De Autoriteit Persoonsgegevens (AP) ontving in 2018 bijna 21.000 meldingen over datalekken. Zo maakte de AP vandaag bekend. Fors meer dan verwacht. Een overzicht van de meldingen, de acties van de AP en hetgeen u zelf kunt doen, vindt u hieronder.

Met het van kracht gaan van de AVG in mei 2018 zijn we veel alerter geworden op onze privacy. Dat bleek eerder al uit de klachtenregen die de AP ontving van consumenten over het schenden van hun privacy door organisaties. Het heeft er echter ook voor gezorgd dat organisaties zelf wakker zijn geschud.

De meldplicht datalekken bestaat namelijk al sinds 1 januari 2016 en is onder de AVG blijven bestaan. Toch is er afgelopen jaar een forse stijging van het aantal datalekken ten opzichte van 2017: een ruime verdubbeling zelfs.

De AVG heeft dus zeker iets teweeg gebracht. De hogere boetes die onder de AVG opgelegd kunnen worden bij het ‘overtreden’ van de meldplicht dragen hier waarschijnlijk ook aan bij….

Meldingen over datalekken: de feiten op een rij

Opvallend: 63% van de meldingen gaan over persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. De overige meldingen betreffen kwijtgeraakte persoonsgegevens door onder meer verloren of gestolen laptops, hacking, fishing of malware.

Wat voor gegevens komen zoal in ‘verkeerde’ handen? Meestal gaat het om NAW-gegevens, gegevens over geslacht, medische gegevens en BSN.

De meeste meldingen kwamen uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening.

De Autoriteit Persoonsgegevens onderneemt actie

Een groot aantal meldingen vereisen actie van de AP. In de meeste gevallen gaat het om het geven van extra toelichting over beveiligingsmaatregelen en/of normen of het opvragen van aanvullende informatie over het datalek in kwestie.

AVG, meldplicht datalekken

Sinds de van kracht wording van de AVG heeft de AP bij bijna 300 meldingen actie ondernomen. Het gaat om interventies bij organisaties die een lek hebben gemeld. Meestal betrof het een waarschuwing en uiteraard het beëindigen van de overtreding.

Ook werden organisaties aangesproken die geen melding maakten van datalekken. De AP heeft aangegeven komend jaar nog meer aandacht te besteden aan organisaties die datalekken niet melden.

Weet u zeker dat u datalekken tijdig ontdekt en dat u of uw medewerkers deze ook melden indien nodig? Uber ontving onlangs nog een boete van 600.000 euro voor het te laat melden van een datalek. Daar zit u uiteraard niet op te wachten.

Protocol datalekken als leidraad

Een goed opgesteld protocol datalekken helpt organisaties om te voldoen aan de meldplicht datalekken. In het protocol is in ieder geval opgenomen:

  • wanneer er sprake is van een datalek.

  • wie er intern op de hoogte moeten worden gebracht van het datalek (FG, directie etc.) en wie verantwoordelijk is voor de verdere procedure.

  • wat het proces is ter identificatie en vaststelling van het datalek.

  • wat het proces is om het lek te ‘dichten’ en de schade te beperken.

  • wanneer er wel of geen melding moet worden gemaakt bij de AP en wie hiervoor verantwoordelijk is.

  • Wanneer er wel of geen melding moet worden gemaakt bij betrokkenen en wie hiervoor verantwoordelijk is.

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, dient u - als u verwerkingsverantwoordelijke bent - dit datalek binnen uiterlijk 72 uur te melden bij de Autoriteit Persoonsgegevens. Daarom is een goed protocol essentieel om adequaat te kunnen handelen bij een gevonden datalek.

Uiteraard is het minstens zo belangrijk om het belang en de inhoud van dit protocol bij alle medewerkers onder de aandacht te brengen. Waarschijnlijk zien zij een lek eerder, dan u.

Zeker als u beseft dat de meeste meldingen vorig jaar gingen over persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. Die dreiging komt dus niet van buitenaf, maar gewoon vanuit de eigen organisatie.

Interessante links

Heeft u een datalek of wilt u dit juist voorkomen?

Wilt u meer weten over het voorkomen of melden van datalekken? Wij helpen u graag verder. Neem contact op met een van onze ICT-juristen via 010 2290 646 of neem een kijkje bij al onze AVG-diensten.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.