In de eerste helft van 2024 kreeg de Autoriteit Persoonsgegevens ruim 9,8 duizend keer een datalekmelding binnen van bedrijven en organisaties. Dat is lager dan in de eerste helft van voorgaande jaren (beide 10,5 duizend). Bij datalekken kan het onder andere gaan om fouten bij het versturen van e-mails met verkeerde persoonsgegevens, hacking of phishing. Datalekken kwamen het meest voor bij grote bedrijven.
▼
Bij 41% van de datalekmeldingen door bedrijven en organisaties in de eerste helft van 2024, ging het om een incident met een brief of postpakket met persoonsgegevens. Ook in voorgaande jaren kwam dit type incident het meeste voor. Het gaat hier bijvoorbeeld om een brief of postpakket dat is verstuurd of afgegeven aan een verkeerde ontvanger, of een brief of postpakket dat geopend retour is ontvangen of is kwijtgeraakt.
In 18% van de gevallen ging het om een datalek waarbij er iets misging met persoonsgegevens in een email, zoals versturen aan een verkeerde ontvanger. In 8% procent van de datalekmeldingen vond er een vorm van cybercrime plaats, zoals hacking, malware of phishing.
Daarnaast kan het bij de overige incidenten (33%) gaan om onder andere persoonsgegevens die zijn toegevoegd aan een verkeerd dossier, persoonsgegevens van een klant die zijn getoond in het verkeerde klantportaal, of om een usb-stick of papier met persoonsgegevens dat is kwijtgeraakt.
Aandeel grote bedrijven
Bijna 7 op de 10 datalekmeldingen werd gedaan door een groot bedrijf of grote organisatie (250 of meer werknemers). Hiermee vertegenwoordigen grote bedrijven of organisaties (0,2% van alle bedrijven in Nederland) een relatief groot aandeel in de datalekmeldingen. Veel minder meldingen kwamen van kleinere bedrijven (0 tot 50 of 50 tot 250 werknemers. Beide iets meer dan 1400 meldingen).
Openbaar bestuur en overheidsdiensten
De helft van de datalekmeldingen kwam vanuit het openbaar bestuur, overheidsdiensten en verplichte sociale verzekeringen (ruim 2500) of een organisatie in de gezondheidszorg en welzijn (2400). Hierbij gaat het vooral ook om de grote organisaties.
Meestal naam of contactgegevens
Vaak was bij een datalekmelding de naam van een persoon betrokken (89%), gevolgd door contactgegevens zoals adres, woonplaats, email of telefoonnummer (62%). Het minst vaak ging het om het paspoort of andere legitimatiebewijzen (4%).
Bij de meeste datalekmeldingen (88%) had de melder voorafgaand aan het incident geen maatregelen getroffen om de persoonsgegevens te versleutelen, te hashen of op een andere manier ontoegankelijk te maken voor onbevoegden.
Meerdere datalekken mogelijk
Als een bedrijf een datalek meldt bij de Autoriteit Persoonsgegevens, gaat dat meestal om één inbreuk. Bij 1% van de gevallen ging het echter om meer gelijksoortige inbreuken tegelijk, bijvoorbeeld als gevolg van een grootschalige postverzending. Hieruit blijkt dat de ruim 9800 datalekmeldingen van de eerste helft van 2024 in totaal ruim 16.500 inbreuken vertegenwoordigden. Ter vergelijking, in heel 2023 werden 25.700 inbreuken gemeld.