Nederland blijkt Europees koploper met datalekmeldingen

In het afgelopen jaar heeft het AP een totaal van 21.151 meldingen gekregen van datalekken. Daarbij ging het bij 1826 gevallen om cyberaanvallen. Sinds de invoering van databeschermingswet AVG (Algemene Verordening Gegevensbescherming, GDPR in het Engels) zijn er in totaal 114.258 meldingen binnengekomen bij de AP. Van dat vijfjarentotaal waren er meer dan 6.500 gevallen die door cyberaanvallen zijn veroorzaakt.

Aan moeten wennen? 

De toezichthouder stelt dat tegenwoordig een aloude securitywijsheid wel van toepassing is op datalekken: het is niet de vraag óf het gebeurt maar wannéér. "Het is aan de orde van de dag. We moeten er misschien maar 'aan wennen'; ga er maar van uit dat vroeg of laat je persoonsgegevens uitlekken", werd gezegd op een persbijeenkomst gisteren waarbij de Datalekkenrapportage onder embargo werd verstrekt. Met die opmerkelijke uitspraak is de toezichthouder echter niet uit op lijdzaam ondergaan of fatalistisch accepteren.

Integendeel, in het rapport over datalekmeldingen vorig jaar geeft de AP juist tips en aanwijzingen om schade door datalekken te kunnen beperken. Dit betreft dan maatregelen die mensen maar ook bedrijven en organisaties niet alleen bij en na een datalek kunnen nemen. Het gaat ook om maatregelen die vooraf zijn te nemen. Daaronder op individueel niveau op zich bekende securitytips als het gebruik van sterke wachtwoorden én wachtwoorden niet hergebruiken voor verschillende online-diensten, apps, systemen. Op bedrijfs- en organisatieniveau stipt de AP klassieke beveiligingsmaatregelen aan als encryptie van data, segmentatie van netwerken, controle van back-ups, maar ook dataminimalisatie. Laatstgenoemde is het niet onnodig blijven bewaren van oude data, bijvoorbeeld van voormalige klanten.

Cyberaanvallen

Datalekken kunnen flinke impact hebben, zeker als het gaat om cyberaanvallen. De inzet van ransomware door cybercriminelen geldt formeel als datalek, omdat onbevoegden immers toegang tot gegevens intern hebben gehad. In de praktijk is er echter ook vaak sprake van datadiefstal waardoor gegevens dus ook extern terechtkomen. Privacywaakhond AP verklaart zich zorgen te maken over hacks bij ICT-dienstverleners, die dan hun klanten raakt plus de klanten of patiënten van die bedrijven en organisaties.

Vorig jaar hebben de drie grootste aanvallen op ICT-leveranciers in de zorg al gezorgd voor het uitlekken van medische persoonsgegevens van 900.000 patiënten en cliënten, meldt de AP in zijn nieuwe Datalekkenrapportage. De sector 'Gezondheid en welzijn' was met 424 meldingen van cyberaanvallen de grootste in 2022. Dat aantal was goed voor 23% van de gemelde aanvallen. De nummer twee was de categorie 'overige organisaties' met 12%, waarna 'informatie en communicatie' volgt met een bescheiden lijkende 9%, gevolgd door 'onroerend goed', 'bouw' en 'financiële dienstverlening' (elk 8%).

Zorgen om de zorgsector

Gekeken naar het totale aantal meldingen (waarbij cyberaanvallen een oorzaak kunnen zijn, maar niet de enige oorzaak zijn) is de zorgsector ook de grootste. Uit 'Gezondheid en welzijn' is maar liefst 41% van de datalekmeldingen gekomen. Daarna komt 'openbaar bestuur' met 23%, waarna op enige afstand 'financiële dienstverlening' komt met 9%. Opvallend is dat voor laatstgenoemde sector het aantal meldingen van datalekken in 2022 is gedaald; met 29% ten opzichte van 2021. Ook 'openbaar bestuur' ziet in vergelijking met eervorig jaar een daling (van 16%). Het aantal meldingen vanuit 'Gezondheid en welzijn' is met 6% afgenomen. Dit wil niet per se zeggen dat het met databescherming en ICT-security de goede kant opgaat. Een enkele melding kan een groot aantal slachtoffers hebben en/of een grote impact voor betrokkenen wiens data is uitgelekt.