Autoriteit Persoonsgegevens ontving bijna 27.000 datalekmeldingen in 2019

De Autoriteit Persoonsgegevens heeft vorig jaar 26.956 meldingen van datalekken ontvangen. Dat is een stijging van 29 procent ten opzichte van het jaar daarvoor. Er lopen nog drie onderzoeken naar datalekken die het gevolg zijn van gebrekkige beveiliging.

Volgens de AP worden in Nederland per inwoner de meeste datalekken gemeld van alle Europese landen. De privacytoezichthouder wijst er in zijn verslag op dat het meer capaciteit nodig heeft om het gestegen aantal datalekmeldingen grondig te kunnen onderzoeken. De AP zegt al jaren dat de organisatie onderbezet is en daardoor soms geen adequaat onderzoek kan doen.

Bij 1180 meldingen heeft de AP actie ondernomen richting de organisatie die het lek heeft gemeld. In de meeste gevallen ging dat om contact voor het opvragen van aanvullende informatie. In 10 procent van de gevallen is er een 'normuitleggende brief' gestuurd en bij 5 procent van de gevallen is er een gesprek gevoerd met de organisatie om op de privacyregels te wijzen en aan te dringen op maatregelen.

De 26.956 meldingen zijn binnengekomen via het meldloket datalekken op de AP-website. De privacyautoriteit heeft daarnaast van andere Europese toezichthouders 75 meldingen ontvangen van grensoverschrijdende datalekken. Ook deelt de AP zelf meldingen over grensoverschrijdende datalekken met andere EU-landen. De toezichthouder noemt als voorbeeld een 'melding van een grote verzekeringsmaatschappij waarbij data werd gesloten uit een kluis'. Dat gaat over de diefstal bij Allianz. Volgens de AP zijn er verschillende Europese privacytoezichthouders bij die zaak betrokken.

Vorig jaar gaf de AP voor het eerst een boete aan een organisatie voor een datalek. Het Haagse Haga Ziekenhuis moet 460.000 euro betalen vanwege de slechte beveiliging van patiëntdossiers. Er lopen nog drie andere onderzoeken naar datalekken die het gevolg zijn van gebrekkige beveiliging; die onderzoeken kunnen een boete opleveren. Om welke bedrijven of instanties het gaat, is niet bekend.

Volgens de AP zijn er vorig jaar 28 nieuwe onderzoeken gestart bij organisaties die mogelijk een datalek hadden moeten melden en dat niet of te laat hebben gedaan. Er zijn ook 5 onderzoeken afgerond in die categorie, die 'kunnen leiden tot een sanctie'. Daarnaast zijn er 10 onderzoeken naar niet-gemelde datalekken afgerond die hebben geleid tot een 'alternatieve interventie'. In zo'n geval organiseert de AP een normuitleggend gesprek of stuurt de organisatie een waarschuwing. Er lopen nog 15 onderzoeken.

Naast datalekmeldingen door instanties en bedrijven ontvangt de AP ook klachten en signalen over mogelijke datalekken. De autoriteit heeft naar aanleiding van dergelijke meldingen 'circa 70' acties ondernomen richting organisaties.

De financiële sector was goed voor 30 procent van de datalekken. In die categorie ging het in 71 procent van de gevallen om een factoring bureau. Volgens de AP gaat het dan meestal om een klein datalek zoals een herinneringsbrief voor een openstaande factuur die geopend retour komt. Het percentage datalekmeldingen uit de zorgsector was 28 procent en bij openbaar bestuur was dat 17 procent. Die top drie is vergelijkbaar met voorgaande jaren. In 2019 ontving de AP een kwart meer meldingen naar aanleiding van hacking, phishing of malware. Volgens de autoriteit lijken vooral grotere organisaties die persoonsgegevens van veel mensen verwerken hier doelwit van.

Rapportage datalekmeldingen

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 06-02-2020 09:48 28

06-02-2020 • 09:48

28

Lees meer

Hoe staan we ervoor na één jaar AVG?

4 jun 2019

Hoe staan we ervoor na één jaar AVG?

Serieuze handhaving laat op zich wachten

153
Ruim 92.000 leden en oud-leden van Forum voor Democratie getroffen door datalek
Ruim 92.000 leden en oud-leden van Forum voor Democratie getroffen door datalek Nieuws van 1 december 2022
Datalek bij Máxima Medisch Centrum blijkt op straat gevonden papiertje te zijn
Datalek bij Máxima Medisch Centrum blijkt op straat gevonden papiertje te zijn Nieuws van 5 januari 2022
Autoriteit Persoonsgegevens kan stroom aan privacyklachten niet aan
Autoriteit Persoonsgegevens kan stroom aan privacyklachten niet aan Nieuws van 12 maart 2021
Privacywaakhond: aantal hacks gericht op persoonsgegevens groeide met 30 procent
Privacywaakhond: aantal hacks gericht op persoonsgegevens groeide met 30 procent Nieuws van 1 maart 2021
H&M krijgt boete van 35 miljoen euro voor verzamelen van gegevens van werknemers
H&M krijgt boete van 35 miljoen euro voor verzamelen van gegevens van werknemers Nieuws van 2 oktober 2020
Autoriteit Persoonsgegevens wil aantal werknemers volgend jaar bijna verdubbelen
Autoriteit Persoonsgegevens wil aantal werknemers volgend jaar bijna verdubbelen Nieuws van 29 juni 2020
Proximus krijgt recordboete van 50.000 euro voor schenden van AVG
Proximus krijgt recordboete van 50.000 euro voor schenden van AVG Nieuws van 19 mei 2020
Europese privacytoezichthouder: AVG hindert bestrijding van coronapandemie niet
Europese privacytoezichthouder: AVG hindert bestrijding van coronapandemie niet Nieuws van 17 maart 2020
Autoriteit Persoonsgegevens deelt AVG-boete van 525.000 euro uit aan tennisbond
Autoriteit Persoonsgegevens deelt AVG-boete van 525.000 euro uit aan tennisbond Nieuws van 3 maart 2020
Nederlandse cryptoexchange Anycoin Direct maakt melding van datalek
Nederlandse cryptoexchange Anycoin Direct maakt melding van datalek Nieuws van 28 februari 2020
Autoriteit Persoonsgegevens gaat bedrijven met PSD2-vergunning onderzoeken
Autoriteit Persoonsgegevens gaat bedrijven met PSD2-vergunning onderzoeken Nieuws van 24 februari 2020
Nederland is goed voor een kwart van alle Europese datalekmeldingen
Nederland is goed voor een kwart van alle Europese datalekmeldingen Nieuws van 20 januari 2020
Autoriteit Persoonsgegevens deelt AVG-boete van 460.000 euro uit aan ziekenhuis
Autoriteit Persoonsgegevens deelt AVG-boete van 460.000 euro uit aan ziekenhuis Nieuws van 16 juli 2019
Meer producten en artikelen
Politiek en recht Privacy Autoriteit Persoonsgegevens Datalek gdpr Nederland

Reacties (28)

-Moderatie-faq
28
28
9
1
0
19
Wijzig sortering

Sorteer op:

Weergave:
Zynth 6 februari 2020 09:54
Dan blijft en rijst dus nu de vraag; wat als je veel om privacy geeft.
Hoe overleef je dan in de huidige wereld, waar per jaar alleen in Nederland al 27.000 gevallen van uitgelekte gegevens bekend zijn.

Volgens het princiepe; niemand is zo zuinig op je spullen als jij zelf, zou je dus nooit je gegevens willen geven aan een ander.
Zou het recht op anonimiteit niet een mensenrecht moeten zijn?

[Reactie gewijzigd door Zynth op 23 juli 2024 18:58]

Blokker_1999
@Zynth6 februari 2020 10:11
Niet, of zo goed als niet. Van zodra iemand jouw een factuur moet kunnen sturen dan moet je wel gegevens achterlaten. Denk bijvoorbeeld maar aan nutsvoorzieningen. Maar ook belastingen natuurlijk. Zelfs als je in een huisje in het bos gaat wonen zonder aansluiting op water of elektriciteit dan zal je nog altijd bekend moeten zijn bij de overheid en loop je nog altijd risico dat er gegevens van je uitlekken.

