De Autoriteit Persoonsgegevens (AP) heeft in 2019 27% meer meldingen ontvangen van overheden en bestuursorganen dan in 2018. Gemeenten nemen een derde van de meldingen voor hun rekening. Dat meldt de AP in haar jaarcijfers over de meldplicht datalekken. Geen enkele overheid heeft een datalek gemeld als gevolg van ransomware.
In 70% van de gevallen bij overheden gaat het om een relatief klein datalek, vaak post en e-mail met persoonsgegevens die aan de verkeerde ontvanger zijn gestuurd. In veel gevallen komt dat door het gebruik van verouderde adressen, of de verwisseling van klant/relatienummers, waardoor klanten de verkeerde brief ontvangen. Ook ziet het AP veel incidenten waarbij per ongeluk meerdere brieven aan verschillende personen in één envelop zijn gestopt of dubbelzijdig zijn geprint. Het lekken van gegevens van mobiele gegevensdragers als smartphones komt relatief vaker voor bij de rijksoverheid
Voorzichtiger
Toch waarschuwt de AP overheden om voorzichtiger met gegevens om te gaan. Omdat het gaat om gevoelige persoonsgegevens, zoals burgerservicenummers of gegevens over zorg of maatschappelijke dienstverlening, kan het lek een grote impact hebben op het leven van burgers wanneer de gegevens worden ingezien door onbevoegden.
Hackers
Van alle overheden melden gemeenten de meeste datalekken door hacking, malware en phishing (60%), gevolgd door provincies (16%). Meestal gaat om phishing, het sturen van e-mails met een valse afzender, bedoeld om inloggegevens te ontfutselen. De AP heeft geen meldingen ontvangen van overheden over, al dan niet geslaagde, ransomware-aanvallen, waarbij data wordt gegijzeld met versleuteling om losgeld te innen. Volgens de AP is een mogelijke verklaring hiervoor dat organisaties in deze sector over het algemeen een hoog volwassenheidsniveau hebben op het gebied van databeveiliging.
Melden
Organisaties die persoonsgegevens beheren, verwerken of verzamelen moeten een datalek verplicht melden bij de AP. Volgens de Autoriteit lijken organisaties door de grotere aandacht voor de privacywetgeving meer bewust van die plicht, maar niet alle meldplichtige datalekken worden daadwerkelijk gemeld. Tegen organisaties die dat niet doen, maar waarvan de AP, bijvoorbeeld door een oplettende burger, toch lucht krijgt van een datalek, kunnen sancties worden genomen. In 2019 heeft is de AP 28 keer een onderzoek gestart naar het niet melden van een lek.
Bron: BinnenlandsBestuur Digitaal