Datalekken

Bijna elke week is wel in het nieuws dat ergens een datalek heeft plaatsgevonden. Officiële cijfers van de Autoriteit Persoonsgegevens zijn nog niet bekend, maar de verwachting is een stijging van het aantal gemelde datalekken in 2019 ten opzichte van 2018. Advocatenkantoor DLA Piper stelt zelfs op basis van eigen onderzoek dat Nederland koploper is in de Europese Unie.

Wat is een datalek?

Ingevolge de Algemene Verordening Persoonsgegevens (AVG) is sprake van een datalek in geval van de vernietiging, het verlies, de wijziging of ongeoorloofde toegang tot persoonsgegevens door een inbreuk op de beveiliging. Een dergelijke inbreuk kan bijvoorbeeld geschieden door een hack of een gestolen USB-stick. Verreweg de meest gemelde datalekken gebeuren echter per ongeluk, zoals een verstuurde e-mail naar een verkeerde ontvanger of een vergeten laptop bij een klant. Zo had een (inmiddels ontslagen) medewerker van het HagaZiekenhuis een lijst met namen en andere patiëntgegevens gebruikt als boodschappenlijstje en vergeten in een winkelkarretje van de supermarkt.

Bron: Autoriteit Persoonsgegevens.

Meldplicht datalekken Sinds 2016 zijn organisaties in Nederland verplicht om datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP). Melden hoeft niet altijd, maar is afhankelijk van het verwachte risico op schade voor de personen van wie de gegevens zijn. Indien dat risico hoog is, moet het datalek ook worden gemeld aan de betrokken personen. Wanneer een gestolen USB-stick bijvoorbeeld zeer goed is beveiligd en een back-up is gemaakt van de persoonsgegevens die erop staan, is een melding niet verplicht. In het voornoemde geval van het boodschappenlijstje zou een melding wel verplicht zijn, vooral omdat het om gevoelige gegevens ging. Een ander voorbeeld is een datalek bij Uber in 2016 waarbij hackers onbevoegde toegang kregen tot persoonsgegevens zoals namen en telefoonnummers van klanten en chauffeurs, waaronder die van 174.000 Nederlanders. De AP kreeg pas meer dan een jaar later een melding van het datalek, hetgeen leidde tot een boete van 600.000 euro voor Uber.

Beveiliging

Een datalek kan elke organisatie gebeuren. Wanneer ergens een datalek plaatsvindt, betekent dit dan ook niet per definitie dat de organisatie niet betrouwbaar is. De AVG verplicht organisaties echter wel om passende beveiligingsmaatregelen te nemen om een datalek te voorkomen. Het HagaZiekenhuis had deze beveiliging niet op orde, hetgeen bleek nadat naar aanleiding van het datalek een onderzoek was ingesteld door de AP. Tientallen medewerkers van het ziekenhuis hadden onnodig in het patiëntendossier van bekende Nederlander ‘Barbie’ gekeken. De AP oordeelde dat het HagaZiekenhuis onvoldoende beveiligingsmaatregelen had getroffen omdat het ziekenhuis niet regelmatig controleerde wie welk dossier raadpleegde en geen tweefactorauthenticatie was vereist voor het raadplegen van dossiers. Inloggen kon namelijk met gebruikersnaam en wachtwoord, zonder het scannen van de unieke personeelspas. Het ziekenhuis kreeg daarom een boete van 460.000 euro.

Conclusie

Oorzaken voor het stijgend aantal meldingen van datalekken en het feit dat Nederland koploper is in de Europese Unie zijn mij onbekend. Wellicht is de beveiliging van organisaties in Nederland niet op orde, maar het kan ook zo zijn dat Nederlandse organisaties juist steeds meer privacybewust worden in die zin dat zij datalekken eerder opmerken en melden. Ik hoop natuurlijk op het laatste geval, opdat onze persoonsgegevens veilig zijn in een tijd waarin data steeds meer waard is.