Bijna 10.000 meldingen van een datalek

In de eerste helft van 2024 kreeg de Autoriteit Persoonsgegevens ruim 9,800 keer een datalekmelding binnen van bedrijven en organisaties. Hiermee ligt het aantal datalekmeldingen lager dan in de eerste helft van zowel 2023 als 2022 (beide 10,500). Bij datalekken kan het onder andere gaan om fouten bij het versturen van e-mails met verkeerde persoonsgegevens, hacking of phishing. Meestal kwam het datalek juist van een incident met een brief of postpakket. Datalekken kwamen het meest voor bij grote bedrijven. Dit blijkt uit cijfers van het CBS en de Autoriteit Persoonsgegevens (AP).

De AP is in 2023 samen met het CBS een project gestart om informatie uit datalekken die bij de AP gemeld zijn beschikbaar te stellen voor wetenschappelijk en statistisch onderzoek. De samenwerking betreft een proefproject. De cijfers van de AP zijn voorlopig.

 

Datalekmeldingen bedrijven en organisaties, type incident, 1e helft 2024*
Totaal Aantal
Brief of postpakket met persoonsgegevens 4029
Email met persoonsgegevens 1760
Hacking, malware en/of phishing 797
Overig 3219
Bron: CBS, Autoriteit Persoonsgegevens (AP)
*voorlopige cijfers

In 41% van de datalekmeldingen door bedrijven en organisaties in de eerste helft van 2024, ging het om een incident met een brief of postpakket met persoonsgegevens. Ook in voorgaande jaren kwam dit type incident het meeste voor. Het gaat hier bijvoorbeeld om een brief of postpakket dat is verstuurd of afgegeven aan een verkeerde ontvanger, of een brief of postpakket dat geopend retour is ontvangen of is kwijtgeraakt.

In 18% van de gevallen ging het om een datalek waarbij er iets misging met persoonsgegevens in een email, zoals versturen aan een verkeerde ontvanger. In 8% van de datalekmeldingen vond er een vorm van cybercrime plaats, zoals hacking, malware of phishing.Daarnaast kan het bij de overige incidenten (33%) gaan om onder andere persoonsgegevens die zijn toegevoegd aan een verkeerd dossier, persoonsgegevens van een klant die zijn getoond in het verkeerde klantportaal, of om een usb-stick of papier met persoonsgegevens dat is kwijtgeraakt.

Vooral datalekmeldingen van grote bedrijven

Bijna 7 op de 10 datalekmeldingen werd gedaan door een groot bedrijf of grote organisatie (250 of meer werknemers). Hiermee vertegenwoordigen grote bedrijven of organisaties (0,2% van alle bedrijven in Nederland) een relatief groot aandeel in de datalekmeldingen. Veel minder meldingen kwamen van kleinere bedrijven (0 tot 50 of 50 tot 250 werknemers. Beide iets meer dan 1.400 meldingen).

*

Datalekmeldingen, bedrijfsgrootte, 1e helft 2024*
Grootte of sector Aantal
250 of meer
werkzame personen
6433
50 tot 250
werkzame personen
1409
0 tot 50
werkzame personen
1415
Bron: CBS, Autoriteit Persoonsgegevens (AP)
*voorlopige cijfers

Meldingen datalek vaak door openbaar bestuur en overheidsdiensten

De helft van de datalekmeldingen kwam vanuit de bedrijfstak openbaar bestuur, overheidsdiensten en verplichte sociale verzekeringen (ruim 2,500 duizend) of een organisatie in de gezondheidszorg en welzijn (2,400). Hierbij gaat het vooral ook om de grote bedrijven waar de datalekmeldingen vandaan kwamen.

 

Datalekmeldingen, bedrijfstak, 1e helft 2024*
Sector Aantal
Openbaar bestuur en
overheidsdiensten
2542
Gezondheids- en
welzijnszorg
2400
Handel, vervoer en
horeca
1091
Financiële dienst-
verlening
975
Specialistische zakelijke
diensten
551
Onderwijs 504
Verhuur en overige
zakelijke diensten
389
Informatie en
communicatie
296
Landbouw en
nijverheid
230
Cultuur, Sport, recreatie en
overige dienstverlening
159
Verhuur en handel
van onroerend goed
120
Bron: CBS, Autoriteit Persoonsgegevens (AP)
 

Meestal naam of contactgegevens bij datalek

Vaak was bij een datalekmelding de naam van de persoon betrokken (89%), gevolgd door contactgegevens zoals adres, woonplaats, email of telefoonnummer (62%). Het minst vaak ging het om het paspoort of andere legitimatiebewijzen (4%).

Bij de meeste datalekmeldingen (88%) gaf de melder aan dat voorafgaand aan het incident geen maatregelen waren getroffen om de persoonsgegevens te versleutelen, hashen of op een andere manier ontoegankelijk te maken voor onbevoegden.

 

Betrokken persoonsgegevens bij datalekmeldingen, 1e helft 2024*
Persoonsgegevens 1e helft 2024* (%)
Naam 89
Contactgegegevens 62
Geslacht 52
Geboortedatum
of leeftijd
36
BSN 29
Financiële gegevens 29
Paspoort/
legitimatiebewijs
4
Bron: CBS, Autoriteit Persoonsgegevens (AP)
 

Meerdere datalekken mogelijk bij een melding

Als een bedrijf een datalek meldt bij de Autoriteit Persoonsgegevens, gaat dat meestal om één inbreuk. Bij 1% van de datalekmeldingen gaf de melder echter aan dat het om meerdere gelijksoortige inbreuken tegelijk ging, bijvoorbeeld als gevolg van een grootschalige postverzending. Hieruit blijkt dat de ruim 9,800 datalekmeldingen van de eerste helft van 2024 in totaal ruim 16,500 inbreuken vertegenwoordigden. Ter vergelijking, in heel 2023 waren er 25,700 inbreuken gemeld.