Meeste meldingen datalekken in de zorgsector

In totaal ontving de AP vorig jaar 21.151 meldingen van datalekken in Nederland, die zijn ontvangen via het meldloket datalekken op de website van de AP. In de afgelopen vijf jaar waren dat 114.000 meldingen.

Het aantal meldingen uit de zorg (sector Gezondheid en Welzijn) daalde vorig jaar met 6% en het aantal meldingen uit de financiële dienstverlening daalde met 29% ten opzichte van 2021. Het aantal meldingen uit de sector openbaar bestuur is gedaald met 16%. Binnen de sector Politie en Justitie steeg het aantal meldingen juist met 11%.

Meer dan 1800 lekken waren het gevolg van cyberaanvallen, waarvan 424 meldingen (23%) uit de zorgsector. Een groot deel van de meldingen heeft de AP ontvangen naar aanleiding van cyberaanvallen bij ICT-leveranciers in de zorg. Daarnaast zijn er 160 meldingen binnengekomen van cyberaanvallen uit de sector Informatie en Communicatie (9%), 149 bij Onroerend Goed (8%) en 144 bij Bouw (8%).

Bij een cyberaanval weten criminelen in te breken in mailboxen en computersystemen en gegevens te stelen of te gijzelen.

Autorisaties

In 2022 ziet de AP een grote stijging van het aantal meldingen waarbij persoonsgegevens zijn toegevoegd aan een verkeerd dossier (+98%). Bijvoorbeeld wanneer een psychologisch rapport door een zorgverlener per ongeluk wordt toegevoegd aan het dossier van de verkeerde cliënt.

Verder constateert de autoriteit een grote stijging - 65% - van het aantal meldingen waarbij autorisaties van medewerkers te breed waren ingesteld. Als gevolg daarvan kunnen werknemers van organisaties persoonsgegevens inzien die ze voor hun werkzaamheden niet nodig hebben.

De meest voorkomende incidenten waren onder andere brieven of postpakketten met persoonsgegevens geopend retour ontvangen, kwijtgeraakt of verstuurd of afgegeven aan de verkeerde ontvanger, een e-mail met persoonsgegevens verstuurd aan de verkeerde ontvanger of verstuurd met ontvangers in het aan-veld of in de cc. Verder betreft het hacking, malware en phishing en het kwijtraken van gegevensdrager, zoals een USB-stick.

AVG

De AP benadrukt in de rapportage dat organisaties – zoals apotheken – meestal verplicht zijn slachtoffers te informeren over een datalek, zodat die zich kunnen wapenen tegen de gevolgen.

De Algemene Verordening Gegevensbescherming (AVG) stelt eisen aan die informatieverplichting aan de slachtoffers, die antwoord moet geven op onder andere de volgende vragen: wat is er gebeurd?, wat zijn de gevolgen? en welke maatregelen treft de organisatie?

Volgens de AP informeren organisaties slachtoffers niet altijd even duidelijk. De autoriteit kan organisaties verplichten die informatie aan te passen als dat nodig is. Informeert een organisatie slachtoffers niet, terwijl dat wel moet, dan kan de AP handhavend optreden.

Beveilingsmaatregelen

Het is belangrijk dat organisaties datalekken melden, benadrukt de AP, want zonder meldingen kan de autoriteit geen toezicht houden op de informatieverplichting naar de slachtoffers. Ook kan de autoriteit dan niet controleren of de getroffen organisatie wel voldoende beveiligingsmaatregelen neemt om nieuwe datalekken te voorkomen.

De AP geeft ten slotte aan niet elke melding even uitgebreid te kunnen bekijken: de ruim 21.000 datalekmeldingen in 2022 hebben geleid tot 35 onderzoeken.