Privacywaakhond: aantal meldingen datalekken stabiliseert, ernst neemt toe
Iedereen in Nederland moet ervan uitgaan dat zijn of haar data zijn gelekt of dat dat nog gaat gebeuren. Dat zegt de Autoriteit Persoonsgegevens bij de presentatie van de datalekrapportage over 2022.
De toezichthouder ziet, vijf jaar na de invoering van de privacywet, een stabilisering in het aantal meldingen van datalekken. Vergeleken met een jaar eerder is er zelfs sprake van een daling, maar tegelijkertijd neemt de ernst van de gevallen toe.
"Dat is wel zorgelijk", zegt voorzitter Aleid Wolfsen in gesprek met de NOS. Hij spreekt van een dubbele boodschap. "Het gaat vaak om gevoelige gegevens. Daar moet je je bewust van zijn." Volgens Wolfsen zit 'm dat bijvoorbeeld in op tijd je wachtwoord vernieuwen en er bewust van zijn aan wie je je data geeft.
'Mensen zijn vaak heel naïef'
Sinds de komst van de AVG (Algemene Verordening Gegevensbescherming) in 2018 kwamen er bij de Autoriteit Persoonsgegevens 114.000 meldingen binnen. De inhoud loopt uiteen: van een verkeerd bezorgde brief tot een grote digitale aanval. Afgelopen jaar was vrij gemiddeld met ruim 21.000 meldingen.
Voorzitter Wolfsen ziet de bewustwording bij mensen toenemen. Toch vindt hij dat daar wel ruimte is voor verbetering. "Mensen zijn vaak heel naïef over het beheer van persoonsgegevens. Ze geven ze te makkelijk af of zijn te naïef over beveiliging."
Gevraagd waar Wolfsen zich het meeste zorgen over maakt, wijst hij op datalekken als gevolg van een digitale aanval. De zorgsector werd het meest getroffen. Bij de drie grootste zaken alleen al lekten samen 900.000 medische persoonsgegevens van patiënten of cliënten.
Van de meer dan 21.000 datalekmeldingen die de toezichthouder afgelopen jaar binnenkreeg, zijn er dus 35 in de ingrijpendste vorm van toezicht terechtgekomen. De afgelopen vijf jaar zijn er vijf boetes opgelegd vanwege datalekken. Het levert de vraag op hoe effectief de Autoriteit Persoonsgegevens eigenlijk is.
"Het is een beetje dubbel", zegt Wolfsen daarover. "Aan instrumenten ontbreekt het niet, maar we moeten wel scherp blijven kiezen." De capaciteit van de privacywaakhond groeit, het kabinet trekt jaarlijks zo'n 10 tot 15 miljoen euro extra uit. Maar dat moet nog meer worden, vindt Wolfsen. Dat is een boodschap die de AP al langer afgeeft.
Leveranciers 'zwakke plek'
Wat in de datalekrapportage niet is meegenomen, maar wel veel aandacht kreeg eerder dit jaar, was het datalek bij marktonderzoeker Blauw, veroorzaakt door softwareleverancier Nebu. Een update hierover heeft de Autoriteit Persoonsgegevens vandaag niet. Maar het is wel een typisch voorbeeld van een situatie waarbij een digitale aanval bij een leverancier problemen geeft bij een andere partij.
Deze toeleveranciers zijn een zwakke plek, beaamt Wolfsen. "Daar moet meer aandacht voor komen. Als bedrijf moet je je er heel goed van vergewissen dat als daar wat misgaat je hoofdverantwoordelijke bent."