21.000 datalekken gemeld in 2018
Op 29 januari 2019 heeft de Autoriteit Persoonsgegevens (“AP”) bekend gemaakt dat zij in 2018 21.000 meldingen heeft ontvangen van datalekken. Dat is meer dan een verdubbeling van het aantal uit 2017. De AP heeft mede naar aanleiding hiervan aangekondigd haar capaciteit uit te breiden om meer en adequater te kunnen onderzoeken en handhaven, omdat het aantal meldingen in 2018 de verwachtingen van de AP fors heeft overstegen.
Interessant is tevens dat de AP in 2019 de nadruk zal leggen op handhaving als het gaat om ten onrechte niet of te laat gemelde datalekken.
Datalek
Van een datalek wordt gesproken indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden. Die inbreuk moet bij de AP worden gemeld binnen 72 uur na ontdekking daarvan. Melding hoeft niet plaats te vinden, indien het waarschijnlijk is dat de inbreuk geen risico inhoudt voor de rechten en vrijheden van natuurlijk personen. Bij constatering van een inbreuk, zal hiervan dus onverwijld de aard en de gevolgen moeten worden beoordeeld, zodat kan worden vastgesteld of melding moet plaatsvinden. Iedere organisatie doet er zeer verstandig aan een goed protocol voorhanden te hebben om deze onverwijlde beoordeling te laten plaatsvinden.
Onjuiste verzending gegevens
De AP geeft in haar rapport van 29 januari 2019 aan dat de datalekken in 63% van de gevallen zijn ontstaan door verzending van gegevens aan een verkeerde ontvanger. In de overige situaties gaat het onder meer om kwijtgeraakte usb-sticks, laptops, phishing en/of hacking, etc.
Zorg, openbaar bestuur en financiële sector
Opmerkelijk is verder dat de meeste meldingen afkomstig zijn uit de zorgsector (29%), het openbaar bestuur (26%) en de financiële sector (17%). Deze drie sectoren vertegenwoordigen bijna drie kwart van alle gemelde datalekken in 2018. Phishing blijkt een veel voorkomende inbreuk te zijn in de zorg sector. Voor partijen in de zorg is het dus van groot belang om naast alle andere beveiligingsmaatregelen, specifiek aandacht te schenken aan de IT en voorkoming van phishing. Dit wordt mede bereikt door het stimuleren van bewustwording bij zorg medewerkers over phishing en hoe zij dienen te acteren. Phishing komt namelijk vaak voor door informatie in een e-mail, die van een betrouwbare afzender lijkt te komen.
Verder blijkt uit het rapport dat ziekenhuizen (24%) en huisartsen en apotheken (27%) ruim de helft van het aantal datalekken in de zorg voor hun rekening nemen. In het openbaar bestuur komen de datalekken voor het grootste deel voor bij gemeenten (39%).
Niet gemelde datalekken
Het daadwerkelijke aantal datalekken in 2018 is volgens de AP veel groter dan de 21.000 gemelde datalekken. Op basis van klachten en informatie van betrokkenen constateert de AP dat er in veel gevallen wel sprake is geweest van een datalek, maar dat dit niet (of te laat) is gemeld door de verantwoordelijke. De AP vindt dit een kwalijke zaak en gaat de handhaving hierop uitbreiden. Daar waar 2018 voor een groot deel in het teken stond van informatieverstrekking door de AP over de AVG en de gevolgen daarvan, zal er in 2019 meer onderzoek worden gedaan naar niet of te laat gemelde datalekken en zijn als gevolg daarvan meer boetes te verwachten.
Goede voorbereiding is het halve werk
Een datalek is niet altijd te voorkomen. Menselijk falen zal altijd voorkomen en beveiligingsmaatregelen (IT dan wel organisatorisch) zullen nooit 100% sluitend zijn. Dat betekent dus dat iedere organisatie voorbereid dient te zijn op een datalek. Werknemers moeten weten wanneer er sprake is van een inbreuk op persoonsgegevens, hoe dat kan worden voorkomen en wie ze moeten informeren als het onverhoopt toch gebeurt. Het verzenden van een e-mail aan een verkeerde geadresseerde is zo gebeurd en kan grote gevolgen hebben. Dat geldt ook voor het vergeten van een laptop of USB-stick in de trein. Duidelijke informatie en adequate protocollen zijn dan ook noodzakelijk om medewerkers binnen organisaties goed bewust te maken van het belang van zorgvuldig omgaan met persoonsgegevens en het melden van een datalek. Dat bewustzijn is bij veel organisaties nog onvoldoende aanwezig en vergt onverwijlde aandacht. De advocaten privacyrecht van Ten Holter Noordam kunnen hierbij goed assisteren.
Niet of te laat melden van een datalek is een overtreding van de AVG en kan leiden tot sancties door de AP. Het onterecht niet melden van een datalek kan dus leiden tot serieuze (financiële) gevolgen. De tijd van niet melden, ‘want de kans is aanwezig dat toch niemand er achter komt’, is voorbij!
Seminar 23 mei 2019
Graag wijzen wij nu al op het seminar dat Ten Holter Noordam advocaten samen met Fox-IT en JLT zal organiseren op 23 mei 2019 en dat voor een groot deel in het teken zal staan van datalekken. Neemt u gerust contact op, indien u interesse hebt voor deelname.