Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) haar rapport ‘Meldplicht datalekken 2019’. Uit dit rapport blijkt dat de AP in 2019 bijna 27.000 datalekmeldingen ontving, 29% meer dan in 2018.
Vooral het aantal meldingen naar aanleiding van hacking, phishing of malware-incidenten steeg fors. Hackers richten zich hierbij voornamelijk op organisaties die grote hoeveelheden persoonsgegevens van veel betrokkenen verwerken. Zo was er internationaal veel onrust door een datalek bij de slimme camera’s van Apexis en Sumpple, die onder andere camera’s produceren voor merken zoals Trust. Door het lek kwamen locatiegegevens en gekoppelde e-mailadressen op straat te liggen waardoor het relatief makkelijk was om degene die bekeken wordt op te sporen. Wie toegang had tot de camera’s kon niet alleen meekijken, maar de camera ook besturen/draaien en zelfs door de babyfoonspeaker praten.
Toch wordt van het totale aantal datalekmeldingen slechts 3% veroorzaakt door hacking, phishing of malware. Veruit de meeste gemelde datalekken (67%) ontstaan door het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger, door bijvoorbeeld een typefout in het e-mailadres of het selecteren van een verkeerde geadresseerde. Een ruime meerderheid van het aantal datalekmeldingen betrof daarom 1 persoon (64%) of tussen de 2 en 10 personen (19%). Verstuurt u dus per ongeluk een e-mail aan de verkeerde klant, dan kwalificeert ook dat als een datalek.Hoewel er steeds meer datalekken worden gemeld, gebeurt dit nog lang niet altijd. Meld u het datalek niet, dan kan de AP naar aanleiding van tips en klachten van betrokkenen of naar eigen inzicht nader onderzoek instellen binnen uw organisatie. In 2019 werden 28 van deze onderzoeken gestart.
Daaronder ook het Haga Ziekenhuis in Den Haag wat meermaals in het nieuws verscheen. Zo ontving het ziekenhuis in juli 2019 een boete van €460.000 van de AP omdat zij ruimschoots en evident onvoldoende organisatorische en technische maatregelen nam en daarnaast systematische controle algeheel ontbrak.
Doet zich een datalek voor binnen uw organisatie, meld deze dan in beginsel uiterlijk binnen 72 uur bij het meldloket datalekken van de AP. Wanneer uit uw melding blijkt dat de meldplicht conform de richtlijnen van de AVG is nageleefd en u adequate maatregelen heeft getroffen, heeft uw organisatie aan haar verplichtingen voldaan en zal een boete kunnen worden voorkomen.
MARLISSA RUDOLPHY
TeekensKarstens advocaten notarissen
www.tk.nl
