De Autoriteit Persoonsgegevens (AP) ontving vorig jaar zo’n 26.000 meldingen van datalekken, maar slachtoffers worden vaak niet ingelicht, zo laat de privacytoezichthouder in het vandaag gepubliceerde jaarverslag 2023 weten. Op basis van de ontvangen datalekmeldingen schat de AP dat vorig jaar twintig miljoen mensen slachtoffer van een datalek zijn geworden. Het gaat zowel om mensen in Nederland als in andere landen.
Een probleem is dat veel organisaties die door een cyberaanval worden getroffen het risico voor slachtoffers te laag inschatten. Op basis van een analyse stelt de AP dat 54 procent van de organisaties slachtoffers niet informeert. “Mensen die niet weten dat ze slachtoffer zijn van een datalek, kunnen verrast worden door een phishingaanval of het slachtoffer worden van oplichting of identiteitsfraude”, aldus de AP. Vorig jaar deden ruim zevenduizend mensen melding van identiteitsfraude bij het Centraal Meldpunt Identiteitsfraude (CMI).
Van alle gerapporteerde datalekken vorig jaar ging het ruim dertienhonderd keer om een cyberaanval. “Cyberaanvallers richten hun digitale pijlen vaak op it-leveranciers. Organisaties huren it-leveranciers in om vaak grote hoeveelheden persoonsgegevens te beheren. Deze inhurende organisaties blijven doorgaans zelf verantwoordelijk als er iets gebeurt met deze gegevens”, laat de toezichthouder weten. Volgens de AP leveren datalekken door cyberaanvallen over het algemeen hoge risico’s op voor de slachtoffers, zoals identiteitsfraude, phishing of oplichting. “Daarom moet dit soort datalekken vrijwel altijd gemeld worden aan de AP en aan de slachtoffers.”
Meeste datalekken door verkeerd verzonden brief
De meeste datalekken die vorig jaar bij de AP werden gemeld waren veroorzaakt door een verkeerd verstuurde brief. Het ging om tienduizend meldingen. Een verkeerd verstuurde e-mail was bij 3300 datalekmeldingen de oorzaak. Zoals gezegd was dertienhonderd keer een cyberaanval zoals malware of phishing de reden, maar een zelfde aantal deed zich voor doordat klanten in een klantportaal van bedrijf of organisatie de gegevens van een andere klant te zien kregen.
De gezondheidssector was verantwoordelijk voor de meeste datalekmeldingen, negenduizend in totaal. Het openbaar bestuur volgt met 4300 meldingen en financiële dienstverleners rapporteerden bijna tweeduizend datalekken. “Mensen moeten erop kunnen vertrouwen dat organisaties goed met hun persoonsgegevens omgaan. Daar hoort ook bij dat een organisatie jou goed informeert als er helaas iets misgaat met jouw gegevens”, zegt AP-voorzitter Aleid Wolfsen. “Digitalisering brengt kansen met zich mee, maar ook risico’s. Dat maakt het des te belangrijker om mensen goed te informeren.”
Bron: security.nl