Hoeveel datalekken zijn er tot nu toe gemeld en welke boetes zijn er uitgedeeld?
Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming. Sindsdien is elke onderneming verplicht tot bescherming van persoonlijke data. De meldplicht voor datalekken bleef onder de AVG grotendeels hetzelfde als de jaren ervoor. Wel stelde de AVG strengere eisen aan de registratie van datalekken. Niet alleen gemelde datalekken, maar álle datalekken moeten sinds een jaar door de organisatie gedocumenteerd worden. Daarnaast steeg de hoogte van boetes fors. In deze blog blikken we terug op het afgelopen jaar. Zijn er datalekken zijn gemeld, en zo ja, hoeveel? En welke bijzondere boetes deelde de Autoriteit Persoonsgegevens uit?
In tegenstelling tot de meeste EU-landen, geldt de meldplicht van datalekken in Nederland al sinds 1 januari 2016. Dit betekent dat Nederlandse organisaties al ruim drie jaar lang ‘AVG-compliant’ moeten zijn. Maar hoe goed houden wij Nederlanders ons aan deze meldplicht?
Het aantal datalekmeldingen
In het jaar 2017 meldden organisaties ongeveer 10.000 datalekken bij de Autoriteit Persoonsgegevens (AP). Dit is een stijging van bijna 70% ten opzichte van 2016. Sinds de officiële invoering van de AVG in Europa verdubbelde het aantal meldingen bij de Nederlandse autoriteit wederom: in 2018 ontving de AP 20.881 datalekken. In vergelijking: in heel Europa werden sinds de invoering van de AVG ruim 60.000 datalekken gemeld.
Toch merkt de AP dat organisaties niet alle datalekken melden. Dit wordt duidelijk als bijvoorbeeld een betrokkene melding maakt van een datalek, terwijl dit door de organisatie zelf niet gemeld is. De AP ziet het daarom als doel om in 2019 en 2020 óók op deze niet-gemelde datalekken te focussen.
Sinds de officiële invoering van de AVG in Europa verdubbelde het aantal meldingen.
Uitgedeelde boetes
In de meeste gevallen melden organisaties datalekken aan betrokkenen, en volgt er geen sanctie. Slechts bij een klein deel van de gemelde en niet-gemelde datalekken grijpt de AP in. Over het algemeen leidden deze acties tot een waarschuwing en beëindiging van de overtreding.
Toch legde de AP ook forse boetes op. Zo ontving Uber afgelopen jaar een boete van 600.000 euro voor het overtreden van de meldplicht datalekken. Bij het Uber-concern, waarvan het hoofdkantoor gevestigd is in Nederland, vond in 2016 een datalek plaats. Onbevoegden kregen toegang tot persoonsgegevens van ruim 57 miljoen Uber-gebruikers en -chauffeurs. Uber kreeg een fikse boete om de oren, omdat ze de AP én betrokkenen niet binnen 72 uur na het ontdekken van het lek informeerden.
Onderneem tijdig actie!
Uit de cijfers van de AP blijkt dat in Nederland relatief veel datalekken voorkomen. Meestal gebeurt dit in de vorm van het versturen van persoonsgegevens aan een verkeerde ontvanger, of het kwijtraken (soms vanwege diefstal) van een laptop of USB-stick. In elk van deze gevallen is het belangrijk om binnen 72 uur melding te maken bij zowel de AP als bij de betrokkenen. Bij een verkeerde ontvanger kun je daarnaast vragen of deze persoon de gegevens per direct wil verwijderen, om zo de overtreding te beëindigen.
80% van de datalekken ontstaan door menselijke fouten
Uit onderzoek blijkt dat meer dan 80% van de ontstane datalekken door menselijke fouten ontstaan. Bewustwording over de risico’s van informatieopslag en -uitwisseling levert een bewezen verbetering op.
#A2Scommunity