Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Autoriteit Persoonsgegevens ontving bijna 27.000 datalekmeldingen in 2019

De Autoriteit Persoonsgegevens heeft vorig jaar 26.956 meldingen van datalekken ontvangen. Dat is een stijging van 29 procent ten opzichte van het jaar daarvoor. Er lopen nog drie onderzoeken naar datalekken die het gevolg zijn van gebrekkige beveiliging.

Volgens de AP worden in Nederland per inwoner de meeste datalekken gemeld van alle Europese landen. De privacytoezichthouder wijst er in zijn verslag op dat het meer capaciteit nodig heeft om het gestegen aantal datalekmeldingen grondig te kunnen onderzoeken. De AP zegt al jaren dat de organisatie onderbezet is en daardoor soms geen adequaat onderzoek kan doen.

Bij 1180 meldingen heeft de AP actie ondernomen richting de organisatie die het lek heeft gemeld. In de meeste gevallen ging dat om contact voor het opvragen van aanvullende informatie. In 10 procent van de gevallen is er een 'normuitleggende brief' gestuurd en bij 5 procent van de gevallen is er een gesprek gevoerd met de organisatie om op de privacyregels te wijzen en aan te dringen op maatregelen.

De 26.956 meldingen zijn binnengekomen via het meldloket datalekken op de AP-website. De privacyautoriteit heeft daarnaast van andere Europese toezichthouders 75 meldingen ontvangen van grensoverschrijdende datalekken. Ook deelt de AP zelf meldingen over grensoverschrijdende datalekken met andere EU-landen. De toezichthouder noemt als voorbeeld een 'melding van een grote verzekeringsmaatschappij waarbij data werd gesloten uit een kluis'. Dat gaat over de diefstal bij Allianz. Volgens de AP zijn er verschillende Europese privacytoezichthouders bij die zaak betrokken.

Vorig jaar gaf de AP voor het eerst een boete aan een organisatie voor een datalek. Het Haagse Haga Ziekenhuis moet 460.000 euro betalen vanwege de slechte beveiliging van patiëntdossiers. Er lopen nog drie andere onderzoeken naar datalekken die het gevolg zijn van gebrekkige beveiliging; die onderzoeken kunnen een boete opleveren. Om welke bedrijven of instanties het gaat, is niet bekend.

Volgens de AP zijn er vorig jaar 28 nieuwe onderzoeken gestart bij organisaties die mogelijk een datalek hadden moeten melden en dat niet of te laat hebben gedaan. Er zijn ook 5 onderzoeken afgerond in die categorie, die 'kunnen leiden tot een sanctie'. Daarnaast zijn er 10 onderzoeken naar niet-gemelde datalekken afgerond die hebben geleid tot een 'alternatieve interventie'. In zo'n geval organiseert de AP een normuitleggend gesprek of stuurt de organisatie een waarschuwing. Er lopen nog 15 onderzoeken.

Naast datalekmeldingen door instanties en bedrijven ontvangt de AP ook klachten en signalen over mogelijke datalekken. De autoriteit heeft naar aanleiding van dergelijke meldingen 'circa 70' acties ondernomen richting organisaties.

De financiële sector was goed voor 30 procent van de datalekken. In die categorie ging het in 71 procent van de gevallen om een factoring bureau. Volgens de AP gaat het dan meestal om een klein datalek zoals een herinneringsbrief voor een openstaande factuur die geopend retour komt. Het percentage datalekmeldingen uit de zorgsector was 28 procent en bij openbaar bestuur was dat 17 procent. Die top drie is vergelijkbaar met voorgaande jaren. In 2019 ontving de AP een kwart meer meldingen naar aanleiding van hacking, phishing of malware. Volgens de autoriteit lijken vooral grotere organisaties die persoonsgegevens van veel mensen verwerken hier doelwit van.

Door Julian Huijbregts

Nieuwsredacteur

06-02-2020 • 09:48

28 Linkedin

Reacties (28)

Wijzig sortering
Dan blijft en rijst dus nu de vraag; wat als je veel om privacy geeft.
Hoe overleef je dan in de huidige wereld, waar per jaar alleen in Nederland al 27.000 gevallen van uitgelekte gegevens bekend zijn.

Volgens het princiepe; niemand is zo zuinig op je spullen als jij zelf, zou je dus nooit je gegevens willen geven aan een ander.
Zou het recht op anonimiteit niet een mensenrecht moeten zijn?

[Reactie gewijzigd door Zynth op 6 februari 2020 09:55]

Niet, of zo goed als niet. Van zodra iemand jouw een factuur moet kunnen sturen dan moet je wel gegevens achterlaten. Denk bijvoorbeeld maar aan nutsvoorzieningen. Maar ook belastingen natuurlijk. Zelfs als je in een huisje in het bos gaat wonen zonder aansluiting op water of elektriciteit dan zal je nog altijd bekend moeten zijn bij de overheid en loop je nog altijd risico dat er gegevens van je uitlekken.

Merk ook dat recht op privacy (wat je wel hebt) nog alijtd niet het recht op anonimiteit is. In een rechtstaat is dat laatste heel moeilijk te verwezenlijken.

