In de eerste helft van 2019 ontving de Autoriteit Persoonsgegevens (AP) in totaal 11.906 meldingen van datalekken. Het gaat om ongeveer 2.000 meldingen per maand. Als deze trend zich voortzet, verwacht de AP voor heel 2019 een stijging van 14% ten opzichte van 2018. Ook uit de financiële sector komen veel datalekmeldingen, maar de meeste komen uit de zorgsector.
De meldplicht datalekken is onderdeel van de Algemene Verordening Gegevensbescherming (AVG). Door de meldplicht datalekken (tool) zijn organisaties verplicht om bij een datalek de betrokkenen hiervan op de hoogte te stellen. Uit onder meer signalen en tips van betrokkenen merkt de AP op dat organisaties niet alle datalekken die gemeld moeten worden, daadwerkelijk melden of op tijd (binnen 72 uur na ontdekking) rapporteren. De AP noemt dit ernstig.
De meest gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63%). In ruim de helft van alle meldingen gaat het om gegevens van 1 persoon (58%). Het gaat dan niet alleen om e-mails die per ongeluk naar een verkeerde ontvanger zijn verzonden. Vaak wordt er niet bij stil gestaan, maar ook documenten kunnen namen bevatten van personen: de opsteller of berwerker van het document. Op het moment dat die documenten met de buitenwereld gedeeld worden, kan er sprake zijn van een datalek. Gemelde datalekken waarbij 5.000 of meer personen betrokken zijn, zijn vaak (47%) het gevolg van hacking, malware en phishing.
De AP heeft 17 onderzoeken in uitvoering bij organisaties die (mogelijk) een verplicht te melden datalek niet hebben gerapporteerd, maar dat wel hadden moeten doen. Er zijn 4 onderzoeken gestart naar aanleiding van een te laat gemeld datalek. Deze onderzoeken kunnen leiden tot een boete. In de tweede helft van 2019 start de AP meer (kortlopende) onderzoeken naar niet gemelde datalekken en te laat gemelde datalekken en komt de AP met nog meer feiten en cijfers (pdf).
Organisaties zijn verplicht om de personen in te lichten van wie de persoonsgegevens bij het datalek bloot zijn komen te liggen als het lek een hoog risico vormt voor rechten en vrijheden. Er zijn uitzonderingen op de meldplicht. Maar daarvoor gelden wel voorwaarden. Uw organisatie hoeft een datalek bijvoorbeeld niet aan de gedupeerden te melden als de melding aan de betrokkenen onevenredige inspanningen zou vergen, bijvoorbeeld als het om duizenden klanten gaat. En zo zijn er nog meer uitzonderingen op de meldplicht.