Vooral vanuit de zorg meer datalekken gemeld

Organisaties die ontdekken dat er een lek is geweest, zijn verplicht om dat binnen 72 uur bij de Autoriteit Persoonsgegevens te melden. De toezichthouder vermoedt dat niet alle datalekken worden gemeld, en dat de meldingen die wel binnenkomen niet altijd op tijd zijn gedaan. De AP beschouwt dit als een ernstige zaak en onderzoekt momenteel 17 gevallen waarbij een datalek mogelijk niet is gemeld en 4 waarbij dat te laat zou zijn gebeurd. Wie een datalek niet meldt, riskeert een boete die kan oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaropzet van een bedrijf.

Verkeer verzending

In ongeveer twee op de drie gevallen gaat het mis doordat brieven of e-mails naar het verkeerde adres worden gestuurd en dus bij de verkeerde persoon terechtkomen. Meestal gaat het om de gegevens van één persoon.

Sinds de Europese privacyrichtlijn AVG in werking is getreden, door opname in nationale wetgeving van EU-lidstaten, ontvangt de AP een groeiend aantal datalekmeldingen. Daarbij spelen de financiële sector en de sector openbaar bestuur een 'grote rol', maar komen de meeste meldingen uit de zorgsector. "Dit is voor de AP aanleiding deze sector extra uit te lichten in de datalekkenrapportage", meldt de privacywaakhond.

Digitale oorzaken

Het grootste aantal meldingen van datalekken binnen de zorg komt van ziekenhuizen (23 procent) en apotheken (22 procent). De meeste meldingen worden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger (63 procent). Dit ligt anders bij andere organisaties in deze sector. Daar zijn digitale en kwaadaardige oorzaken meer aan de orde wat de gemelde datalekken betreft. Kleinere zorginstellingen zoals gezondheids- en welzijnsorganisaties (24 procent), maatschappelijke dienstverlening (15 procent) en tandartsen (6 procent) melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen.