De AP publiceert ieder jaar een overzicht van de datalekmeldingen in Nederland. In totaal ontving de AP in 2023 iets meer dan 25.000 meldingen van een datalek. Ingeschat wordt dat in 2023 ongeveer 20 miljoen mensen slachtoffer zijn geworden van een datalek.
Dat lijken flinke aantallen, maar gezien het feit dat er in Nederland 2,3 miljoen bedrijven zijn en (aangenomen) dus ook 2,3 miljoen verwerkingsverantwoordelijken, is dat ongeveer 0,011 datalekmelding per verwerkingsverantwoordelijke per jaar. Dat is lijkt wel heel weinig.
De AP is van oordeel dat te veel organisaties een datalek niet melden, terwijl het wettelijk wel verplicht is om mensen te informeren als er sprake is van een hoog risico na een datalek. De AP ziet echter dat organisaties het risico van het datalek ten onrechte juist te laag inschatten. Die te lage risico-inschatting zou bij 69% van de organisaties aan de orde zijn.
Van een datalek is heel snel sprake . Denk bijvoorbeeld aan inzage in een medisch dossier door een onbevoegde medewerker, persoonsgegevens die aan een verkeerde geadresseerde zijn gestuurd of het kwijtrijken van een usb-stick met daarop persoonsgegevens. Cyberaanvallen waarbij gevoelige persoonsgegevens zijn getroffen, leveren in veel gevallen een hoog risico op voor de slachtoffers. Er zijn risico's op identiteitsfraude, phishing of oplichting.
Het is bepaald onverstandig om een datalek niet te melden en te hopen dat het 'overwaait' of 'zo'n vaart niet zal lopen'. Blijkt achteraf dat een datalek wel gemeld had moeten worden, terwijl dat niet is gebeurd, dan zijn de gevolgen vaak veel groter.
Heeft een vraag over het maken van een risico-afweging na een datalek? Neem dan gerust contact op met mij of een van mijn collega’s uit ons multidisciplinaire privacyteam. We helpen u graag bij het maken van die risicoafweging!