Merk ook dat recht op privacy (wat je wel hebt) nog alijtd niet het recht op anonimiteit is. In een rechtstaat is dat laatste heel moeilijk te verwezenlijken.

[Reactie gewijzigd door Blokker_1999 op 23 juli 2024 18:58]

wjn @Blokker_19996 februari 2020 12:52
Nu is het mooie dat je als ondernemer niet verplicht bent aan consumenten een factuur te sturen. Dus het hoeft helemaal niet (bij de AH krijg je ook geen factuur, maar een kassabon als bewijs voor betaling).
R4gnax
@wjn6 februari 2020 21:09
Nu is het mooie dat je als ondernemer niet verplicht bent aan consumenten een factuur te sturen. Dus het hoeft helemaal niet (bij de AH krijg je ook geen factuur, maar een kassabon als bewijs voor betaling).
Precies. Maar vertel dat bijv. eens aan Valve. Steam verplicht sinds de jaarwisseling het opgeven van je volledige factuuradres -- tijdje zelfs telefoonnummer; compleet achterlijk -- bij elke digitale aankoop.

En laat Steam nou net een organisatie zijn die al twee keer een gigantisch data lek gehad heeft en een reputatie heeft er totaal verkeerd mee om te gaan; veel te lange responstijd en achteraf doofpot. En ze zijn ook nog eens lomp groot en een daadwerkelijke target.

[Reactie gewijzigd door R4gnax op 23 juli 2024 18:58]

biggydeen2 @Zynth6 februari 2020 10:27
Dat werkt twee kanten op. Als iedereen veel makkelijker anoniem blijft zullen illegale zaken ook makkelijker zijn. Alleen werkt het de andere kant niet op zoals men tegenwoordig ons steeds probeert wijs te maken.

In een rechtstaat waar ze alles van je willen weten en het monetaire stelsel waar je simpelweg niet anoniem aan kunt deelnemen is anoniem zijn onmogelijk.
Puc van S. 6 februari 2020 09:58
De financiële sector was goed voor 30 procent van de datalekken. In die categorie ging het in 71 procent van de gevallen om een factoring bureau. Volgens de AP gaat het dan meestal om een klein datalek zoals een herinneringsbrief voor een openstaande factuur die geopend retour komt.
Hier kan je natuurlijk als bedrijft niet direct heel veel tegen doen, als mensen post die niet aan hun geadresseerd is openen..

Los van pushen tot digitale communicatie / proberen je klanten te bewegen hun adresgegeven bij te houden.
R4gnax
@Puc van S.6 februari 2020 21:19
Hier kan je natuurlijk als bedrijft niet direct heel veel tegen doen, als mensen post die niet aan hun geadresseerd is openen.
Je kunt de post-retour opties op de envelop verwerken, zoals bijv. Essent doet.

Je kunt ook reageren als mensen post retour sturen met de melding dat de geaddresseerde niet bekend is bij hen, en stoppen met het verzenden van herhalingen.

Ik heb het zelf gehad met niet aan mij geaddresseerde post, ironisch afkomstig van de zakelijke afdeling van PostNL zelf. Drie keer teruggestuurd met de melding dat geadresseerde niet bij mij bekend was. Brieven bleven maar komen. Na een tijd uiteindelijk maar één open gemaakt; bleek het de finale aanmaning te zijn voor een openstaande rekening: snel betalen, of er werd een gerechtsdeurwaarder ingeschakeld.

Gelukkig met een contact-telefoonnummer, zodat ik nog net op tijd de dodos bij PostNL kon inlichten voordat ik met een hoop ongein te maken had kunnen krijgen. (Leuk man; als zelfs de postbedrijven hun adresinformatie niet op orde hebben...)
TheNephilim 6 februari 2020 09:58
Hoeveel van die melding zijn niet van mensen die een appeltje te schillen hebben met een bedrijf/organisatie? In de strekking van; "volgens mij mag dit helemaal niet volgens de privacywet", zonder zich ook maar verdiept te hebben in de AVG en dus puur om te zeuren.
Blokker_1999
@TheNephilim6 februari 2020 10:08
Als ik me niet vergis moet de melding komen van de organisatie die de gegevens verwerkt, niet van iemand die ze (zogenaamd) is tegengekomen. Er is een plicht om lekken tijdig te melden in vele, maar niet alle, gevallen.

