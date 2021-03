Het aantal meldingen van datalekken veroorzaakt door malware en phishing is vorig jaar sterk toegenomen, wat het belang van meerfactorauthenticatie (MFA) onderstreept, zo stelt de Autoriteit Persoonsgegevens vandaag. In totaal ontving de toezichthouder vorig jaar 24.000 datalekmeldingen, een daling ten opzichte van 2019, toen het nog om 27.000 meldingen ging. Nederland staat daarmee in de top 3 van Europese landen waar de meeste datalekken worden gemeld.

De daling vorig jaar komt vooral omdat incassobureaus minder datalekken rapporteren. Zij hebben hun werkwijze aangepast waardoor er minder betalingsherinneringen bij verkeerde ontvangers terecht zijn gekomen. Daarentegen was er wel een sterke stijging van het aantal datalekmeldingen veroorzaakt door malware, phishing en inbraken op systemen. De Autoriteit Persoonsgegevens spreekt van een explosieve toename en luidt zelfs de noodklok.

Bijna 1200 meldingen vorig jaar waren het gevolg van malware en phishing. Een stijging van dertig procent ten opzichte van 2019. In dat jaar waren dit soort meldingen ook al met 25 procent toegenomen. De AP merkt op dat vooral bij dit type datalek meerfactorauthenticatie de impact van het datalek had kunnen beperken of zelfs had kunnen voorkomen.Naar schatting van de AP waren vorig jaar minimaal 600.000 en maximaal 2.000.000 personen (mogelijk) betrokken bij een (gemeld) datalek dat voorkomen had kunnen worden met MFA.

Sectoren

De meeste datalekmeldingen werden vorig jaar gedaan door de sector gezondheid en welzijn (30 procent), gevolgd door financiële dienstverlening en openbaar bestuur (beide 22 procent). Vergeleken met 2019 is het aantal meldingen vanuit de zorg gedaald met 4 procent. De financiële sector liet zelfs een daling van 34 procent zien. Vanuit de overheid steeg het aantal datalekmeldingen echter met 13 procent. Dit komt doordat de overheid vaker persoonsgegevens naar de verkeerde ontvanger stuurde.

Niet gemelde datalekken

Net als in 2018 en 2019 stelt de toezichthouder dat nog steeds niet alle datalekken die organisaties moeten melden ook daadwerkelijk worden gemeld. Dat wordt bijvoorbeeld duidelijk als betrokkenen bij de AP een klacht of tip achterlaten over een (meldplichtig) datalek, dat door de organisatie zelf niet gemeld blijkt te zijn. In 2020 heeft de AP bijna 2.500 klachten en tips van burgers ontvangen en beoordeeld over mogelijke datalekken.

Vorig jaar verrichtte de Autoriteit Persoonsgegevens tien onderzoeken waarbij (mogelijk) een meldplichtig datalek niet is gemeld. Deze onderzoeken hebben geleid tot een waarschuwende brief of een gesprek. Op dit moment lopen er nog negen onderzoeken. Naar aanleidingen van de datalekken doet de AP de onderstaande vijf aanbevelingen.