Meldingen datalekken uit zorg stijgen

Het aantal meldingen van datalekken dat de Autoriteit Persoonsgegevens in 2017 kreeg, is flink gestegen ten opzichte van 2016. Dat geldt voor het totaal aantal meldingen, maar ook specifiek voor de hoofdleverancier van lekken: de zorg. Relatief neemt het aandeel meldingen uit de zorg niet toe.

De stijging wil niet zeggen dat het aantal datalekken ook daadwerkelijk is toegenomen. Sinds januari 2016 zijn organisaties (bedrijven en overheden) verplicht melding te maken van situaties waarbij persoonsgegevens ‘blootgesteld zijn aan verlies of onrechtmatige verwerking’, oftewel waarbij de beveiliging van deze data faalde. Dat kan gaan om een brief naar de verkeerde persoon, maar ook om een kwijtgeraakte laptop of een gehackte computer.

In 2017 kreeg de Autoriteit Persoonsgegevens (AP) ruim tienduizend meldingen binnen, tegenover bijna zesduizend in 2016. Bijna een op de drie meldingen kwam uit de sector ‘gezondheid en welzijn’. Dat was in 2016 ook het geval. Openbaar bestuur en financiële dienstverlening zijn allebei goed voor 19 procent van de meldingen. Deze top drie is niet verwonderlijk, aangezien deze sectoren nu eenmaal veel, en nogal eens gevoelige persoonsgegevens verwerken. Een datalek zal daarom in deze sectoren moeten leiden tot een melding. 

Wat betreft de zorg gaat het in 60 procent van de gemelde datalekken om persoonsgegevens die aan de verkeerde ontvanger zijn verstuurd of afgegeven. In slechts 3 procent van de gevallen ging het om hacking, malware of phishing. Het soort gelekte gegevens betrof meestal naam-, adres- en woonplaatsgegevens en/of personalia (geslacht, leeftijd, geboortedatum), maar in driekwart van de gevallen werden (ook) gezondheidsgegevens gelekt. Ziekenhuizen en specialistenpraktijken waren de voornaamste melders (772 meldingen).

Over het totale aantal meldingen (dus niet zorgspecifiek) maakt de AP bekend dat 42 procent van de meldingen over gegevens van 1 persoon gaan, 23 procent over 2-10 mensen, en 10 procent over meer dan 500 mensen.