[Reactie gewijzigd door Blokker_1999 op 23 juli 2024 18:58]

CAPSLOCK2000
@Blokker_19996 februari 2020 11:30
Als ik me niet vergis moet de melding komen van de organisatie die de gegevens verwerkt, niet van iemand die ze (zogenaamd) is tegengekomen. Er is een plicht om lekken tijdig te melden in vele, maar niet alle, gevallen.
Zo zou het inderdaad moeten zijn, maar je kan wel degelijk zelf aangifte doen als jij denkt dat het verantwoordelijke bedrijf dat niet heeft gedaan.
Blokker_1999
@CAPSLOCK20006 februari 2020 14:47
Maar ik neem aan dat de AP dan gaat controleren of het lek wel echt bestaat voordat het nog maar in de statistiek wordt meegenomen of er een echt onderzoek wordt gestart en niet, zoals TheNephilim aanhaald, bedrijven in de problemen komen omdat iemand even een briefje stuurt.
CAPSLOCK2000
@TheNephilim6 februari 2020 11:29
Heb je een reden om aan te nemen dat dit meer gebeurt dan bij andere zaken die je moet melden?
Ik zie genoeg overtredingen om me heen dat dat niet nodig is. Ik heb zelf verschillende zaken doorgegeven, zoals een verloren laptop en daar zaten geen gevoelens bij, het is simpelweg een zakelijke registratie van de feiten. Bedrijven moeten het melden als er iets gebeurt en als ze verder netjes met de zaak omgaan is er niks aan de hand.
TheNephilim @CAPSLOCK20006 februari 2020 16:02
Nee maar het gaat me vooral om dingen als "de lokale biljart vereniging waar ik ooit lid van was stuurt me een nieuwsbrief terwijl ik 2 jaar geleden gestopt ben". Nu is dat niet de bedoeling, helder, maar dit soort relatief kleine 'vergrijpen' zou wellicht een groot deel van het aantal meldingen kunnen zijn.
whiner 6 februari 2020 12:27
We zitten hier ons druk te maken over persoonsgegevens, maar ondertussen gebruikt iedereen gewoon Google, facebook, instagram, linkedin etc.

Het is gewoon een wassen neus AVG, want de bedrijven tegen wie de burger beschermd moeten worden zijn onschendbaar. Soms krijgen ze een boete van een paar miljoen, maar dat doet ze helemaal niets.

Geef dezelfde boete aan een midden / klein bedrijf dat waarschijnlijk niet eens moedwillig de privacy schend , en het gaat failliet.
Sannr2 6 februari 2020 10:00
Er lijkt in Nederland het idee te bestaan dat je als bedrijf elk datalek moet melden. Dat is niet correct, sommige hoef je alleen zelf vast te leggen. De AP heeft zelfs een handige voorbeeld lijst: https://autoriteitpersoon...et_melden_datalek_def.pdf
TijsZonderH Nieuwscoördinator @Sannr26 februari 2020 10:11
Maar een melding doen is gratis en kost niet veel tijd, ik snap wel dat je als bedrijf dan het zekere voor het onzekere neemt.
jpsch @TijsZonderH6 februari 2020 11:52
Het staat ook goed in je jaarverslag dat je de wet en privacy serieus neemt.
whiner @jpsch6 februari 2020 12:20
Het is alleen niet goed voor je naam wanneer de media dit opblaast.
jpsch @whiner6 februari 2020 12:22
Met 27k datalekken per jaar is er altijd wel weer een spannendere voor de media.
Floort
@TijsZonderH6 februari 2020 15:58
Daar valt in de praktijk nog wel wat in te verbeteren. Verreweg de meeste tijd gaat zitten in het uitzoeken van de achterliggende informatie. Dat zou eigenlijk ook al moeten zonder meldplicht, dus dat zou ik niet aan de meldplicht willen toeschrijven, maar dat kan makkelijk een paar uur werk kosten. Dan is er nog het formulier. Invullen is gratis, maar het is een lang formulier. Zorgvuldig alle beschikbare informatie uit verschillende bronnen samenvoegen en invullen in het formulier kan makkelijk een half uur kosten. Maar als je het niet goed voorbereid kan het veel meer tijd kosten. Voor een groot deel is die informatie ook nodig, maar ik zie wel ruimte voor verbetering. Dan heb je nog de datalekken die veel voorkomen, dat telt op. Volgens de Politie komt het bijvoorbeeld duizenden keren voor dat medewerkers van PostNL handtekeningen van klanten vervalsen. Dat zou neerkomen op tientallen weken fulltime werk om alleen al het formulier (á 30 min per keer) in te vullen. Dat telt dus op bij datalekken die vaak voorkomen. Het komt zo dus voor dat hele categorieën datalekken die te vaak voorkomen dus niet gemeld worden omdat het teveel werk is.

[Reactie gewijzigd door Floort op 23 juli 2024 18:58]

Deslug 6 februari 2020 10:01
27.000 is best veel maar vraag me wel meteen af hoe veel of weinig dat bij onze buren is.
Blokker_1999
@Deslug6 februari 2020 10:09
nieuws: Nederland is goed voor een kwart van alle Europese datalekmeldingen
ctrl-tab 6 februari 2020 10:11
Ik denk dat er veel niet gemeld of opgemerkt wordt.

Ik krijg bijvoorbeeld de laatste maanden steeds meer fishing smsjes binnen die doelgericht zijn; of ik een kaartje wil kopen voor een festival waar ik ooit eens geweest ben. (Zonder enige online trace behalve dan de database van de e-ticket vendor waar combi telefoonnummer en festival te vinden is).
Toevallig elke keer festivals die via dezelfde vendor gegaan zijn.

Ook via e-mail. De hele recruitment wereld is natuurlijk 1 groot datalek. Ongevraagd wordt je CV en NAW gegevens gedeeld met de hele wereld.

Krijg je ineens een mailtje van een recruitment partij waar je nooit van gehoord hebt; 'of ze je gegevens mogen bewaren omdat ze dat na een jaar moeten vragen'
Heb je dan initieel ooit toestemming gevraagd!?
Blokker_1999
@ctrl-tab6 februari 2020 10:18
gegeven het feit dat Nederland koploper is van het aantal meldingen in de EU (en dan hebben we het over het aantal meldingen, niet ten opzichte van bijv. inwoners) denk ik dat het in Nederland zo slecht nog niet is met het aantal meldingen.

Maar dat wil uiteraard nog niet zeggen dat iedereen zich netjes aan de wetgeving houdt. Je zou mijn SMS inbox op mijn UAE nummer eens moeten zien. Daar zijn de meeste 4-digit nummers ondertussen op geblokkeerd wat betreft notificaties, gewoon omdat er zoveel spam binnenkomt.
SinergyX @ctrl-tab6 februari 2020 10:40
Een datalek is wat anders dan breken van de AVG regels bij doorverkoop van jouw gegevens.
depeje 6 februari 2020 13:32
Het is niet moeilijk dat het aantal aangiften in Nederland hoger is dan in België. In België is er geen mogelijkheid om als consument aangifte te doen.
R4gnax
@depeje6 februari 2020 21:24
In België is er geen mogelijkheid om als consument aangifte te doen.
Dan overtreedt België de wet. Hun waakhond moet gedeponeerde klachten van alle betrokkenen, dwz data-subjects afhandelen. Dat valt onder hun wettelijk vastgesteld takenpakket.
Article 57 - Tasks

1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory:

[...]

(f) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

[Reactie gewijzigd door R4gnax op 23 juli 2024 18:58]

Sergelwd 6 februari 2020 14:12
Glas, plas, was
Interessanter is wanneer hier nu eindelijk iets aan gedaan word zodat je gegevens niet buiten je eigen macht op straat komen te liggen x27.000

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq