De Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens (AP) signaleert een groei in zijn datalekverslag over 2021. Aanvallen op ICT-leveranciers leiden tot steeds grotere gevolgen voor de keten. Zelf doet de toezichthouder nauwelijks onderzoek naar datalekken als daar geen melding van gemaakt is.

Het datalekjaarverslag over 2021 ziet dat het afgelopen jaar 24.866 gevallen van datalekken zijn gemeld, wat meer is dan een jaar eerder. Het is het gevolg van meer sturing van de toezichthouder op de meldplicht van organisaties bij cyberaanvallen. Ook is de toename van het aantal gemelde datalekken te verklaren doordat organisaties zelf meer geneigd zijn datalekken te melden. Vooral als daar persoonsgegevens bij betrokken zijn.

Van het aantal datalekken in 2021 is in 2.210 gevallen een cyberaanval de oorzaak. Dit is volgens de AP flink meer, 88 procent, dan in 2020. Het gaat om hack-aanvallen, aanvallen met malware, zoals ransomware, en phising. De meeste datalekken zijn overigens verkeerd bezorgde brieven en postpakketten.

Aanvallen op ICT-bedrijven

Naast een stijging van het aantal cyberaanvallen, constateert de toezichthouder ook dat ICT-leveranciers vaker worden aangevallen. Deze specifieke aanvallen hebben vaak grote gevolgen voor de rest van de keten. In 2021 werden 28 ICT-leveranciers aangevallen. Deze aanvallen leidden vervolgens tot 1.800 datalekmeldingen bij de AP. De uiteindelijke impact hiervan was dat minimaal 7 miljoen personen werden getroffen. Omdat niet alle datalekken aan de AP worden gemeld, zijn dit er waarschijnlijk nog veel meer.

Weinig onderzoek

Opvallend is dat de AP aangeeft dat het aantal officiële onderzoeken dat de toezichthouder uitvoert naar datalekincidenten vrij beperkt is. In 2021 startte de toezichthouder in totaal 36 officiële onderzoeken naar datalekken, vooral bij ICT-leveranciers. De onderzoeken werden uitgevoerd, zonder dat de betreffende bedrijven zelf melding hadden gedaan.

In principe moet de AP iedere melding van een datalek onderzoeken, maar in de praktijk gebeurt dit zelden.  De toezichthouder voert vrijwel geen onderzoeken uit als daar geen aanleiding voor is. Bijvoorbeeld als duidelijk is dat een brief verkeerd is bezorgd, een mail naar een verkeerd adres is gestuurd of dat iemand onopzettelijk een heel adressenbestand in een e-mail heeft meegestuurd. Onderzoeken op eigen initiatief vinden nauwelijks plaats.

In 7.026 gevallen voerde de toezichthouder in het afgelopen jaar een ‘verdiepend toezicht’ uit. Hierbij kijkt de AP of er bepaalde patronen zijn met eerdere datalekken bij het betreffende bedrijf of organisatie. Ook kan de privacywaakhond vragen stellen of een waarschuwingsbrief sturen.