Het aantal datalekken in Nederland stijgt fors. Er gaat bijna geen dag voorbij of een organisatie wordt hiermee geconfronteerd. Wat betekent dit voor jouw organisatie en wat kun je hiertegen doen?
Het zijn zomaar enkele koppen van nieuwsberichten die we de afgelopen weken voorbij zagen komen. Een datalek is het vrijkomen van (persoons)gegevens van een organisatie zonder dat dit de bedoeling was van deze organisatie; de gegevens komen in handen van de verkeerde mensen en/of belanden zelfs op het internet.
In 2018 zijn 20.881 datalekken gemeld aan de Autoriteit Persoonsgegevens (AP). Dat is een forse toename vergeleken met voorgaande jaren. Zo werden in 2016 5.849 meldingen ontvangen; in 2017 waren dat er 10.009.
Volgens de AP worden de meeste datalekken gemeld vanuit de sectoren gezondheid en welzijn (29%), financiële dienstverlening (26%) en openbaar bestuur (17%). Het meest voorkomende type datalek is het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger; het gaat hierbij om 63% van de meldingen. Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend. De soorten gegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens, burgerservicenummers en medische gegevens.
Een datalek heeft een rampzalige uitwerking op het vertrouwen in een organisatie. Sinds het ingaan van de Algemene verordening gegevensbescherming (AVG) vorig jaar kan zo’n incident zelfs resulteren in een forse boete.
Doel van de AVG is de persoonsgegevens van burgers in de Europese Unie te beschermen. Daardoor heb je als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt meer nadruk op de verantwoordelijkheid van jou als organisatie om aan te tonen dat je je aan de wet houdt, de zogeheten verantwoordingsplicht.
Overtreedt een organisatie de AVG, dan kan de AP een boete opleggen, van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
In juli werd een eerste boete uitgedeeld op basis van de AVG. Het HagaZiekenhuis kreeg een voorlopige boete van 460.000 euro opgelegd vanwege de slechte interne beveiliging van patiëntendossiers.
Een datalek kan diverse vormen aannemen. Er kan een grove onderverdeling worden gemaakt in 3 soorten:
De variëteit van bovenstaande voorbeelden maakt duidelijk dat elke organisatie – familiebedrijf en multinational, profit en non-profit – serieus de gevaren van een datalek onder ogen moet zien.
Gelukkig zijn er ook methoden en middelen om de kans op een datalek te minimaliseren. In onze nieuwe whitepaper geven we concrete adviezen die jouw organisatie weerbaarder maken. Download ‘4 redenen voor een Security CheckUp’ hier.