Dit blog is een vervolg op ons laatst geschreven blog over datalekken. Er zal dieper worden ingegaan op de meldingen die zijn gemaakt in 2018 bij de Autoriteit Persoonsgegevens.   

Bij de Autoriteit Persoonsgegevens (AP) zijn er in 2018 namelijk twee keer zoveel meldingen van datalekken ontvangen ten opzichte van het jaar 2017 (10.009 meldingen) en 2016 (5.849 meldingen). Bijna 21.000 keer maakten organisaties melding van een lek, blijkt uit de gepubliceerde cijfers van de AP.

Stijging na invoering van de AVG
De sterke stijging heeft volgens de toezichthouder te maken met de invoering van de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018. Sinds dit moment was er namelijk een sterke stijging te zien in het aantal meldingen van datalekken. In het 4e kwartaal van 2018 werden de meeste meldingen gedaan. De AP stelt dat dit mogelijk komt door de gestegen aandacht voor de AVG.  

Soorten datalekken
In de meeste gevallen (63%) wordt een datalek veroorzaakt door het versturen van persoonsgegevens aan de verkeerde ontvanger. Hier gaat het meestal om medische gegevens, BSN of contactgegevens. Ook kan het voorkomen dat mensen hun eigen gegevens en daarbij per ongeluk ook andermans gegevens ontvangen.

De meeste meldingen zijn afkomstig uit de zorgsector (29%), financiële sector (29%) en het openbaar bestuur (17%). In 58% van de gemelde lekken gaat het om gegevens van maar één persoon. Slechts in 3% van de datalekken worden de gegevens van meer dan 5.000 mensen verspreid. Deze lekken worden vaak veroorzaakt door hacking, malware of phishing.

Hacking en/of phishing
Datalekken kunnen veroorzaakt worden door hacking en/of phishing. Bij phishing kan het gaan om organisaties die nep e-mails ontvangen die afkomstig lijken te zijn van een betrouwbare bron zoals een zakelijke relatie, maar geen betrouwbare afzender hebben. Wanneer een medewerker op een link klikt in de e-mail of een bijlage opent, kan hierdoor een virus worden geïnstalleerd op het systeem dat persoonsgegevens treft. Een voorbeeld hiervan is ‘ransomware’. Dit is een vorm die alle gegevens versleuteld op de computer en ervoor zorgt dat deze niet meer toegankelijk zijn.

‘’Organisaties kunnen het risico op phishing aanvallen verkleinen door een goede beveiliging van hun IT-omgeving. Daarnaast is het belangrijk om medewerkers bewust te maken van phishing (AP).’’

Andere vormen van phishing zijn nep e-mails waarin een medewerker gevraagd wordt om zijn of haar wachtwoord te wijzigen. De medewerker zal doorgeleid worden naar een neppe website als er op de link geklikt wordt, waar de ingevoerde wachtwoordgegevens worden onderschept. Dit wachtwoord wordt vervolgens gebruikt om toegang te krijgen tot het account van de medewerker. Waaronder toegang tot de inhoud van de mailbox.   

Phishingaanvallen die malware gebruiken, maken vaak misbruik van kwetsbaarheden in software om de malware te installeren. Organisaties kunnen dit risico verkleinen door het installeren van antivirusprogramma’s en spamfilters (firewalls) die kwaadaardige e-mails blokkeren en door deze regelmatig te updaten.

Acties vanuit de Autoriteit Persoonsgegevens
De AP meldt dat ze in 2019 meer mensen zullen inzetten om het toegenomen aantal meldingen te onderzoeken. Daardoor kan het aantal opgelegde sancties, zoals waarschuwingen of boetes, aan organisaties ook toenemen, aldus een woordvoerder van de toezichthouder.

Benieuwd naar de hele rapportage van de AP over de meldplicht van datalekken? Lees het hier.