Bijna 10 duizend meldingen van een datalek
De AP is in 2023 samen met het CBS een project gestart om informatie uit datalekken die bij de AP gemeld zijn beschikbaar te stellen voor wetenschappelijk en statistisch onderzoek. De samenwerking betreft een proefproject. De cijfers van de AP zijn voorlopig.
| Totaal | Aantal |
|---|---|
| Brief of postpakket met persoonsgegevens | 4029 |
| Email met persoonsgegevens | 1760 |
| Hacking, malware en/of phishing | 797 |
| Overig | 3219 |
| Bron: CBS, Autoriteit Persoonsgegevens (AP) | |
| *voorlopige cijfers | |
In 41 procent van de datalekmeldingen door bedrijven en organisaties in de eerste helft van 2024, ging het om een incident met een brief of postpakket met persoonsgegevens. Ook in voorgaande jaren kwam dit type incident het meeste voor. Het gaat hier bijvoorbeeld om een brief of postpakket dat is verstuurd of afgegeven aan een verkeerde ontvanger, of een brief of postpakket dat geopend retour is ontvangen of is kwijtgeraakt.
In 18 procent van de gevallen ging het om een datalek waarbij er iets misging met persoonsgegevens in een email, zoals versturen aan een verkeerde ontvanger. In 8 procent van de datalekmeldingen vond er een vorm van cybercrime plaats, zoals hacking, malware of phishing.
Daarnaast kan het bij de overige incidenten (33 procent) gaan om onder andere persoonsgegevens die zijn toegevoegd aan een verkeerd dossier, persoonsgegevens van een klant die zijn getoond in het verkeerde klantportaal, of om een usb-stick of papier met persoonsgegevens dat is kwijtgeraakt.
Vooral datalekmeldingen van grote bedrijven
Bijna 7 op de 10 datalekmeldingen werd gedaan door een groot bedrijf of grote organisatie (250 of meer werknemers). Hiermee vertegenwoordigen grote bedrijven of organisaties (0,2 procent van alle bedrijven in Nederland) een relatief groot aandeel in de datalekmeldingen. Veel minder meldingen kwamen van kleinere bedrijven (0 tot 50 of 50 tot 250 werknemers. Beide iets meer dan 1 400 meldingen).
| Grootte of sector | Aantal |
|---|---|
| 250 of meer werkzame personen | 6433 |
| 50 tot 250 werkzame personen | 1409 |
| 0 tot 50 werkzame personen | 1415 |
| Bron: CBS, Autoriteit Persoonsgegevens (AP) | |
| *voorlopige cijfers | |
Meldingen datalek vaak door openbaar bestuur en overheidsdiensten
De helft van de datalekmeldingen kwam vanuit de bedrijfstak openbaar bestuur, overheidsdiensten en verplichte sociale verzekeringen (ruim 2,5 duizend) of een organisatie in de gezondheidszorg en welzijn (2,4 duizend). Hierbij gaat het vooral ook om de grote bedrijven waar de datalekmeldingen vandaan kwamen.
| Sector | Aantal |
|---|---|
| Openbaar bestuur en overheidsdiensten | 2542 |
| Gezondheids- en welzijnszorg | 2400 |
| Handel, vervoer en horeca | 1091 |
| Financiële dienst- verlening | 975 |
| Specialistische zakelijke diensten | 551 |
| Onderwijs | 504 |
| Verhuur en overige zakelijke diensten | 389 |
| Informatie en communicatie | 296 |
| Landbouw en nijverheid | 230 |
| Cultuur, Sport, recreatie en overige dienstverlening | 159 |
| Verhuur en handel van onroerend goed | 120 |
| Bron: CBS, Autoriteit Persoonsgegevens (AP) | |
| *voorlopige cijfers | |
Meestal naam of contactgegevens bij datalek
Vaak was bij een datalekmelding de naam van de persoon betrokken (89 procent), gevolgd door contactgegevens zoals adres, woonplaats, email of telefoonnummer (62 procent). Het minst vaak ging het om het paspoort of andere legitimatiebewijzen (4 procent).
Bij de meeste datalekmeldingen (88 procent) gaf de melder aan dat voorafgaand aan het incident geen maatregelen waren getroffen om de persoonsgegevens te versleutelen, hashen of op een andere manier ontoegankelijk te maken voor onbevoegden.
| Persoonsgegevens | 1e helft 2024* (%) |
|---|---|
| Naam | 89 |
| Contactgegegevens | 62 |
| Geslacht | 52 |
| Geboortedatum of leeftijd | 36 |
| BSN | 29 |
| Financiële gegevens | 29 |
| Paspoort/ legitimatiebewijs | 4 |
| Bron: CBS, Autoriteit Persoonsgegevens (AP) | |
| *voorlopige cijfers | |
Meerdere datalekken mogelijk bij een melding
Als een bedrijf een datalek meldt bij de Autoriteit Persoonsgegevens, gaat dat meestal om één inbreuk. Bij 1 procent van de datalekmeldingen gaf de melder echter aan dat het om meerdere gelijksoortige inbreuken tegelijk ging, bijvoorbeeld als gevolg van een grootschalige postverzending. Hieruit blijkt dat de ruim 9,8 duizend datalekmeldingen van de eerste helft van 2024 in totaal ruim 16,5 duizend inbreuken vertegenwoordigden. Ter vergelijking, in heel 2023 waren er 25,7 duizend inbreuken gemeld.
Bij een melding van een datalek kan het zowel om een incident gaan waarbij een persoon is getroffen, als om een incident waarbij miljoenen personen tegelijk betrokken zijn.
Bronnen
- Link Tabel – Datalekmeldingen bij autoriteit persoonsgegevens 1e helft 2024
- Externe link Publicatie - Rapportage datalekken 2023 | Autoriteit Persoonsgegevens
Relevante links
- Externe link Autoriteit Persoonsgegevens – Datalek melden