In het eerste kwartaal van dit jaar er ruim 2.317 datalekken gemeld aan de Autoriteit Persoonsgegevens (AP). Daarvan waren er 2.054 aanleiding voor de AP om deze te controleren. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (27%), financiële dienstverlening (21%) en openbaar bestuur (20%) en betroffen in bijna de helft van de gevallen persoonsgegevens die zijn verstuurd of afgegeven aan verkeerde ontvangers.
De AP startte in deze periode 135 onderzoeken naar beveiliging en datalekken. Dit gaat ook om mogelijke datalekken bij organisaties die deze niet hebben gemeld. Een deel van de onderzoeken loopt nog in het tweede kwartaal. De AP gaf het merendeel van de onderzochte organisaties een waarschuwing. In het algemeen leidde dat tot beëindiging van de overtreding. Er zijn in het eerste kwartaal van 2017 geen boetes uitgedeeld.
Typen datalekken
Het meest voorkomende type datalek was het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (45% van de meldingen). Bijvoorbeeld een brief met gevoelige gegevens die bij de verkeerde persoon terecht is gekomen en is geopend. In 15% van de datalekken betrof het een apparaat, gegevensdrager en/of een papier dat is kwijtgeraakt of gestolen, gevolgd door hacking, malware en/of phising (7%), een kwijtgeraakt of geopend retour ontvangen brief of postpakket (eveneens 7%). Andere typen datalekken zijn persoonsgegevens van een verkeerde klant die is getoond in klantportaal (5%), persoonsgegevens die per ongeluk zijn gepubliceerd (5%), persoonsgegevens die bij het oud papier zijn gezet (< 1%) of persoonsgegevens nog aanwezig op een afgedankt apparaat (< 1%).
In ruim 60% van de meldingen in het eerste kwartaal van 2017 ging het om minder dan tien mensen. Dat hangt samen met het soort datalekken dat het vaakst voorkomt. Wordt bijvoorbeeld een brief verkeerd bezorgd, dan gaat het om de gegevens van één persoon. Daarvan was er in 37% sprake. In een kleine 4% van de meldingen ging het om de gegevens van 5.000 mensen of meer. Bijvoorbeeld een besmetting met ransomware waarbij mogelijk gegevens van 300.000 mensen waren gelekt, waaronder financiële gegevens en kopieën van ID-bewijzen. Of een klantportaal waarbij de NAW-gegevens en het BSN van 480.000 mensen mogelijk zichtbaar waren geweest voor andere klanten. Het grootste aantal betrokkenen dat werd gemeld, was 680.000. Bij 15% van de datalekken waren 10 tot 100 personen betrokken en bij 12% tussen de 100 en 500
Kijkend naar het soort gegevens dat bij een datalek openbaar werd scoren naam-, adres- en woonplaatsgegevens verreweg het hoogst (ca. 2.100). Op de tweede plaats volgen gegevens over geslacht, geboortedatum en/of leeftijd (ca. 1.400), het burgerservicenummer (BSN, ca.900 nummer), telefoonnummers (ca. 800) en financiële gegevens (ca 800). Zoals gezegd hadden de meeste datalekken betrekking op de sectoren gezondheidszorg en welzijn (666 meldingen, 27%), financiële dienstverlening (517 meldingen,21%) en openbaar bestuur (484 meldingen, 20%). De Top-10 wordt gecompleteerd door de informatie- en communicatiesector (7%), onderwijs, vervoer, specialistische zakelijke dienstverlening en overige zakelijke dienstverlening (alle 3%) en energiesector en handel en autobranche (beide 2%).
Financiële dienstverlening
Iets meer dan een vijfde van alle datalekken (21%) betrof de financiële dienstverlening. In 63% van de gevallen ging het om persoonsgegevens die aan de verkeerde ontvanger waren verstuurd of afgegeven , op ruime afstand gevolgd door een kwijtgeraakt of geopend retour ontvangen brief of postpakket (13%), persoonsgegevens van verkeerde klant getoond in klantportaal (9%), een apparaat en/of een papier dat is kwijtgeraakt of gestolen (3%), hacking, malware en/of phising (2%), persoonsgegevens die per ongeluk zijn gepubliceerd (2%) en persoonsgegevens die bij het oud papier zijn gezet (< 1%).
In het overgrote deel van de datalekken ging het om naam- adres en woonplaatsgegevens (ca475), gevolgd door financiële gegevens (ca 405), gegevens over geslacht, geboortedatum en/of leeftijd (ca 310), Burgerservicenummer (ca 175) en toegangs- of identiteitsgegevens (ca 125).
