Begin maart berichtte Security.nl dat het aantal meldingen van datalekken veroorzaakt door malware en phishing in 2020 sterk is toegenomen. Als we puur kijken naar het aantal datalekmeldingen dat binnenkomt bij de Autoriteit Persoonsgegevens, zou men zeggen dat er een daling is ten opzichte van 2019. Maar schijn bedriegt.
In totaal ontving de toezichthouder vorig jaar 24.000 datalekmeldingen, terwijl het in 2019 om 27.000 meldingen ging. Hoewel er in algemene zin een lichte daling valt waar te nemen, staat Nederland nog steeds in de top 3 van Europese landen waar de meeste datalekken worden gemeld.
Deze daling valt voor een deel te verklaren doordat incassobureaus minder datalekken rapporteren. Dit heeft te maken met een aanpassing van hun werkwijze, waardoor er minder betalingsherinneringen bij verkeerde ontvangers terechtkwamen. Daarentegen was er een sterke stijging van het aantal datalekmeldingen specifiek veroorzaakt door malware, phishing en inbraken op systemen. De AP spreekt zelfs van een explosieve toename en luidt de noodklok.
Sectoren
Bijna 1200 meldingen vorig jaar waren het gevolg van malware en phishing. Een stijging van dertig procent ten opzichte van 2019, toen dit soort meldingen ook al met 25 procent waren toegenomen. Volgens de AP had meerfactorauthenticatie (MFA) met name bij type datalek kunnen helpen voorkomen, of dan toch zou het de impact van het datalek hebben beperkt.
Naar schatting van de AP waren vorig jaar minimaal 600.000 en maximaal 2.000.000 personen (mogelijk) betrokken bij een (gemeld) datalek dat voorkomen had kunnen worden met MFA. Het belang van MFA kan nauwelijks krachtig genoeg worden onderstreept, zo stelt de Autoriteit Persoonsgegevens.
De meeste datalekmeldingen werden vorig jaar gedaan door de sector gezondheid en welzijn (30 procent), gevolgd door financiële dienstverlening en openbaar bestuur (beide 22 procent). Vergeleken met 2019 is het aantal meldingen vanuit de zorg gedaald met 4 procent. De financiële sector liet zelfs een daling van 34 procent zien. Vanuit de overheid steeg het aantal datalekmeldingen echter met 13 procent. Dit komt doordat de overheid vaker persoonsgegevens naar de verkeerde ontvanger stuurde.
Niet gemelde datalekken
Evenals in vorige jaren stelt de toezichthouder dat nog steeds niet alle datalekken die organisaties moeten melden ook daadwerkelijk worden gemeld. Dat wordt bijvoorbeeld duidelijk als betrokkenen bij de AP een klacht of tip achterlaten over een (meldplichtig) datalek, dat door de organisatie zelf niet gemeld blijkt te zijn. In 2020 heeft de AP bijna 2.500 klachten en tips van burgers beoordeeld als mogelijke datalekken.
Vorig jaar verrichtte de Autoriteit Persoonsgegevens tien onderzoeken waarbij (mogelijk) een meldplichtig datalek niet is gemeld. Deze onderzoeken hebben geleid tot een waarschuwende brief of een gesprek. Op dit moment lopen er nog negen onderzoeken.
Lees ook:
- AP luidt noodklok: explosieve toename datadiefstal
- Zorgt Basis op orde wel voor een goede basis?
