Advertentie
digitaal / Nieuws

'Iedereen krijgt te maken met datalek persoonsgegevens'

Vorig jaar kreeg de autoriteit 21.151 meldingen van datalekken binnen, tegenover 24.866 het jaar ervoor. Maar blijf waakzaam.

ANP
06 juni 2023
datalek
Shutterstock

Burgers moeten ervan uitgaan dat persoonlijke gegevens al eens gelekt zijn, of dat dit nog kan gebeuren. Dat constateert de Autoriteit Persoonsgegevens vijf jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG). Nederlanders moeten daarom 'werk maken' van hun bescherming om dit te voorkomen, zegt de privacywaakhond.

Senior beleidsmedewerker tegengaan van ondermijning en weerbare overheid

Provincie Utrecht
Senior beleidsmedewerker tegengaan van ondermijning en weerbare overheid

Strategisch planeconoom

Gemeente Kampen
Strategisch planeconoom

Privacyrechten

Zo adviseert de waakhond overal een ander wachtwoord te gebruiken en beveiligde inlogmethodes te gebruiken als organisaties die aanbieden. De autoriteit roept ook op tot het gebruikmaken van privacyrechten, zoals een verzoek om verwijdering van gegevens bij organisaties. 'Hoe minder gegevens organisaties hebben, hoe minder risico u loopt', zegt de dienst in het jaarrapport over datalekken in 2022.

Datalekken

Vorig jaar kreeg de autoriteit 21.151 meldingen van datalekken binnen, tegenover 24.866 het jaar ervoor. Het aantal gemelde datalekken door cyberaanvallen daalde ook licht, naar 1826, tegen 2210 in 2021. Toen kwam de waakhond 'woorden tekort' voor de destijds explosieve toename van het aantal cyberaanvallen. Dat was vooral te wijten aan de coronapandemie, toen burgers en bedrijven halsoverkop allerlei zaken digitaal moesten regelen.

Meldingen

De lichte daling kan ook verklaard worden door de manier waarop organisaties lekken melden. Als één organisatie namelijk veel meldingen doet, kan dat het aantal vertekenen. 'Of dat organisaties hun processen aanpassen, waardoor er minder fouten worden gemaakt die leiden tot een datalek', legt de autoriteit uit. De waakhond benadrukt dat de daling niet structureel is.

Zorg

De meeste meldingen van zowel datalekken als cyberaanvallen kwamen uit de zorg. 'Dat komt door de enorme clustering aan persoonsgegevens', zegt Dennis Davrados, Inspecteur en Coördinator Team Datalekken. Volgens de toezichthouder gaat het dan altijd om medische gegevens. De grootste drie cyberaanvallen alleen al bij IT-leveranciers bij zorginstellingen leidden al tot zo'n 900.000 slachtoffers.

Financiële dienstverlening

Het aantal lekken in de financiële dienstverlening, zoals hypotheekverstrekkers, daalde met bijna een derde ten opzichte van een jaar eerder. In het openbaar bestuur, zoals gemeenten, daalde het aantal datalekken met 16 procent ten opzichte van 2021.

Cyberaanvallen

In de afgelopen vijf jaar turfde de waakhond ruim 114.000 datalekmeldingen. Dat zijn er tussen de 20.000 en 25.000 per jaar. Dat blijft volgens de organisatie zo in de toekomst. Van alle meldingen ging het meer dan 6500 keer om cyberaanvallen. Verhoudingsgewijs neemt het aantal cyberaanvallen toe, aldus de waakhond.

Reacties: 2

U moet ingelogd zijn om een reactie te kunnen plaatsen.

P. Smit
Burgers kunnen zichzelf goed beschermen maar als bijvoorbeeld een pensioenfonds een e-mail stuurt en alle 500 geadresseerden in de CC zet in plaats van in de BCC dan is het dweilen met de kraan open.

Bovendien staat er in de mislukte intrekkingse-mail:
Wij aanvaarden geen aansprakelijkheid voor onjuiste, onvolledige dan wel
ontijdige overbrenging van de inhoud van een verzonden e-mailbericht, noch voor daarbij overgebrachte virussen.

Lust er nog iemand peultjes?
PJ Westerhof LL.M MIM
Zeven jaar na de inwerkingtreding, en vijf jaar na het volledig van kracht worden van de AVG, kunnen we constateren dat een te groot aantal overheden en bedrijven nog steeds niet aan de AVG voldoet.
Dat nog meer overheden en bedrijven het basisniveau systeembeveiliging niet eens halen.
Dat het personeel en ambtenaren over de volle linie ontbreekt aan beveiligingsbewustzijn, ondanks de miljoenen gespendeerd aan cursussen en workshops.
Dat bij overheden en bedrijfsleven gegevensverzamelingen worden gezien graaimateriaal waarmee men kan doen wat men wil. Dat de grondslag 'gerechtvaardigd belang' een commercieel en justitieel zo aantrekkelijk mogelijke uitleg heeft gekregen.
Dat er nauwelijks sancties staan op schending van de AVG. Dat de pakkans gering is gezien het capaciteitsgebrek bij de AP. Dat bij de AP gemelde inbreuken lang op de plak blijven liggen wegens het capaciteitsgebrek bij de AP. Dat het capaciteitsgebrek bij de AP een bewuste politieke keuze is geweest.
Dat burger en consument nauwelijks rechtsbescherming kent, aangezien de rechter eerst maar eens wil zien dat er aantoonbaar schade is geleden. Waarmee persoonsgegevens aldus vogelvrij zijn geworden. Graaimateriaal was het al maar nu dus gesanctioneerd door de rechter.
Dat overheden en bedrijven, alles afwegende, constateren dat het gemakkelijke en vooral goedkoper is om zo min mogelijk te doen. Aangezien de gemoeide kosten hoger zijn dan de eventueel geriskeerde dwangsommen en boetes. Welke dwangsommen en boetes overigens doodkalm worden afgewenteld op burger en consument. Waarbij de dwangsommen en boetes niet zelden door de eerder genoemde rechter zijn gemitigeerd.
Dat eindverantwoordelijk bestuurders bij overheden en bedrijven - CEO's en burgemeesters - in de media het liefst doen voorkomen als een veldheer op de barricades 'cyberaanvallen' te weerstaan, en daarmee verbloemen faalfiguren te zijn die hun zaken niet op orde hebben.
Dat deze 'bestuurders' bij overheden en bedrijven hun verantwoordelijkheden ('responsibilities') zoveel mogelijk weg delegeren, en hun aansprakelijkheid (''accountability') ontkennen. Dat deze duurbetaalde directies en colleges zelden op dit duikgedrag worden aangesproken.

Kortom, kunnen we constateren dat de AVG in Nederland weinig meer is dan een schertsvertoning.
Welke het daarvoor bij WBP en WPR ook reeds was.
Advertentie