Nieuwe cijfers AP: nog meer datalekken en cyberaanvallen


Nieuwe cijfers AP: nog meer datalekken en cyberaanvallen

Ze zijn bekend: de jaarlijkse cijfers van de Autoriteit Persoonsgegevens die inzicht geven in het aantal datalekken. De AP kreeg in 2021 in totaal 24.866 meldingen van datalekken. Dat is een stijging van 4% ten opzichte van 2020. 

De AP maakt zich zorgen over de exponentiële stijging van het aantal gemelde cyberaanvallen, dat met 88% is gestegen ten opzichte van 2020.

Opnieuw is er een speciale vermelding van de verplichting om datalekken te melden, zelfs nadat een ransomware-aanval is betaald.

We hebben de belangrijkste bevindingen voor je samengevat in deze blog.

Infographic datalekken 2020

 

Overzicht feiten en cijfers 2021

Met bijna 25.000 meldingen in 2021 (een stijging van 4% ten opzichte van 2020 met 23.976 datalekmeldingen) staat Nederland in de top drie van landen in Europa waar de meeste datalekken worden gemeld.

Onderstaande grafiek van de Autoriteit Persoonsgegevens toont de ontwikkeling van het aantal meldingen van datalekken sinds 2017:

Chart, bar chart

Description automatically generated

 

Aantal datalekmeldingen per sector: de gezondheidssector staat opnieuw bovenaan de lijst

De meeste datalekmeldingen kwamen in 2021 uit de sector gezondheid en welzijn (37%), gevolgd door openbaar bestuur (23%) en financiële dienstverlening (11%).

Chart, sunburst chart

Description automatically generated

Bron: Datalekkenrapportage 2021 

 

SmartLockr voldoet aan NTA 7516 en biedt zorgorganisaties daarom ook de beveiliging die onder deze norm vereist is.  Wil je weten welke eisen er nog meer zijn? Bekijk dan hier onze NTA checklist.

De meldingen uit de financiële sector zijn met 51% gedaald. Dit is te danken aan het vermijden van het verzenden van informatie naar de verkeerde ontvanger, aldus de AP: “De daling in de financiële sector komt voornamelijk doordat één organisatie (een incassokantoor) drastisch minder is gaan melden. Deze organisatie blijkt een werkproces te hebben aangepast, waardoor er veel minder datalekken ontstaan. Er zijn namelijk veel minder betalingsherinneringen bij verkeerde ontvangers terechtgekomen.”

 

Exponentiële stijging datalekmeldingen door cyberaanvallen en verhoogde focus van de AP

2.210 van de meldingen van datalekken van vorig jaar waren te wijten aan cyberaanvallen, dat wil zeggen: hacken, malware en phishing aanvallen. Dit aantal is in 2021 bijna verdubbeld ten opzichte van het jaar daarvoor.

Ook al lijkt het laag (9% van het totale aantal, terwijl dit vorig jaar slechts 5% van het totale aantal meldingen was), is het toch een zorg voor de Autoriteit Persoonsgegevens, aangezien het aantal cyberaanvallen dat in 2021 is gemeld met 88% is gestegen ten opzichte van 2020. In 2020 en 2019 was er een stijging van respectievelijk 30% en 25% ten opzichte van het voorgaande jaar.

" Vorig jaar luidden wij de noodklok al toen het aantal datalekken door datadiefstal met 30% was toegenomen. Maar in onze meest recente meting ging het aantal van dit soort meldingen door het dak en steeg met 88%, dus bijna het dubbele. " - AP chairman Aleid Wolfsen

 

Verplichting om ransomware te melden, zelfs als het losgeld is betaald

De Autoriteit Persoonsgegevens merkt op dat sommige organisaties slachtoffers niet informeren of zij getroffen zijn door een ransomware-aanval wanneer zij losgeld hebben betaald aan criminelen. Een ransomware-aanval is malware die is ontworpen om een gebruiker of organisatie de toegang tot bestanden op hun computer te ontzeggen, door deze bestanden te versleutelen en losgeld te eisen voor de decryptie.

Door te betalen voor decryptie, wordt voorkomen dat persoonlijke gegevens verder worden verspreid. De Autoriteit Persoonsgegevens waarschuwt dat betalen geen garantie is dat hackers de gegevens daadwerkelijk verwijderen en er geen misbruik van maken (bijvoorbeeld namens de getroffen organisatie phishingmails versturen om meer persoonsgegevens te stelen).

De AP merkte ook op dat IT-leveranciers een datalek vaak niet snel, transparant en volledig genoeg aan de voor de verwerking verantwoordelijken mededelen, hetzij omdat zij willen wachten tot een onderzoek is afgerond, hetzij vanwege de reputatieschade.

Het niet volledig informeren van de verantwoordelijken voor de gegevensverwerking kan echter leiden tot een schending van de GDPR door de IT-leverancier.

Onthoud: het is belangrijk om datalekken altijd binnen 72 uur te melden, ook als ze door ransomware zijn veroorzaakt, en om de slachtoffers van het cyberincident zo snel mogelijk te informeren.

 

Grootste oorzaak blijft het sturen van gegevens naar de verkeerde persoon

Ook in 2021 waren menselijke fouten de grootste oorzaak van datalekken. En de waarheid is dat mensen fouten maken, hetzij door privacygevoelige gegevens naar de verkeerde ontvanger te sturen, hetzij door per ongeluk op een kwaadaardige link te klikken.

Dit onderstreept het belang van beveiligingsbeheer. Technische beveiligingsmaatregelen moeten worden aangevuld met voortdurende training om de kennis en het bewustzijn bij werknemers te vergroten.

Lees meer: Zo worden je werknemers vanzelf experts in Data Loss Prevention

Wil je weten wat je nog meer zou moeten doen? Download onze whitepaper en ontdek de beste aanpak om je gegevens te beschermen.

houd datalekken buiten de deur

Similar posts