Gegevensbeschermingsautoriteit ontving vorig jaar 1529 datalekmeldingen

De Belgische Gegevensbeschermingsautoriteit ontving vorig jaar 1529 datalekmeldingen. Dat is een groei van bijna 300. De toezichthouder wijt de stijging onder andere aan het thuiswerken in coronatijd. Het aantal meldingen is een stuk lager dan in Nederland.

Woordvoerder Aurélie Waeterlinckx zegt tegen krant De Zondag dat de toezichthouder 'in de afgelopen twaalf maanden' 1529 meldingen ontving van een datalek. Dat zegt Waeterlinckx naar aanleiding van de vierde verjaardag van de AVG die vorige week plaatsvond. Het gaat dus niet om 2021 maar om de periode tussen mei 2021 en mei 2022. De GBA heeft het jaarverslag van 2021 nog niet gepubliceerd. Het aantal datalekken steeg relatief sterk: in het jaar ervoor kreeg de Gegevensbeschermingsautoriteit er nog 1232.

Het gaat alleen om het aantal meldingen van datalekken. Dat kan bijvoorbeeld het geval zijn als een bedrijf door ransomware wordt getroffen, maar ook als iemand ontvangers van een e-mail per ongeluk in de cc in plaats van de bcc zet. Waeterlinckx noemt tegen De Zondag geen onderscheid tussen die verschillende soorten meldingen. Ook noemt de woordvoerder niet hoeveel privacytips of -klachten zijn binnengekomen.

De toezichthouder wijt de stijging van klachten aan het thuiswerken door de coronapandemie. "Dat het aantal meldingen van datalekken de voorbije twee jaar gestegen is, heeft te maken met de versnelling van de digitalisering in onze maatschappij tijdens de coronapandemie. Deze digitalisering leidt tot meer risico's ten aanzien van persoonsgegevens en de persoonlijke levenssfeer. Mensen werken vaker van thuis uit, waardoor een veilige verbinding met het bedrijfsnetwerk noodzakelijk is." Waeterlinckx zegt ook dat die digitalisering voor een toename in cybercrime zorgt.

Hoewel het aantal meldingen bij de GBA stijgt, vallen de cijfers in het niet bij die uit Nederland. De Autoriteit Persoonsgegevens ontving in 2021 24.866 datalekmeldingen. Daarvan waren er 2210 afkomstig van cyberaanvallen. Onlangs zei de AP nauwelijks onderzoek te kunnen doen naar datalekmeldingen vanwege een te kleine capaciteit.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 30-05-2022 12:08 20

30-05-2022 • 12:08

20

Lees meer

Elektronicaketen BCC wil winkelassortiment beperken om weer winst te behalen
Elektronicaketen BCC wil winkelassortiment beperken om weer winst te behalen Nieuws van 14 juni 2023
Aantal privacyklachten steeg in België in 2021 met 181 procent naar 1929
Aantal privacyklachten steeg in België in 2021 met 181 procent naar 1929 Nieuws van 18 november 2022
Belgische privacywaakhond geeft in 2023 aandacht aan cookies en smart cities
Belgische privacywaakhond geeft in 2023 aandacht aan cookies en smart cities Nieuws van 15 november 2022
AP: persoonsgegevens doorsturen naar kerken moet stoppen
AP: persoonsgegevens doorsturen naar kerken moet stoppen Nieuws van 7 september 2022
Ex-voorzitter Belgische GBA kan ontslag niet aanvechten via snelprocedure
Ex-voorzitter Belgische GBA kan ontslag niet aanvechten via snelprocedure Nieuws van 18 augustus 2022
Enisa: merendeel van ransomware-infecties wordt niet gemeld aan autoriteiten
Enisa: merendeel van ransomware-infecties wordt niet gemeld aan autoriteiten Nieuws van 2 augustus 2022
Nieuwe ontslagen tonen oude problemen bij Gegevensbeschermingsautoriteit
Nieuwe ontslagen tonen oude problemen bij Gegevensbeschermingsautoriteit Nieuws van 22 juli 2022
Belgische uitgever van Le Soir krijgt 50.000 euro AVG-boete vanwege cookiewall
Belgische uitgever van Le Soir krijgt 50.000 euro AVG-boete vanwege cookiewall Nieuws van 16 juni 2022
Gemeente Enschede moet boete van 600.000 euro voor wifi-tracking alsnog betalen
Gemeente Enschede moet boete van 600.000 euro voor wifi-tracking alsnog betalen Nieuws van 31 mei 2022
Toezichthouder geeft Knack en Le Vif 50.000 euro AVG-boete voor cookiepop-up
Toezichthouder geeft Knack en Le Vif 50.000 euro AVG-boete voor cookiepop-up Nieuws van 25 mei 2022
Belgische spoorwegmaatschappij krijgt AVG-boete voor versturen nieuwsbrief
Belgische spoorwegmaatschappij krijgt AVG-boete voor versturen nieuwsbrief Nieuws van 5 mei 2022
België werkt aan nieuwe berichtenapp voor communicatie met burgers
België werkt aan nieuwe berichtenapp voor communicatie met burgers Nieuws van 11 april 2022
Vliegvelden krijgen tot 200.000 euro AVG-boetes voor coronatemperatuurmetingen
Vliegvelden krijgen tot 200.000 euro AVG-boetes voor coronatemperatuurmetingen Nieuws van 4 april 2022
Belgische centrale databank met vonnissen en arresten moet in 2023 klaar zijn
Belgische centrale databank met vonnissen en arresten moet in 2023 klaar zijn Nieuws van 31 maart 2022
Europa stopt onderzoek naar Belgische privacywaakhond na vertrek topman
Europa stopt onderzoek naar Belgische privacywaakhond na vertrek topman Nieuws van 9 februari 2022
AP: sites moeten stoppen met IAB-advertentiesysteem en volgen van gebruikers
AP: sites moeten stoppen met IAB-advertentiesysteem en volgen van gebruikers Nieuws van 8 februari 2022
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming België Datalek gegevensbeschermingsautoriteit

Reacties (20)

-Moderatie-faq
20
20
9
1
0
8
Wijzig sortering
MetalSonic 30 mei 2022 12:10
Bijna alles is nu al een datalek in Nederland. Helemaal bij de bank. Ik werk bij een bank waar het al zo is dat als een klant zijn adreswijziging niet doorgeeft en er nog een keer een brief naar het oude adres gaat dat dat al een datalek is. Ook al is de brief via een forward service doorgestuurd naar het nieuwe adres en is het verder NIET ingezien door mensen die het niet mogen lezen. Tja dan gaat het al heel snel.
Floort
@MetalSonic30 mei 2022 13:09
Alle inbreuken op de beveiliging van persoonsgegevens moeten (art. 33(5) AVG) intern worden geregistreerd. Afhankelijk van het risico van betrokkenen moeten de toezichthouder en/of de betrokkenen worden geïnformeerd. Banken hebben overigens een ongemakkelijke uitzonderingspositie op de meldplicht. Nu is zo'n interne registratieplicht niets nieuws als je kijkt naar de gangbare security compliance frameworks waar een incidentenregister al standaard praktijk is.

Waar wat meer aandacht aan besteed mag worden wat mij betreft is de houding dat een inbreuk registreren en/of melden ook als iets negatiefs wordt gezien. De GBA blijft daar heel netjes neutraal in, maar de Nederlandse AP heb ik herhaaldelijk opmerkingen zien maken in de richting dat meer meldingen een slecht teken is. Ik zou zeggen: maak het intern melden en registreren zo laagdrempelig mogelijk, net als het extern melden. Zowel de interne security-afdeling als de toezichthouder zouden niet moeten willen dat incidenten (selectief) niet gemeld worden omdat men het melden of de gevolgen daarvan niet leuk vind.

Aangenomen dat je omschrijving klopt en je geen relevante details hebt achtergehouden lijkt het voorbeeld dat je omschrijft overigens niet meldplichtig te zijn. Het is wat lastiger als je niet weet of de onbedoelde ontvanger(s) wel iets van de inhoud hebben gezien. Toch waardevol om het intern te registreren zodat men kan monitoren hoe groot dit risico is.
tagersenim @MetalSonic30 mei 2022 12:18
Dit zorgt wel voor ‘datalek inflatie’, zo worden datalekken een onderdeel van de normale gang van zaken. Is er een keer écht een datalek, dan wordt dat met dezelfde lage prioriteit opgepakt als de andere 99 datalekken die dag.
Rubenus @MetalSonic30 mei 2022 12:22
Maar dat betekent niet dat het datalek altijd aan de AP gemeld hoeft te worden. Ook vind ik het goed dat dergelijke datalekken wel als zodanig worden geclassificeerd. Ik wil als gegevenseigenaar toch graag weten waar mijn gegevens zijn verspreid, per ongeluk of niet.

Ook kun je als organisatie hiermee systematische fouten ontdekken en oplossen. Incidenten zullen er altijd blijven.

[Reactie gewijzigd door Rubenus op 23 juli 2024 06:13]

GertMenkel @MetalSonic30 mei 2022 12:22
De meeste "overdreven" overtredingen waren al jaren een datalek, alleen nu moet er worden gehandeld. De AVG was al jaren behoorlijk strikt maar niemand gaf er een reet om en het AP krijgt nog steeds niet genoeg geld om haar taak te verrichten.

Het lijkt me sterk dat het AP iets geeft om een melding waar een klant daadwerkelijk hun adres niet gewijzigd heeft (en niet, zoals bij mij destijds gebeurde, dat de bank de wijziging pas na een week in het systeem heeft omdat de bureaucratie zo langzaam is). Dat soort meldingen zijn alleen maar overdreven en als je baas dit soort onzin daadwerkelijk los opstuurt naar het AP dan zie ik wel waarom ze zo overbelast zijn.
Amandess @MetalSonic30 mei 2022 16:39
Tsja, zo kreeg ik via de post de volledige hypotheek gegevens die gingen over het nieuwe huis die vorige eigenaars van mijn huis hadden gekocht.

Ik woonde er al een jaar en had dezelfde bank, dus dat het niet voor mij was viel me pas op nadat ik de envelop open gemaakt had. Wat mij betreft is dit dus ook een data lek, want je het kan mij niet kwalijk nemen dat ik post open maak die bij mij in de brievenbus zit.

Als je net verhuist bent houd je er de eerste paar maanden rekening mee dat er nog post kan komen van de oude bewoners, maar na een jaar nog? Post van winkels waar mensen incidenteel iets kopen begrijp ik, maar van een bank die gevoelige gegevens per post verstuurd vind ik dat toch een ander verhaal.
CH4OS
@MetalSonic30 mei 2022 13:25
Het gaat dan overigens niet om de adresgegevens, maar de gegevens waarover gesproken wordt in de brief, zoals het rekeningnummer.
SMGGM
@MetalSonic30 mei 2022 13:41
Volgens het GDPR wetboek is het als volgt:
‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

Notification of a personal data breach to the supervisory authority
  • In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.
  • ...
Artikel 33: https://eur-lex.europa.eu...R0679&from=EN#d1e3434-1-1
Artikel 4 (12): https://eur-lex.europa.eu...R0679&from=EN#d1e1489-1-1
Op basis van het voorbeeld dat je aanhaalt is het hier wel een personal data breach en hoort deze gemeld te worden, tenzij "unlikely to result in a risk to the rights and freedoms of natural persons". Natuurlijk, dat is zeer ruim en ontzettend vatbaar voor interpretatie.
Een bank stuurt natuurlijk vaak zeer gevoelige informatie op naar klanten, dus je kan al snel oordelen dat het meldingsplichtig is (briefgeheim is al meteen een recht dat geschonden kan worden door een brief naar een foutief adres te sturen).

