De meldplicht datalekken, wat is dit nu precies? Simpel gezegd houdt dit in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben ontdekt. Het kan zelfs zo zijn dat je als organisatie de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt) moet informeren. Als we kijken naar het aantal datalekmeldingen van afgelopen jaar, dan zit dit flink in de lift.

De AP gaf onlangs te kennen dat in 2019 aanzienlijk meer datalekmeldingen zijn binnengekomen dan een jaar eerder. We praten hier over bijna 27.000 meldingen, een stijging van meer dan 29% ten opzichte van 2018. De meldingen die het meest voorbij komen zijn incidenten omtrent hacking, phishing en/of malware. Sinds de inwerkingtreding van de AVG is Nederland, binnen de EU, goed voor een groot gedeelte van de gerapporteerde datalekken.

Nederland koploper in datalekmeldingen

Net als vorig jaar zijn de meeste datalekmeldingen afkomstig uit onze zorgsector (31%). Op plek twee staat de financiële sector (20%) en de sector openbaar bestuur (19%) sluit de top drie af. Sinds de meldplicht in 2016 is ingevoerd is Nederland volgens de AP koploper op het gebied van datalekmeldingen. De top drie wordt gecompleteerd door Duitsland en het Verenigd Koninkrijk. Is dit verassend kunnen we ons afvragen? Nee, eigenlijk niet. Dit hangt namelijk volledig samen met de hoge mate van digitalisering in deze drie landen. Een hoge mate van digitalisering betekent een groter risico op het gebied van datalekken.

Helaas laat onderzoek van de AP zien dat veel bedrijven niet altijd voldoen aan de meldplicht voor datalekken. Vorig jaar werden 28 onderzoeken gestart bij organisaties die (mogelijk) een datalek hadden moeten melden aan de AP. Heb je dit als organisatie, om wat voor reden dan ook, niet of te laat gedaan? Dan loop je de kans op sancties en deze liegen er niet om. Het Hagaziekenhuis had onlangs de Nederlandse primeur en kreeg de eerste AVG-boete opgelegd van wel 460.000 euro. Het is daarom in eerste instantie erg belangrijk om te beschikken over een stevig ICT-beveiligingsfundament. Maar ook het op orde hebben van je beleid omtrent informatiebeveiliging en privacy.

Persoonsgegevens steeds vaker doelwit

Volgens de AP lijken vooral de grotere organisaties, die veel persoonsgegevens verwerken, doelwit van aanvallen. Reden hiervoor is dat aanvallers grote aantallen gestolen gegevens gebruiken om identiteitsfraude te plegen. Bijvoorbeeld door een abonnement op de naam van een ander af te sluiten.

De meest gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63%). Dit zijn veelal menselijke fouten. In ruim de helft van alle meldingen gaat het om de gegevens van één persoon (58%). Gemelde datalekken die een grotere groep mensen raken, worden vaak (in 47% van de incidenten) veroorzaakt door hacking, malware of phishing. Dit zijn incidenten waarop jij als organisatie zeker invloed op kan uitoefenen. Denk aan de inschakeling van state of the art beveiligingssystemen, zoals anti-spam, anti-virus applicaties en firewalls. Maar ook back-up systemen zodat jouw organisatie snel kan terugvallen op een recente back-up.

Wat zijn de gevolgen?

Buiten dat je als organisatie kans loopt op hoogoplopende boetes kan een datalek nog meer (verregaande) gevolgen hebben. Een van de grootste kostenposten kan zijn dat het publiek en de klanten geen vertrouwen meer hebben in jouw producten of diensten. Dit gezichtsverlies kan funest zijn. Maar je kan als organisatie ook financieel aansprakelijk gesteld worden voor geleden schade bij klanten of betrokken partijen. Bovendien kan het voorkomen dat de locatie van het datalek niet bekend is. Wat betekent dat jij een gespecialiseerd bedrijf moet inhuren om te onderzoeken waar het lek vandaan komt. Het kan zelfs jouw algehele bedrijfsvoering stilleggen met als gevolg dat je omzet misloopt en klanten wegjaagt. Het is dus van enorm belang om datalekken te voorkomen, want voorkomen is beter dan genezen.

Beveiliging ICT-omgeving

Vind jij ICT-beveiliging ook een complexe aangelegenheid? Dat snappen we. Er bestaat altijd de mogelijkheid dit uit te besteden aan een strategisch ICT-partner, een die jouw ICT-omgeving eens kritisch onder de loep neemt. Of het nu gaat om advies, implementatie, beheer of een 360 graden aanpak- wij helpen je graag. Uiteraard volledig conform de geldende wet- en regelgeving en de ISO27001 norm die wij in bezit hebben. Vraag een risicoanalyse aan die wij bij jouw organisatie komen uitvoeren of neem contact op met een van onze accountmanagers voor advies.