[Reactie gewijzigd door Blokker_1999 op 6 februari 2020 10:12]

Nu is het mooie dat je als ondernemer niet verplicht bent aan consumenten een factuur te sturen. Dus het hoeft helemaal niet (bij de AH krijg je ook geen factuur, maar een kassabon als bewijs voor betaling).
Nu is het mooie dat je als ondernemer niet verplicht bent aan consumenten een factuur te sturen. Dus het hoeft helemaal niet (bij de AH krijg je ook geen factuur, maar een kassabon als bewijs voor betaling).
Precies. Maar vertel dat bijv. eens aan Valve. Steam verplicht sinds de jaarwisseling het opgeven van je volledige factuuradres -- tijdje zelfs telefoonnummer; compleet achterlijk -- bij elke digitale aankoop.

En laat Steam nou net een organisatie zijn die al twee keer een gigantisch data lek gehad heeft en een reputatie heeft er totaal verkeerd mee om te gaan; veel te lange responstijd en achteraf doofpot. En ze zijn ook nog eens lomp groot en een daadwerkelijke target.

[Reactie gewijzigd door R4gnax op 6 februari 2020 22:08]

Dat werkt twee kanten op. Als iedereen veel makkelijker anoniem blijft zullen illegale zaken ook makkelijker zijn. Alleen werkt het de andere kant niet op zoals men tegenwoordig ons steeds probeert wijs te maken.

In een rechtstaat waar ze alles van je willen weten en het monetaire stelsel waar je simpelweg niet anoniem aan kunt deelnemen is anoniem zijn onmogelijk.
De financiële sector was goed voor 30 procent van de datalekken. In die categorie ging het in 71 procent van de gevallen om een factoring bureau. Volgens de AP gaat het dan meestal om een klein datalek zoals een herinneringsbrief voor een openstaande factuur die geopend retour komt.
Hier kan je natuurlijk als bedrijft niet direct heel veel tegen doen, als mensen post die niet aan hun geadresseerd is openen..

Los van pushen tot digitale communicatie / proberen je klanten te bewegen hun adresgegeven bij te houden.
Hier kan je natuurlijk als bedrijft niet direct heel veel tegen doen, als mensen post die niet aan hun geadresseerd is openen.
Je kunt de post-retour opties op de envelop verwerken, zoals bijv. Essent doet.

Je kunt ook reageren als mensen post retour sturen met de melding dat de geaddresseerde niet bekend is bij hen, en stoppen met het verzenden van herhalingen.

Ik heb het zelf gehad met niet aan mij geaddresseerde post, ironisch afkomstig van de zakelijke afdeling van PostNL zelf. Drie keer teruggestuurd met de melding dat geadresseerde niet bij mij bekend was. Brieven bleven maar komen. Na een tijd uiteindelijk maar één open gemaakt; bleek het de finale aanmaning te zijn voor een openstaande rekening: snel betalen, of er werd een gerechtsdeurwaarder ingeschakeld.

Gelukkig met een contact-telefoonnummer, zodat ik nog net op tijd de dodos bij PostNL kon inlichten voordat ik met een hoop ongein te maken had kunnen krijgen. (Leuk man; als zelfs de postbedrijven hun adresinformatie niet op orde hebben...)
Hoeveel van die melding zijn niet van mensen die een appeltje te schillen hebben met een bedrijf/organisatie? In de strekking van; "volgens mij mag dit helemaal niet volgens de privacywet", zonder zich ook maar verdiept te hebben in de AVG en dus puur om te zeuren.
Als ik me niet vergis moet de melding komen van de organisatie die de gegevens verwerkt, niet van iemand die ze (zogenaamd) is tegengekomen. Er is een plicht om lekken tijdig te melden in vele, maar niet alle, gevallen.

[Reactie gewijzigd door Blokker_1999 op 6 februari 2020 10:08]

Als ik me niet vergis moet de melding komen van de organisatie die de gegevens verwerkt, niet van iemand die ze (zogenaamd) is tegengekomen. Er is een plicht om lekken tijdig te melden in vele, maar niet alle, gevallen.
Zo zou het inderdaad moeten zijn, maar je kan wel degelijk zelf aangifte doen als jij denkt dat het verantwoordelijke bedrijf dat niet heeft gedaan.
Maar ik neem aan dat de AP dan gaat controleren of het lek wel echt bestaat voordat het nog maar in de statistiek wordt meegenomen of er een echt onderzoek wordt gestart en niet, zoals TheNephilim aanhaald, bedrijven in de problemen komen omdat iemand even een briefje stuurt.
Heb je een reden om aan te nemen dat dit meer gebeurt dan bij andere zaken die je moet melden?
Ik zie genoeg overtredingen om me heen dat dat niet nodig is. Ik heb zelf verschillende zaken doorgegeven, zoals een verloren laptop en daar zaten geen gevoelens bij, het is simpelweg een zakelijke registratie van de feiten. Bedrijven moeten het melden als er iets gebeurt en als ze verder netjes met de zaak omgaan is er niks aan de hand.
Nee maar het gaat me vooral om dingen als "de lokale biljart vereniging waar ik ooit lid van was stuurt me een nieuwsbrief terwijl ik 2 jaar geleden gestopt ben". Nu is dat niet de bedoeling, helder, maar dit soort relatief kleine 'vergrijpen' zou wellicht een groot deel van het aantal meldingen kunnen zijn.
We zitten hier ons druk te maken over persoonsgegevens, maar ondertussen gebruikt iedereen gewoon Google, facebook, instagram, linkedin etc.

Het is gewoon een wassen neus AVG, want de bedrijven tegen wie de burger beschermd moeten worden zijn onschendbaar. Soms krijgen ze een boete van een paar miljoen, maar dat doet ze helemaal niets.

Geef dezelfde boete aan een midden / klein bedrijf dat waarschijnlijk niet eens moedwillig de privacy schend , en het gaat failliet.
Er lijkt in Nederland het idee te bestaan dat je als bedrijf elk datalek moet melden. Dat is niet correct, sommige hoef je alleen zelf vast te leggen. De AP heeft zelfs een handige voorbeeld lijst: https://autoriteitpersoon...et_melden_datalek_def.pdf
Maar een melding doen is gratis en kost niet veel tijd, ik snap wel dat je als bedrijf dan het zekere voor het onzekere neemt.
Het staat ook goed in je jaarverslag dat je de wet en privacy serieus neemt.
Het is alleen niet goed voor je naam wanneer de media dit opblaast.
Met 27k datalekken per jaar is er altijd wel weer een spannendere voor de media.
Daar valt in de praktijk nog wel wat in te verbeteren. Verreweg de meeste tijd gaat zitten in het uitzoeken van de achterliggende informatie. Dat zou eigenlijk ook al moeten zonder meldplicht, dus dat zou ik niet aan de meldplicht willen toeschrijven, maar dat kan makkelijk een paar uur werk kosten. Dan is er nog het formulier. Invullen is gratis, maar het is een lang formulier. Zorgvuldig alle beschikbare informatie uit verschillende bronnen samenvoegen en invullen in het formulier kan makkelijk een half uur kosten. Maar als je het niet goed voorbereid kan het veel meer tijd kosten. Voor een groot deel is die informatie ook nodig, maar ik zie wel ruimte voor verbetering. Dan heb je nog de datalekken die veel voorkomen, dat telt op. Volgens de Politie komt het bijvoorbeeld duizenden keren voor dat medewerkers van PostNL handtekeningen van klanten vervalsen. Dat zou neerkomen op tientallen weken fulltime werk om alleen al het formulier (á 30 min per keer) in te vullen. Dat telt dus op bij datalekken die vaak voorkomen. Het komt zo dus voor dat hele categorieën datalekken die te vaak voorkomen dus niet gemeld worden omdat het teveel werk is.

[Reactie gewijzigd door Floort op 6 februari 2020 16:48]

Ik denk dat er veel niet gemeld of opgemerkt wordt.

Ik krijg bijvoorbeeld de laatste maanden steeds meer fishing smsjes binnen die doelgericht zijn; of ik een kaartje wil kopen voor een festival waar ik ooit eens geweest ben. (Zonder enige online trace behalve dan de database van de e-ticket vendor waar combi telefoonnummer en festival te vinden is).
Toevallig elke keer festivals die via dezelfde vendor gegaan zijn.

Ook via e-mail. De hele recruitment wereld is natuurlijk 1 groot datalek. Ongevraagd wordt je CV en NAW gegevens gedeeld met de hele wereld.

Krijg je ineens een mailtje van een recruitment partij waar je nooit van gehoord hebt; 'of ze je gegevens mogen bewaren omdat ze dat na een jaar moeten vragen'
Heb je dan initieel ooit toestemming gevraagd!?
gegeven het feit dat Nederland koploper is van het aantal meldingen in de EU (en dan hebben we het over het aantal meldingen, niet ten opzichte van bijv. inwoners) denk ik dat het in Nederland zo slecht nog niet is met het aantal meldingen.

Maar dat wil uiteraard nog niet zeggen dat iedereen zich netjes aan de wetgeving houdt. Je zou mijn SMS inbox op mijn UAE nummer eens moeten zien. Daar zijn de meeste 4-digit nummers ondertussen op geblokkeerd wat betreft notificaties, gewoon omdat er zoveel spam binnenkomt.
Een datalek is wat anders dan breken van de AVG regels bij doorverkoop van jouw gegevens.
Het is niet moeilijk dat het aantal aangiften in Nederland hoger is dan in België. In België is er geen mogelijkheid om als consument aangifte te doen.
In België is er geen mogelijkheid om als consument aangifte te doen.
Dan overtreedt België de wet. Hun waakhond moet gedeponeerde klachten van alle betrokkenen, dwz data-subjects afhandelen. Dat valt onder hun wettelijk vastgesteld takenpakket.
Article 57 - Tasks

1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:

[...]

(f)
handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

[Reactie gewijzigd door R4gnax op 6 februari 2020 21:27]

Glas, plas, was
Interessanter is wanneer hier nu eindelijk iets aan gedaan word zodat je gegevens niet buiten je eigen macht op straat komen te liggen x27.000


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True