[Reactie gewijzigd door SMGGM op 23 juli 2024 06:13]

mjtdevries @SMGGM30 mei 2022 18:05
In dit voorbeeld is het duidelijk dat het wel een data breach is, maar niet meldingsplichtig.
Een dergelijke situatie staat beschreven in de appendix van de guidelines datalekken van de AP:
https://autoriteitpersoon...meldplicht_datalekken.pdf
Maduropa 30 mei 2022 12:49
Dat is heel weinig als je kijkt naar Nederland, daar staan voor 2021 bijna 25.000 gemelde datalekken.
Doen we het dan in Nederland heel slecht, of meldt men in België in verhouding bijna niets of wij juist te veel ?
SMGGM
@Maduropa30 mei 2022 13:48
Ik gok dat Belgen gewoon minder snel gaan klagen en dat ze in Nederland sneller schrik hebben omdat men er mondiger is. Als er een klacht binnen komt bij de GBA en het bedrijf heeft het zelf al gemeld dan is er eigenlijk weinig "ergs" want dan waren de instanties ten minste op de hoogte.
Als de GBA een klacht binnen krijgt en het bedrijf heeft geen melding gedaan dan gaat GBA mogelijk verder in onderzoek. Omdat Nederlanders puur uit karakter gewoon mondiger zijn denk ik dat het daar misschien mee te maken heeft.

Andere (logische) verklaring: er is gewoon te weinig volk dat bij GBA werkt. Ik dacht dat daar amper wat mensen werken. Als je niet genoeg volk hebt om de meldingen te behandelen, dan ga je automatisch ook minder melding hebben.
litebyte 30 mei 2022 12:13
Dit is dus slechts een fractie van het werkelijke aantal....datalek 'incidenten'

Als toevoeging
We lopen zo voorop in Nederland als het aankomt op digitale communicatie en infrastructuur. Maar Nederland loopt zo hopeloos achter in het handhaven van regelgeving (niet alleen aangaande digitale zaken)

Je hebt als verdigitaliseerd land wel een minister voor klimaat, maar nog steeds geen minister voor digitale zaken & infrastructuur. Onbegrijpelijk.

[Reactie gewijzigd door litebyte op 23 juli 2024 06:13]

PolarBear @litebyte30 mei 2022 12:39
Er is een staatsecretaris voor. Maar overal maar aparte ministers voor elk vakgebied aanstellen lost niets op. Zaken als gegevensbescherming moeten op alle ministeries waar dat speelt aandacht krijgen.
CAPSLOCK2000
@PolarBear30 mei 2022 13:02
Inderdaad, hoewel het goed is dat er nu een staatssecretaris is zet dat geen zoden aan de dijk als de rest nu denkt dat ze er niks meer mee te maken hebben.

Het lijkt een beetje alsof we een staatsecretaris van "water" hebben die moet zorgen voor vaarwegen, drinkwater, het weerbericht, schaatsbanen, ijsklontjes in de cola, zeespiegelstijging voorkomen en zorgen dat iedere Nederlander iedere dag voldoende water drinkt want "het volk" gaat lui achterover zitten met de lippen stijf op elkaar want water is de taak van de staatsecretaris.

IT is als elektriciteit. Het is overal en je moet er voortdurend rekening mee houden, wat je ook doet. Zelfs als je 99.9% van de tijd kan vertrouwen op automatismes en je blind op de lichtknop kan drukken moet je snappen dat als de knop stuk gaat en je rauw koper ziet je daar vanaf moet blijven. Zo'n besef is er vaak niet.
litebyte @CAPSLOCK200030 mei 2022 16:41
Exact.
Het is al eerder vastgesteld (ook hier in de onderwerpen) digitale infrastructuur, maar zeker ook digitale veiligheid (en dus privacy) voor de bevolking heeft geen/nauwelijks prioriteit en het belang van de waarde van privacy voor de bevolking is er bij menig publiek bestuurder vaak niet of de kennis ontbeert terwijl vrijwel elk ministerie errmee te maken heeft. Dit geldt zowel voor Belgie als Nederland. Ex-minister Grapperhaus was daar een goed voorbeeld van.

Dit zijn best wel schrikbarende resultaten, zal in Nederland niet ander zijn. Maar wij hebben nu een staatssecretaris, die zal er wel bovenop zitten.
mjtdevries @litebyte30 mei 2022 12:51
Nederland loopt zo hopeloos achter in het handhaven van regelgeving (niet alleen aangaande digitale zaken)
Wat betreft effect van de regelgeving lopen we juist ver voor.
Het doel van de regelgeving is niet om boetes uit te delen. Het is doel is te zorgen dat persoonsgegevens beter beschermd worden.
Het mag duidelijk zijn dat Nederlandse bedrijven die regelgeving veel serieuzer nemen dan Belgische, want anders hadden die veel meer datalekken gemeld gekregen.

Datalekken worden vooral veroorzaakt door menselijke fouten. De enige aannemelijk verklaring voor het lage aantal in België is dat bedrijven de lekken daar niet melden.
En dan is het ook aannemelijk dat ze de lekken minder goed behandelen en minder goede maatregelen nemen om het in de toekomst te voorkomen.

Neemt niet weg dat ik graag zou zien dat de AP meer FTE besteed aan onderzoek en handhaving. Maar denken dat de situatie in België beter is, is echt je kop in het zand steken.
kalse 30 mei 2022 12:48
Er wordt sowieso natuurlijk veel minder officieel gemeld dan dat er daadwerkelijk datalekken zijn. Het werkelijke aantal zal dus wel hoger liggen. Je kunt je ook nog afvragen of iedereen het herkent en dan de juiste stappen weet te doorlopen. Vaak worden dingen intern opgelost omdat men geen zin heeft in de registratie bij de AP. En wetende dat er in de meeste gevallen daar toch ook (vanwege gebrek aan personeel) niets mee gedaan wordt, zullen de meeste mensen het dus maar zo laten. Excuus briefje of mail de deur uit en het is "opgelost". De vraag is wel of je als consument eerder de stap naar de AP zou moeten maken.

Laatst meegemaakt met een brief van een school die met alle 269 adressen in de "aan" verstuurd is. Melding gemaakt bij de school en die hebben (gelukkig) een melding gemaakt bij de AP. Niet in me opgekomen om dat zelf te doen....
KuroHana 30 mei 2022 13:02
Tja dit konden we al weten tog? Elke 2 weken gaf tweakers nieuws data lek, of hackers hebben gegevens gestolen, ik vind het knap waarom we nog aan privacy doen , ik vind het knap dat nederland nog met het woord “privacy” gooi , we hebben helemaal geen privacy meer, het is gewoon een schuilwoord nu,

Het is allemaal zo goed geregeld in nederland met privacy dat als je een website bezoek dat de hele wereld het weet, of als je een lening bij de bank neem komen ze allemaal aan je duer “wilt u uw lening oversluiten naar ons” dan bespaar je zo genaamd honderde euros, vreemd tog ?

En ik denk dat covid een deel hiervan uitgemaakt heb, nu hebben we meer registraties van mensen die nog niet bekend waren tog ?
Groningerkoek @KuroHana30 mei 2022 13:18
Leuk verhaal.. Maar dit gaat over België.
kodak
30 mei 2022 13:18
Is het toeschrijven aan meer meldingen door thuiswerken ook onderbouwd in de meldingen en processen?

Er valt niet zomaar te beweren dat risico door anders digitaal werken toenemen om dan gelijktijdig te suggereren dat het zorgt voor minder risico op onvolledige processen om lekken te herkennen en melden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq