De meeste datalekken worden opnieuw gemeld door de zorgsector. Dat blijkt uit een rapportage van de Autoriteit Persoonsgegevens (AP).
In de eerste helft van 2019 ontving de Autoriteit Persoonsgegevens (AP) 11.906 meldingen van datalekken. Het gaat om ongeveer 2.000 meldingen per maand. Vorig jaar bleek ook al uit de Cybersecurity-monitor dat het grootste deel van de datalekken uit de zorgsector kwam.
Als deze trend zich voortzet dan verwacht de AP voor heel 2019 een stijging van 14 procent ten opzichte van 2018. Sinds de inwerkingtreding van de meldplicht datalekken ontvangt de AP, ook veel datalekmeldingen uit de financiële sector en de sector openbaar bestuur.
Ziekenhuizen
Het grootste aantal datalekmeldingen binnen de zorgsector komt van ziekenhuizen (23%) en apotheken (22%). De meeste meldingen gaan over verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen zoals gezondheids- en welzijnsorganisaties (24%), maatschappelijke dienstverlening (15%) en tandartsen (6%) melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen.
De meest gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63%). In ruim de helft van alle meldingen gaat het om gegevens van 1 persoon (58%). Gemelde datalekken die 5.000 of meer personen raken, worden vaak (in 47% van de gevallen) veroorzaakt door hacking, malware en/of phishing.
Optreden AP
Bij ruim 500 datalekmeldingen heeft de AP actie ondernomen bij organisaties die een datalek hebben gemeld. In de meeste gevallen (84%) wordt telefonisch contact opgenomen voor aanvullende informatie. In andere gevallen geeft de AP de organisatie normuitleg via een brief. Soms ook dringt zij via een gesprek aan op maatregelen.
Uit onder meer signalen en tips van betrokkenen merkt de AP op dat niet alle datalekken die gemeld moeten daadwerkelijk worden gemeld. Vaak duurt het ook te lang (binnen 72 uur na ontdekking) voordat men ze meldt. De AP beschouwt dit als een ernstige zaak.
De Autoriteit heeft 17 onderzoeken in uitvoering bij organisaties die (mogelijk) een meldplichtig datalek niet hebben gemeld. Vier onderzoeken zijn naar aanleiding van een te laat gemeld datalek. Deze onderzoeken kunnen mogelijk leiden tot een sanctie. In de tweede helft van 2019 start de AP meer (kortlopende) onderzoeken naar niet gemelde datalekken en te laat gemelde datalekken.
Gevolgen
Monique Verdier, vicevoorzitter van de AP: “Zorgvuldige omgang met persoonsgegevens hoort bij goede zorg. We hebben de afgelopen periode een aantal nare voorbeelden gezien van datalekken, die ontzettend vervelende gevolgen kunnen hebben voor de mensen om wie het gaat. Ziekenhuizen en andere zorginstellingen moeten daarom van privacybescherming een prioriteit maken.”
