Het afgelopen jaar is in totaal zo’n 5.500 keer gemeld dat privacygevoelige informatie van organisaties per ongeluk is gelekt.
Vooral in de sector zorg- en welzijn is regelmatig sprake van het lekken van vertrouwelijke inlichtingen: bijna een derde van de meldingen kwam uit die hoek. Er wordt daar juist met zeer privacygevoelige informatie gewerkt, bijvoorbeeld gegevens over ziektes of geestelijke problemen.
Dat soms onzorgvuldig met dat soort gegevens wordt omgegaan is "heel zorgelijk”, zegt de voorzitter van toezichthouders Autoriteit Persoonsgegevens (AP) Aleid Wolfsen. Zo lekte een lijst met namen en gegevens van duizenden mensen die worden behandeld voor psychiatrische problemen doordat een e-mail naar een aantal verkeerde adressen werd gestuurd. "Dat is verschrikkelijk”, aldus Wolfsen.
Laptops en usb-sticks
Onbeveiligde laptops en zoekgeraakte of besmette usb-sticks; zo worden gegevens gelekt. “Bedrijven hopen simpelweg dat een hack nooit ontdekt wordt.”
Na de sector zorg- en welzijn meldden de sectoren financiële dienstverlening – zoals banken en verzekeraars – (17 procent) en openbaar bestuur (15 procent) zich het vaakst met datalekken. Meer dan honderd organisaties kregen afgelopen jaar een waarschuwing van de AP over slechte informatiebeveiliging.
Imagoschade
De sector zorg- en welzijn is vermoedelijk relatief snel geneigd om datalekken te melden, omdat het besef groot is dat met gevoelige gegevens wordt gewerkt, zegt Wolfsen. Beveiligingsexperts weten uit de praktijk dat commerciële bedrijven veel minder happig zijn om datalekken te melden, uit angst voor imagoschade.
Lekken worden vaak bewust onder de pet gehouden. Het komt ook regelmatig voor dat een organisatie niet in de gaten heeft dat derden bij persoonsgegevens kunnen. Mede om die redenen viel het aantal datalekken vermoedelijk veel lager uit dan van te voren werd ingeschat, toen nog werd gesproken over jaarlijks zestigduizend lekken.
Brieven en e-mails
Een datalek wil niet per definitie zeggen dat er gegevens in handen zijn gekomen van mensen die kwaad willen met die informatie. Het gaat bij meldingen vaak om gestolen of zoekgeraakte usb-sticks of laptops. Regelmatig waren het ook brieven met gevoelige informatie die geopend terugkwamen bij de afzender, of verkeerd verstuurde e-mails met gevoelige informatie. Computercriminaliteit valt ook onder een datalek, zoals ransomware, waarbij alle bestanden in een computer worden gegijzeld voor losgeld.
In sommige gevallen zijn lekken wel heel schadelijk, bijvoorbeeld als blijkt dat persoonlijke gegevens worden aangeboden op online zwarte markten om fraude mee te plegen.