Trainingen Referenties Werken bij Vacatures
Kennisbank Over ons Team Cuccibu Contact
Onze diensten
Kwaliteit
Milieu & Energie
Arboveiligheid
Informatiebeveiliging
Risicomanagement
Managementservices
Trainingen Referenties Werken bij Vacatures Kennisbank Over ons Team Cuccibu Contact
Nieuws Datalekkenrapportage 2021

Datalekkenrapportage 2021

Datum: 09-06-2022

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra een ernstig datalek heeft plaatsgevonden. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.  

Datalekkenrapportage

Elk jaar brengt de AP een datalekkenrapportage uit, waarin een totaaloverzicht van alle gemelde datalekken is opgenomen. Het betreft algemene en anonieme informatie over de meldingen. Dit is belangrijk omdat organisaties gegevens over de beveiliging of het lekken van persoonsgegevens vertrouwelijk moeten kunnen melden aan het AP. Onlangs is de datalekkenrapportage over 2021 gepubliceerd.  

Cijfers 2021

In 2021 ontving de AP in totaal 24.866 datalekmeldingen. Dit is een stijging van 4% ten opzichte van het voorgaande jaar. Opvallend is de explosieve toename van het aantal datalekken veroorzaakt door cyberaanvallen, zoals hacking, malware of phishing. Het aantal cyberaanvallen omvat in 2021 9% van het totaal aantal datalekmeldingen. Een jaar eerder was dat nog maar 5%.  

Van het totaal aantal datalekmeldingen hebben er 36 geleid tot een onderzoek. Daarvan waren er 14 onderzoeken gefocust op IT-leveranciers. In de rapportage komt dan ook naar voren dat criminelen zich steeds vaker richten op IT-leveranciers. Zij zijn een gewild doelwit omdat daar veel persoonsgegevens van meerdere organisaties op één plek samenkomen. Er valt bij deze organisaties dus veel te halen. Het afgelopen jaar heeft het AP 28 datalekken gezien bij IT-leveranciers. Deze hebben geleid tot 1800 datalekmeldingen en naar schatting minimaal 7 miljoen slachtoffers gemaakt.  

Verplichtingen verwerkingsverantwoordelijken en verwerker

De meldplicht datalekken geldt in eerste instantie voor de verwerkingsverantwoordelijken. In het geval van uitbestede IT-diensten blijft de organisatie, volgens de AVG, verwerkingsverantwoordelijke. De IT-leverancier is verwerker.  

De verwerkingsverantwoordelijke is verplicht om binnen 72 uur een melding te doen aan de AP. Ook moet zij slachtoffers informeren. In de praktijk blijkt dat bij veel organisaties de prioriteit ligt bij het herstellen van de processen en pas later de betrokkenen op de hoogte brengen. Hierdoor kan de schade nog groter worden omdat slachtoffers zichzelf pas later kunnen beschermen tegen de gevolgen.  

Ook de verwerker heeft verplichtingen. Zij dienen de verwerkingsverantwoordelijke zo snel, transparant en volledig mogelijk te informeren over een datalek. Ook dit blijkt in de praktijk niet altijd even goed te gaan. De oorzaken verschillen, IT-leveranciers willen soms wachten tot een uitgebreid onderzoek naar het datalek is afgerond of ze zijn bang voor reputatieschade en onrust bij hun klanten. De verwerker moet de verwerkingsverantwoordelijke helpen bij een datalek 

Hulp nodig?

In de datalekkenrapportage 2021 zijn door de AP zes aanbevelingen opgenomen om de impact van een datalek bij een IT-leverancier te verkleinen en om ervoor te zorgen dat een organisatie de meldplicht datalekken adequaat kan naleven. Heeft jouw organisatie hulp nodig op het gebied van datalekken en informatiebeveiliging? Onze consultants helpen graag! Neem vrijblijvend contact op voor meer informatie.  

Contact

Bron: Datalekkenrapportage 2021 (Autoriteit Persoonsgegevens)

datalekkenrapportage 2021