In het afgelopen jaar hebben zich in Nederland meer dan 25.000 datalekken voorgedaan, meldt de privacytoezichthouder. Getroffen personen worden echter vaak niet ingelicht.
In totaal zijn er in het afgelopen jaar ongeveer 20 miljoen personen in binnen- en buitenland slachtoffer geworden van een Nederlands datalek, geeft Autoriteit Persoonsgegevens aan. Toch zijn niet al deze slachtoffers op de hoogte gesteld.
Dit laatste is vooral een doorn in het oog van de privacytoezichthouder. Ongeveer 54 procent van de gevallen is door bedrijven en organisaties niet aan de getroffen personen gemeld, ondanks dat zij wettelijk verplicht zijn dit te doen. Dit omdat datalekken grote gevolgen voor slachtoffers kunnen hebben.
Slechte risico-inschatting
De belangrijkste reden waarom bedrijven en organisaties nalaten datalekken aan eventuele slachtoffers te melden, is dat zij de risico’s die dit lek kunnen opleveren te laag inschatten. Denk bijvoorbeeld alleen al aan phishing of identiteitsfraude. In 2023 hebben volgens de AP in totaal ruim 7.000 personen een melding van identiteitsfraude bij het Centraal Meldpunt Identiteitsfraude (CMI) ingediend.
IT-dienstverleners geliefd doelwit
In 2023 waren datalekken in ruim 1.300 gevallen het gevolg van een cyberaanval. Hierbij ging het vaak om aanvallen op IT-leveranciers. “Cyberaanvallers richten hun digitale pijlen vaak op IT-leveranciers. Organisaties huren IT-leveranciers in om vaak grote hoeveelheden persoonsgegevens te beheren. Deze inhurende organisaties blijven doorgaans zelf verantwoordelijk als er iets gebeurt met deze gegevens”, geeft AP-voorzitter Aleid Wolfsen aan.
Uit de verdere cijfers in het jaarverslag van de privacytoezichthouder blijkt dat de meest gerapporteerde datalekken, in totaal 10.000, verkeerd verzonden brieven betroffen. In 3.300 gevallen ging het om verkeerd verstuurde e-mails.
Verder deden de meeste datalekken zich voor in de gezondheidssector, met 9.000 meldingen, gevolgd door de overheid met 4.300 en financiële dienstverleners met 2.000 meldingen.
Lees ook: Limburgs ziekenhuis Zuyderland lekt persoonsgegevens