5 voorbeelden hoe gemakkelijk een datalek kan ontstaan
Wanneer is iets een datalek? Om wat voor soort gegevens gaat het en wanneer moet je dat dan melden bij de Autoriteit Persoonsgevens? Ontdek het hier.
De General Data Protection Regulation (GDPR), of AVG, van de Europese Unie is nu al meer dan vijf jaar van kracht, wat een belangrijke mijlpaal markeert op het gebied van gegevensprivacy en -bescherming. Sinds de officiële invoering op 25 mei 2018 heeft het AVG-landschap zich ontwikkeld en zijn er nieuwe statistieken over gegevensinbreuken naar voren gekomen, inclusief inzichten uit het recente jaarlijkse GDPR Fines and Data Breach Survey van DLA Piper.
Dit is wat er in vier jaar AVG is gebeurd
In de afgelopen vijf jaar hebben de meeste organisaties zich aangepast aan de eisen van de AVG, met als gevolg het vermijden van zware boetes, reputatieschade en inkomstenverlies. Toch zijn niet alle organisaties even succesvol geweest in het beschermen tegen gegevensinbreuken.
Recente inzichten uit het onderzoek van DLA Piper tonen bijgewerkte statistieken over gegevensinbreuken sinds de invoering van de AVG:
- Gegevensbeschermingsautoriteiten in heel Europa hebben sinds 28 januari 2022 in totaal EUR 1,64 miljard aan boetes opgelegd, wat wijst op een jaarlijkse stijging van 50% in het totale aantal gemelde AVG-boetes.
- Dit cijfer is meer dan het dubbele van de totale waarde van boetes die in 2021 zijn opgelegd, wat aangeeft dat gegevensbeschermingsautoriteiten steeds zelfverzekerder zijn geworden en bereid zijn hoge boetes op te leggen voor schendingen van de AVG.
- De stijging in het aantal meldingen van gegevensinbreuken begint af te vlakken, met een gemiddelde van 300 meldingen per dag van 28 januari 2022 tot 27 januari 2023, vergeleken met 328 in het voorgaande jaar. Er werden in deze periode ongeveer 109.000 meldingen van persoonlijke gegevensinbreuken gedaan, een lichte daling ten opzichte van het voorgaande jaar, mogelijk als gevolg van meer volwassen AVG-meldingsprocedures en verhoogde waakzaamheid bij organisaties met betrekking tot mogelijke onderzoeken, boetes en schadeclaims.
- Nederland staat bovenaan de lijst als het land met de meeste gemelde gegevensinbreuken. Sinds de AVG verplicht werd, hebben ze 117.434 gegevensinbreuken gemeld. Duitsland staat op de tweede plaats (met 76.967 gemelde gegevensinbreuken), met het Verenigd Koninkrijk (met 49.213 gemelde gegevensinbreuken) als derde. Hoge aantallen, maar het kan gezegd worden dat deze landen de wetgeving serieus nemen!
Bron: DLA Piper GDPR Fines and Data Breaches Survey 2023
- De top 5 landen wat betreft opgelegde AVG-boetes vanaf 25 mei 2018 zijn:
- Ierland: €1.303.514.500
- Luxemburg: €746.345.675
- Frankrijk: €428.238.300
- Spanje: €84.758.979
- Duitsland: €76.310.455
Bron: DLA Piper GDPR Fines and Data Breaches Survey 2023
Europese databescherming autoriteiten
In Europa staat de General Data Protection Regulation (GDPR) centraal. Deze wet is er sinds 2016 en verplicht organisaties in Europa om de persoonlijke gegevens van EU-burgers te beschermen als deze worden uitgewisseld binnen de EU. Deze norm vormt de basis, maar elk land heeft zijn eigen autoriteit die de naleving hiervan monitort en die datalekken registreert. Hier wat voorbeelden van Europese autoriteiten:
- De Autoriteit Persoonsgegevens (AP) is in Nederland het meldpunt voor datalekken. Binnen 72 uur moet je als organisatie een datalek bij hen melden.
- In Duitsland is de nationale autoriteit de Bundesdatenschutzgesetz (BDSG). Hier worden alle Duitse datalekken gemeld.
- Het Verenigd Koninkrijk heeft ook een eigen variant. De Information Commissioner’s Office (ICO) beschermt hier de data van hun burgers.
- Buurland Ierland heeft de norm The Data Protection Commission (DPC) die ervoor zorgt dat de GDPR wordt nageleefd.
- In Zweden zorgt de Integritetsskyddsmyndigheten (IMY) ervoor dat de data van burgers wordt beschermd.
- In België is de Autorité de protection des données (APD) oftewel de Gegevensbeschermingsautoriteit (GBA) het meldpunt voor alle datalekken.
- Datatilsynet is de Deense autoriteit op het gebied van databescherming en datalekken.
Meer aanpassingen door de AVG
De AVG mag dan wel bijna vier jaar geleden zijn intrede hebben gedaan, maar niet iedereen houdt zich altijd even goed aan de wet. Opnieuw werd er een duizelingwekkend aantal datalekken gemeld in 2021. Zet je dataveiligheidzaakjes op orde, mensen!
Hier volgt een kort overzicht van wat er is veranderd sinds de introductie van de AVG:
De verzameling van gegevens op basis van:
- Toestemming van de gebruiker
- Vitale belangen
- Wettelijke verplichting
- Overeenkomst
- Algemeen belang
- Gerechtvaardigd belang
Technische en organisatorische maatregelen
- Register met alle verwerkingen
- Gegevensbeschermingsbeleid
- (Digitale) beveiliging
Daarnaast hebben de betrokkenen meer rechten gekregen:
- Recht om gegevens in te zien
- Recht om te wijzigen
- Recht om vergeten te worden
- Recht om gegevens over te dragen
- Recht op informatie.
De AVG is tot stand gekomen om zowel de data van gebruikers te beschermen en het risico op datalekken te verkleinen. Het is daarom logisch dat gebruikers meer rechten hebben gekregen bij het verwerken van hun persoonsgegevens. Dat is juist goed! Je wilt persoonlijke informatie veilig houden, dus het is in ieders belang om aan de AVG te voldoen.
De beste verdediging tegen datalekken
Niemand zit te wachten op een datalek. Er zijn gelukkig meerdere manieren om dit te voorkomen. Hier een paar tips:
- Train je werknemers. Maak ze bewust van databeveiliging en voorkom dat ze een datalek veroorzaken door bijvoorbeeld een phishing-aanval.
- Gebruik twee-factor authenticatie als je gevoelige informatie uitwisselt.
- Gebruik een password manager om de wachtwoorden van je werknemers te versterken.
Wil je nog meer weten over het voorkomen van datalekken? Download dan onze whitepaper en leer hoe je dit eenvoudig kunt doen:
