Autoriteit Persoonsgegevens: aantal datalekmeldingen daalt licht

De Autoriteit Persoonsgegevens zegt er in de eerste helft van dit jaar iets minder datalekken zijn gemeld in vergelijking met de afgelopen jaren. De meldingen draaiden meestal om een e-mail, brief of postpakket waarbij persoonsgegevens zijn uitgelekt.

In de eerste zes maanden van 2024 waren er ruim 9800 datalekmeldingen, meldt het CBS op basis van voorlopige AP-cijfers. Dit is een lichte daling ten opzichte van de eerste helft van 2023 en 2022, toen er beide jaren ongeveer 10.500 datalekmeldingen waren. De Autoriteit Persoonsgegevens geeft geen verklaring voor deze daling.

Net als in voorgaande jaren ging het meestal fout bij een brief, postpakket of e-mail. Het gaat dan bijvoorbeeld om een brief of e-mail die naar de verkeerde persoon is gestuurd, of een brief die geopend retour is ontvangen of is kwijtgeraakt. In 8 procent van de gevallen was er sprake van een hack, malware of phishing. In de 'overige' gevallen, goed voor bijna 33 procent, ging het bijvoorbeeld om fouten in klantportalen, USB-sticks of papieren die kwijtraakten, of data die aan een verkeer dossier werd toegevoegd.

In de meeste gevallen werd 'alleen' de naam, contactgegevens en/of het geslacht uitgelekt. Het burgerservicenummer en financiële gegevens kwamen beide in 29 procent van de gevallen op straat. In 4 procent van de gevallen werd ook een paspoort of ander legitimatiebewijs uitgelekt. Bij bijna elk datalek, namelijk 88 procent, gaf de melder aan dat de data niet was gehasht, versleuteld of op enige andere manier ontoegankelijk gemaakt.

Bijna 7 op de 10 datalekmeldingen kwam van een groot bedrijf of grote organisatie met meer dan 250 werknemers. Dit is opvallend aangezien 0,2 procent van alle Nederlandse bedrijven meer dan 250 werknemers heeft. Een relatief klein aandeel bedrijven is dus verantwoordelijk voor het gros van de datalekmeldingen. Bedrijven met 50 tot 250 werknemers en 0 tot 50 werknemers meldden ieder zo'n 1400 datalekken. Bijna 5000 meldingen kwamen van organisaties in het openbaar bestuur, overheidsdiensten en bedrijven of organisaties in de gezondheids- en welzijnszorg.

Door Hayte Hugo

Redacteur

Feedback • 11-12-2024 11:02 34

11-12-2024 • 11:02

34

Lees meer

CBS gebruikt data van slimme energiemeters voor voorspellingen
CBS gebruikt data van slimme energiemeters voor voorspellingen Nieuws van 25 april 2025
AP kreeg vorig jaar veel meer datalekmeldingen door bulkmeldingen
AP kreeg vorig jaar veel meer datalekmeldingen door bulkmeldingen Nieuws van 21 maart 2025
Hackers voeren phishingaanvallen uit op adverteerders via neppe Google Ads
Hackers voeren phishingaanvallen uit op adverteerders via neppe Google Ads Nieuws van 17 januari 2025
RTL Nieuws: onschuldige mensen blijven structureel in databank van politie staan
RTL Nieuws: onschuldige mensen blijven structureel in databank van politie staan Nieuws van 30 december 2024
AP is kritisch op wetsvoorstel over delen van hypotheekgegevens met DNB
AP is kritisch op wetsvoorstel over delen van hypotheekgegevens met DNB Nieuws van 12 december 2024
Autoriteit Persoonsgegevens-nieuwsbrieven hadden 'onbedoeld' een trackingpixel
Autoriteit Persoonsgegevens-nieuwsbrieven hadden 'onbedoeld' een trackingpixel Nieuws van 10 december 2024
Autoriteit Persoonsgegevens heeft moeite met AVG-boetes buiten de EU innen
Autoriteit Persoonsgegevens heeft moeite met AVG-boetes buiten de EU innen Nieuws van 5 december 2024
Nederlandse gegevensuitwisselingswet WGS treedt op 1 maart 2025 in werking
Nederlandse gegevensuitwisselingswet WGS treedt op 1 maart 2025 in werking Nieuws van 4 december 2024
College voor mensenrechten en AP worden toezichthouder voor AI-verordening
College voor mensenrechten en AP worden toezichthouder voor AI-verordening Nieuws van 20 november 2024
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP Nieuws van 18 november 2024
Bestanden verzonden met SURFfilesender waren inzichtelijk voor onbevoegden
Bestanden verzonden met SURFfilesender waren inzichtelijk voor onbevoegden Nieuws van 14 november 2024
AP gaf kredietverzamelaar Experian boete en sancties na overtreden privacywet
AP gaf kredietverzamelaar Experian boete en sancties na overtreden privacywet Nieuws van 31 oktober 2024
LinkedIn krijgt AVG-boete van 310 miljoen euro vanwege verwerking persoonsdata
LinkedIn krijgt AVG-boete van 310 miljoen euro vanwege verwerking persoonsdata Nieuws van 24 oktober 2024
Gegevens van alle 63.000 Nederlandse politiewerknemers zijn gestolen bij hack
Gegevens van alle 63.000 Nederlandse politiewerknemers zijn gestolen bij hack Nieuws van 27 september 2024
Kamer van Koophandel gaat telefoonnummers ondernemers afschermen
Kamer van Koophandel gaat telefoonnummers ondernemers afschermen Nieuws van 24 september 2024
Meer producten en artikelen
Beveiliging en antivirus Privacy Autoriteit Persoonsgegevens CBS Datalek

Reacties (34)

-Moderatie-faq
34
34
20
0
0
12
Wijzig sortering
Marc H 11 december 2024 11:14
De Autoriteit Persoonsgegevens geeft geen verklaring voor deze daling.
Die organisatie is dusdanig overwerkt dat ze maar een heel klein percentage van alle meldingen in behandeling nemen. Het zou mij niet verbazen als er een meld vermoeidheid optreed als er toch niets met je meldingen wordt gedaan.
Dekar @Marc H11 december 2024 11:21
Ik meld niks meer. Ik krijg van een bedrijf facturen binnen van wildvreemden. En van een andere emails nadat ze naar eigen zeggen mijn persoonsgegevens hebben verwijderd. Maar AP doet er voor mijn gevoel niks mee.
Frame164 @Dekar11 december 2024 12:20
Als iedereen zo handelt is er geen probleem meer en wordt de AP opgedoekt. Het begint met melden. Dat geeft de AP ook argumenten om meer middelen te vragen.
Oon @Frame16411 december 2024 13:02
Maar die argumenten hebben ze al jaren en ze krijgen iedere keer weer een fractie van het budget dat ze nodig hebben. Bijna alsof de overheid de AP alleen wil voor de show :+
Luchtbakker @Frame16411 december 2024 14:49
Als iedereen zo handelt is er geen probleem meer en wordt de AP opgedoekt. Het begint met melden. Dat geeft de AP ook argumenten om meer middelen te vragen.
AP vraagt al jaren bij de overheid om meer geld en middelen, maar krijgen dit jaar op jaar op jaar niet toegewezen.
CivLord
@Luchtbakker11 december 2024 15:56
De AP krijgt jaar op jaar meer middelen toegewezen, alleen niet zoveel als waar ze om vragen.
Het is ook niet alsof er voldoende gekwalificeerde mensen zijn om alle vacatures te vervullen wanneer de AP wél alle middelen zou krijgen waar het om vraagt.
Bender @Marc H11 december 2024 11:42
Als ze niet in behandeling nemen, wil niet zeggen dat het niet alsnog een melding is.

En meldingen worden niet gedaan omdat iemand zijn recht wil halen (zoals bij diefstal van je fiets), maar omdat dit wettelijk verplicht bent omdat je andermans data kwijt bent geraakt.
CH4OS
@Bender11 december 2024 12:17
De omgeving/het bedrijf dat getroffen is door het lek is verplicht het te melden binnen 24 uur inderdaad. Maar dat betekend niet dat je als buitenstaander / klant geen melding kunt maken. Ook dan kan je immers een melding maken, maar is de plicht er overigens niet. Een en ander is dus wel wat genuanceerder dan hoe je het nu brengt. ;)
Floort
@Marc H11 december 2024 11:20
Er zou ook primair iets gedaan moeten worden met inbreuken die ten onrechte niet gemeld worden en pas ingrijpen bij meldingen waar het in ieder geval meer uit de hand loopt dan bij de niet gemelde inbreuken die behandeld worden.
kodak
@Marc H11 december 2024 12:29
Er was al een onwil om te erkennen dat er datalekken zijn. Niet alleen bij de veroorzakers maar ook bij wie afhankelijk is van veroorzakers. Het kunnen of moeten melden zorgt niet spontaan voor een heel veel hogere bereidheid wel melding te maken.
HansvDr @Marc H11 december 2024 13:41
Misschien stoppen met e-mail nieuwsbrieven versturen met externe software en aan het werk gaan. Scheelt ook weer wat gelekte data
TechHead @Marc H11 december 2024 11:30
Dat kan zeer zeker zo zijn, maar ik denk dat er iets anders meespeelt.

Ooit was de enige eis aan software dat het gewoon betrouwbaar en snel moet werken.
Maar tegenwoordig wordt hard ingezet op veiligheid.

Ook lees je vrij vaak "ik kan niets met mijn door mijn werkgever dichtgetimmerde laptop/telefoon".
Vaak staat Bitlocker aan op laptops dus gestolen/verloren laptops zijn minder vaak de oorzaak v/e lek.

Al die dingen samen kan ook de lichte daling verklaren.
D11 @TechHead11 december 2024 12:57
Volgens mij moet je bij het verlies van een datadrager met privacy gevoelige gegevens (versleuteld of niet) altijd een melding doen bij de AP. Uiteraard heb je dan wel wat uit te leggen als de gegevens niet met enige vorm van encryptie zijn beschermd.
CH4OS
@TechHead11 december 2024 12:09
BitLocker is natuurlijk niet direct een garantie dat de data veilig is. Als je een simpel wachtwoord hebt om in te loggen op de laptop, kun je encrypten met BitLocker zoveel als je wilt, maar kun je gewoon bij de data.
Frame164 @CH4OS11 december 2024 12:21
Wachtwoordregels zijn ook op heel veel plekken aangescherpt. Bitlocker is slechts een voorbeeld.

[Reactie gewijzigd door Frame164 op 11 december 2024 12:21]

CH4OS
@Frame16411 december 2024 12:34
In een AD domein kun je wachtwoord sterkte afdwingen, maar anders niet. Security is niet alleen voor zakelijke omgevingen natuurlijk. Gebeurd best veel dat mensen als ‘BYOD’ hun privé apparatuur gebruiken / inzetten, en bestandenndaardoor alsnog lokaal opslaan, in een map onder hun lokale profiel, waar verder weinig management of sterke wachtwoord policies op zitten.
MrFax @Marc H11 december 2024 11:20
Ik heb toch echt zo'n donkerbruin vermoeden dat ze expres geen genoeg geld krijgen van de overheid...
CivLord
@MrFax11 december 2024 15:52
Want wanneer het personeelsbudget zou worden verdubbeld, dan staan er ook genoeg gekwalificeerde mensen te springen om bij de AP te beginnen?
MrFax @CivLord12 december 2024 01:31
Ze lopen al jarenlang te roepen op een hoger budget om zo meer personeel te kunnen vergaren.
CivLord
@MrFax13 december 2024 06:20
Net zoals elke andere uitvoeringsorganisatie bij de overheid. Maar wanneer je in op de vacaturesites kijkt, zie je dat ze ondank (naar eigen zeggen) onvoldoende personeelsbudget vollop vacatures hebben. Meer geld voor meer personeel zou dus vooral leiden tot meer vacatures en nauwelijks tot meer medewerkers die het werk uit kunnen voeren.

En wanneer er wat meer geld te verdelen is, helpt het niet dat de AP zich vooral lijkt te richten op de overheid zelf. En waar de AP in persberichten met vage suggesties overheidsorganisaties door het slijk kan halen worden die overheidsorganisaties door de politiek kort gehouden, waardoor ze zich niet mogen verdedigen. En door die vage suggesties, die niet gecorrigeerd of in het juiste perspectief gezet mogen worden, vreest de overheid dat het een verkeerd signaal af zal geven wanneer er tegen de boetes bezwaar gemaakt wordt. En dat terwijl de grote baas van de AP bij herhaling gezegd heeft dat hij liever te streng is en achteraf door de rechter teruggefloten wordt dan het risico te lopen dat hij bedrijven en overheden te veel ruimte geeft.
En natuurlijk moet de overheid kort en binnen de lijntjes gehouden worden. Maar wanneer je je vooral richt op de overheid omdat dat leuke persmomenten oplevert en je die niet binnen de lijntjes houd, maar op ruime afstand daarvan omdat je toch niet het risico loopt om teruggefloten te worden door de rechter, dan moet je niet verbaasd staan wanneer je niet bovenaan het lijstje staat wanneer er extra geld te verdelen is en je het gewoon moet doen met je budget van vorig jaar, vermeerderd met een bepaalde index.
WouterL @Marc H11 december 2024 11:21
waarom? de meldbereidheid is niet afhankelijk van of de AP de meldingen opvolgt... Integendeel!
timberleek @WouterL11 december 2024 17:07
Waarom niet?

Melden kost tijd en moeite. Als het toch geen zin heeft gaat die lol er vanzelf af.


Idem met een gestolen fiets. Afgezien van bewijs hebben voor een verzekering heeft het toch geen zin. Beland op een stapel om nooit meer wat van te horen, want geen tijd en geen prioriteit.

Of deze perceptie ook werkelijk waar is zal ik in het midden laten, maar de perceptie is er bij velen wel. Waarom zou je dan nog de moeite doen om aangifte te doen?
WouterL @timberleek11 december 2024 17:14
Ik denk niet dat je snapt wie precies die melding doet. Dat is namelijk de verwerkingsverantwoordelijke, oftewel de veroorzaker.

As je bedoelt een tip, of een klacht; dit is wat anders. De datalek melding is voorbehouden aan de verantwoordelijke.

[Reactie gewijzigd door WouterL op 11 december 2024 17:14]

Kees BOFH @Marc H11 december 2024 14:48
Je moet het melden als bedrijf.

Dat melden word alleen maar makkelijker als je toch verwacht dat er niets me gedaan word ;)
Floort
11 december 2024 11:11
Wat jammer is van het CBS is dat ik ook een analyse zou verwachten van de meetmethode. Hoeveel bias kan je verwachten door volledig te vertrouwen op organisaties die zelf inbreuken melden? Wat kan je wel en niet concluderen uit de daling? Is het een statistisch significante daling? Zegt de daling iets over het aantal inbreuken, over het aantal opgemerkte inbreuken en/of over de bereidheid om een opgemerkte inbreuk te melden?
ThinkM @Floort11 december 2024 11:24
Als ik het persbericht van het CBS doorlees, lijkt analyse niet het doel te zijn geweest van dit project, maar het beschikbaar stellen van de gegevens voor wetenschappelijk en statistisch onderzoek. Dus die vragen die jij stelt zijn zaken waar de AP (en andere onderzoekers) nu mee aan de slag kunnen.
Floort
@ThinkM11 december 2024 11:30
Daar ben ik het gedeeltelijk mee eens. Toch denk ik dat de vragen die ik stel raken aan de volgende tekst van het CBS:
CBS heeft als missie het publiceren van betrouwbare en samenhangende statistische informatie, die inspeelt op de behoefte van de samenleving. Deze missie vereist dat de kwaliteit van de statistische informatie gegarandeerd is.
- bron.
Ik mis onderbouwing over de kwaliteit van deze statisttische informatie. Het CBS is er niet om statistieken te publiceren zodat anderen maar kunnen uitzoeken wat de kwaliteit er van is. Niet dat het onbelangrijk is dat anderen ook naar de data kunnen kijken.
Eileen 11 december 2024 11:37
Vorige week heb ik een tip doorgegeven aan de AP.
Na mijn tip stond er dat het was ontvangen, maar ik kreeg er geen bevestiging van in mijn mail.
Ik heb ze toen gebeld en het bleek niet doorgekomen te zijn.
Niet alles kwam goed binnen zei de medewerker...
Floort
@Eileen11 december 2024 13:07
Ik denk dat dergelijk verlies van tips, die ook persoonsgegevens bevatten, over het algemeen meldplichtige inbreuken op de beveiliging zijn.
DaWizza 11 december 2024 12:22
Op de website van AP (afgeleid uit artikel 33 AVG):

"Een datalek moet melden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor 'de rechten en vrijheden van betrokkenen'. Zoals de bescherming van hun persoonsgegevens en persoonlijke levenssfeer."

Naar mijn idee hebben de meeste mensen geen idee hoe ze beslissen welk risico van toepassing is, dus maken ze maar een melding.

De meeste meldingen die ik heb gezien: Er is een brief gestuurd naar een verkeerd adres.
De ontvanger heeft de brief niet geopend en heeft deze is overleg vernietigd of retour gestuurd.
De persoon naar wie de brief had moeten gaan is geïnformeerd, vind het geen probleem en wacht geduldig op de brief die er alsnog komt.

Moet er dan een melding komen?
AP vind van wel, want er was een lek en er is altijd een risico, hoe klein ook.
Zo raak de organisatie overweldigd met alle meldingen die niets bijdragen aan de veiligheid van de betrokkenen.

De hoeveelheid meldingen zeggen m.i. dan ook weinig, het gaat om de hoge/medium risico meldingen waar ze iets over moeten roepen.
kodak
@DaWizza11 december 2024 13:48
Je negeert een belangrijk kenmerk. In veel gevallen kan er niet zoamar aangenomen worden dat personen die ontetecht andermans persoonlijke gegevens ontvangen daar zorgvuldig mee om gaan. En daar als verwerker voor in kunnen staan gaat wel wat verder dan dat je iemand voor het gemak maar wil vertrouwen.

Daarbij gaat het melden er ook om dat de verantwoordelijke personen verantwoordelijkheid voor hun wetsovertredingen nemen, in plaats van het risico en de wettelijke grenzen te bagatelliseren. Aan de wet moeten voldoen om zorgvuldig met andermans persoonlijke gegevens om te gaan komt namelijk te vaak neer op de onzorgvuldigheid voor laten ontstaan en laten bestaan. Om belangen als tijd, geld belangrijker vinden dan de wet en in de hoop dat rechthebbenden de verantwoordelijkheid en risico's net zo onbelangrijk vinden. En dat zijn juist niet zomaar redelijke uitgangspunten bij de wettelijke verplichtingen. Het zijn redenen waarom de wet aangescherpt is.
Leanderable 11 december 2024 12:19
Dit is opvallend aangezien 0,2 procent van alle Nederlandse bedrijven meer dan 250 werknemers heeft. Een relatief klein aandeel bedrijven is dus verantwoordelijk voor het gros van de datalekmeldingen.
Ik vind dit helemaal niet zo opvallend eigenlijk. De 0,2 procent grootste bedrijven zullen namelijk veruit de meeste transacties met (verwerkingen van) persoonsgegevens hebben gedaan. Het wordt pas interessant wanneer je de hoeveelheid datalekken normaliseert met het aantal transacties. Waarschijnlijk is dit het punt dat de auteur hier wil maken, maar dus niet gegrond.
Azenomei 11 december 2024 13:43
Ze doen ook weinig met meldingen. Dus waarom moet ik daar steeds de tijd voor nemen. Dat is net met aangiftes. Als ik het nodig heb voor de verzekering, dan doe ik het. Maar anders kost het teveel tijd.

[Reactie gewijzigd door Azenomei op 11 december 2024 13:44]

NLKornolio 11 december 2024 14:40
Het risico voor bedrijven is groter wanneer ze een datalek melden dan het niet melden van het datalek.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq