.

[Reactie gewijzigd door Aardwolf op 22 juli 2024 23:52]

DigitalExorcist @Aardwolf30 januari 2019 09:22
Een persoonlijk verháál aan iedereen sturen is gewoon dom :P maar geen datalek, tenzij je in dat verhaal details verspreid die privacygevoelige informatie bevatten. Dat je iemand een achterlijke gladiool noemt is geen persoonsgegeven, maar als je rondstuurt wat het woonadres van persoon <x> is, dan wél.

Intern is het een ander verhaal. Als ik een mail stuur naar de distributiegroep 'iedereen' binnen mijn werkgever is het iets anders dan wanneer ik mijn persoonlijke adresboek in de CC zet.

Ik ben geen expert of zo hoor. Maar een e-mailadres is een persoonsgegeven en zodra dat het bedrijf verlaat of privégegevens terechtkomen bij onbevoegden is er sprake van een lek, da's vrij duidelijk omschreven.
rik86 29 januari 2019 17:06
Post is natuurlijk enorm data-lek gevoelig. 1 tikfout in een adres en een poststuk wordt verkeerd bezorgd. 1 adressticker die verkeerd geplakt word en een poststuk wordt verkeerd bezorgd. 1 brief die per ongeluk bij een andere brief wordt ingestopt en een poststuk wordt verkeerd bezorgd.

Nu zal dat in veel gevallen niet ernstig zijn en neemt de hoeveelheid post ook sterk af, maar een foutje is al snel gemaakt. Ik vraag me ook af hoeveel van die datalekken een vergissing/slordigheidje zijn, hoeveel er zijn omdat er onbewust iets fout zit in een werkwijze/proces en hoeveel er zijn omdat bewust data foutief gebruikt wordt.
Verwijderd @rik8629 januari 2019 17:45
Die vraag staat beantwoord in het uitgebreide rapport. Als je het je echt afvraagt kan je het dus gewoon even opzoeken.
BStorm 29 januari 2019 18:07
Verplaatst.

[Reactie gewijzigd door BStorm op 22 juli 2024 23:52]

fortfort 29 januari 2019 19:24
Grootste data lek tot nu toe? Facetime interessante boete zou daar uit kunnen rollen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq