Autoriteit Persoonsgegevens ontving bijna 27.000 datalekmeldingen in 2019

Volgens de Algemene veroordeling gegevensbescherming (AVG) moeten organisaties een datalek melden bij de Autoriteit Persoonsgegevens (AP) en in specifieke gevallen ook bij de getroffenen.

Dat melden doen we in Nederland in groten getale. Volgens de AP worden in Nederland per inwoner de meeste datalekken gemeld van alle Europese landen. In 2019 zijn 26.956 meldingen binnengekomen via het meldloket datalekken op de AP-website. Dit zijn 27% meer meldingen dan in 2018.

Grensoverschrijdend

De AVG is een Nederlandse toepassing van de Europese privacywetgeving (GDPR). Dit betekent dat datalekken en dus ook meldingen de landsgrenzen kunnen overschrijden. De privacyautoriteit heeft van andere Europese toezichthouders 75 meldingen ontvangen van grensoverschrijdende datalekken. Ook deelt de AP zelf meldingen over grensoverschrijdende datalekken met andere EU-landen. 

grafieken van Tweakers.net

Datalekken komen voor door ‘ongelukjes’ zoals menselijke fouten zoals een verkeerd gestuurde e-mail met privacygevoelige informatie of door bewuste pogingen om data te stelen door hacking, phishing of malware.

Meldplicht

Het melden van datalekken is niet vrijblijvend. Wie een datalek niet meldt, riskeert een forse boete. Volgens de AP zijn er vorig jaar 28 nieuwe onderzoeken gestart bij organisaties die mogelijk een datalek hadden moeten melden en dat niet of te laat hebben gedaan. Er zijn ook vijf onderzoeken afgerond in die categorie, die volgens de AP kunnen leiden tot een sanctie.

Daarnaast zijn er 10 onderzoeken naar niet-gemelde datalekken afgerond die hebben geleid tot een “alternatieve interventie”, aldus de AP. In zo’n geval organiseert de AP een normuitleggend gesprek of stuurt de organisatie een waarschuwing. Er lopen nog 15 onderzoeken.

Lees het AP-persbericht Datalekken blijven stijgen

Datalekken zijn gevaarlijker dan je denkt

Wie het nieuws een beetje volgt, ziet bijna dagelijks berichten over datalekken. Met zulke grote hoeveelheden datalekken zou je bijna denken dat het dan wel mee moet vallen met de gevolgen omdat je er niet persoonlijk door bent geraakt. Althans, nog niet. Denk je.

Maar datalekken zijn een veel grotere dreiging dan de meeste mensen beseffen, zo stellen onderzoekers van de Harvard School of Engineering op basis van eigen onderzoek. Voor hun onderzoek keken de onderzoekers naar gegevens die via verschillende datalekken op straat waren beland.

De gegevens uit deze verschillende datalekken werden via een tool gekoppeld met een dataset die in 2015 bij kredietbureau Experian werd gestolen. Deze dataset bevatte de informatie van miljoenen mensen. Per individu waren er 69 variabelen, zoals adresgegevens, telefoonnummer, kredietscore, donaties aan politieke partijen, het aantal kinderen en tal van andere gegevens.

Gelekte data combineren levert veel op

Het wordt pas echt interessant – en gevaarlijk – als criminelen gelekte data gaan combineren. Door de gegevens van verschillende datalekken te combineren met die van Experian bleek het mogelijk om de digitale identiteiten van mensen aan hun “real-world” identiteiten te koppelen. Dit leverde weer nieuwe informatie op. Zo was het via de tool mogelijk om eenvoudig te zoeken naar mensen met een hoog inkomen, die getrouwd zijn en kinderen hebben, alsmede actief zijn op websites om vreemd te gaan. Ook gegevens van Amerikaanse senatoren en andere politici waren door het combineren van de verschillende datalekken te vinden.

Volgens de onderzoekers zijn datalekken dan ook veel ernstiger dan de meeste mensen denken. “Zodra iets is gelekt, is het openbare informatie waar iedereen toegang toe heeft en kan gebruiken. Mensen hebben het idee dat ze een recht op hun informatie hebben nadat het is gelekt, maar zodra het is gelekt, is het weg. Dat is iets dat iedereen moet beseffen”, zegt onderzoeker Kian Attari.

Lees het Harvard-artikel Students find website data leaks pose greater risks than most people realize

Relevantie voor informatieprofessionals

Datalekken zijn al zo oud als data zelf. Informatiegovernance is een discipline om goed om te gaan met informatie in de hele levenscyclus. Dankzij de AVG is er meer aandacht voor bescherming van informatie, dus maak gebruik van dat momentum.

Pas wel op voor allerlei opportunisten die in het ‘gat van de AVG’ zijn gedoken en allerlei onzin en broddeladvies verkopen over privacybescherming. Ga in zee met een gespecialiseerde jurist – en niet een ‘juridisch adviseur’ zonder enige ervaring en expertise in ICT/informatiemanagement – en een gecertificeerde functionaris gegevensbescherming (FG) of Data Protection Officer (DPO).

En dan nog blijft het uitkijken, dus breng je vakkennis in over informatiemanagement, informatiegovernance en informatie-architectuur. Werk samen met deze AVG-professionals aan een werkbare oplossing die ‘privacy by design’ en ‘privacy by default’ garandeert.