Sinds de AVG van kracht werd vijf jaar geleden heeft de Autoriteit Persoonsgegevens (AP) meer dan 114.000 datalekmeldingen ontvangen. Vorig jaar werden er 21.000 datalekken bij de privacytoezichthouder gemeld. Een daling ten opzichte van 2021, toen het nog om 25.000 meldingen ging. Ruim 1800 van de datalekmeldingen vorig jaar waren het gevolg van een cyberaanval, zoals ransomware.

De voornaamste oorzaken van datalekken in 2022 waren verkeerd verstuurde brieven en fouten bij het versturen van e-mail, waarbij bijvoorbeeld de cc-optie in plaats van de bcc-optie werd gebruikt. In tienduizend gevallen ging het om een brief of postpakket met persoonsgegevens dat geopend retour werd ontvangen, kwijtgeraakt of verstuurd of afgegeven aan de verkeerde ontvanger. Datalekken door e-mails met persoonsgegevens die aan de verkeerde ontvanger werden verstuurd of waarbij ontvangers in het aan-veld of in de cc stonden kwamen 3300 keer voor.

Vorig jaar ontving de AP bijna tweeduizend tips over datalekken. Burgers melden dan dat er naar hun mening een datalek heeft plaatsgevonden bij een organisatie. Naar aanleiding van 35 datalekmeldingen startte de privacytoezichthouder een onderzoek. Deze 35 datalekmeldingen brachten de grootste risico’s voor de slachtoffers met zich mee, oordeelde de AP. Het ging voornamelijk om situaties waarbij een organisatie de slachtoffers van een cyberaanval niet informeerde, terwijl dat wel moest.

Cyberaanvallen

De meeste meldingen van cyberaanvallen, 424 in totaal, ontving de AP vorig jaar uit de zorgsector. Een groot deel van deze datalekmeldingen werd gedaan naar aanleiding van cyberaanvallen bij ict-leveranciers in de zorg. Alleen al door de grootste drie cyberaanvallen bij ict-leveranciers zijn van ongeveer 900.000 patiënten of cliënten medische persoonsgegevens gelekt. De Autoriteit Persoonsgegevens merkt op dat getroffen ict-leveranciers vaak te maken kregen met een cyberaanval omdat ze hun beveiliging niet op orde hadden.