Op 25 mei 2018 werd de AVG (ofwel: de GDPR) in Nederland geïntroduceerd. Dat betekent dat we alweer 4 jaar hebben moeten leren omgaan met deze data privacy wet! Sommigen zagen dit al veel langer aankomen, anderen hebben veel moeten aanpassen door de jaren heen.
Hoe staan we er naar vier jaar AVG voor?
Meer aanpassingen door de AVG
De AVG mag dan wel bijna vier jaar geleden zijn intrede hebben gedaan, maar niet iedereen houdt zich altijd even goed aan de wet. Opnieuw werd er een duizelingwekkend aantal datalekken gemeld in 2021. Zet je dataveiligheidzaakjes op orde, mensen!
Hier volgt een kort overzicht van wat er is veranderd sinds de introductie van de AVG:
De verzameling van gegevens op basis van:
- Toestemming van de gebruiker
- Vitale belangen
- Wettelijke verplichting
- Overeenkomst
- Algemeen belang
- Gerechtvaardigd belang
Technische en organisatorische maatregelen
- Register met alle verwerkingen
- Gegevensbeschermingsbeleid
- (Digitale) beveiliging
Daarnaast hebben de betrokkenen meer rechten gekregen:
- Recht om gegevens in te zien
- Recht om te wijzigen
- Recht om vergeten te worden
- Recht om gegevens over te dragen
- Recht op informatie.
De AVG is tot stand gekomen om zowel de data van gebruikers te beschermen en het risico op datalekken te verkleinen. Het is daarom logisch dat gebruikers meer rechten hebben gekregen bij het verwerken van hun persoonsgegevens. Dat is juist goed! Je wilt persoonlijke informatie veilig houden, dus het is in ieders belang om aan de AVG te voldoen.
Dit is wat er in vier jaar AVG is gebeurd
De meeste organisaties hebben de juiste technische maatregelen kunnen nemen. Hierdoor werden de nare gevolgen van een datalek bespaard: boetes die konden oplopen tot 4% van de wereldwijde jaaromzet, reputatieschade en kostenverlies door stilgevallen activiteiten.
Toch heeft niet iedere organisatie zich even goed kunnen beschermen. Het aantal datalekken veroorzaakt door hacking, malware en phishing in 2021 is gestegen met 68% ten opzichte van het jaar ervoor aldus het Annual Data Breach Report. Dit is wat er nog meer is veranderd:
.webp)
- Er zijn inmiddels meer dan 390.000 datalekken gemeld sinds de introductie van de GDPR in 2018.
- Duitsland voert de lijst aan als het aankomt op de meest gemelde datalekken. Vanaf de invoering van de AVG zijn er 106.731 datalekken gemeld. Hiermee laat het landen zoals Nederland (nummer twee met 92.657 gemelde datalekken) en het Verenigd Koninkrijk (nummer drie met 40.026 gemelde datalekken) achter zich. Veel datalekken, maar ook een teken dat deze landen datalekken uiterst serieus nemen!
- Per 100.000 inwoners in Nederland, zijn dit 150 datalekken. Dat zijn er op een bevolking van ruim 17 miljoen inwoners best veel.
- Sinds de invoering van de AVG heeft de Autoriteit Persoonsgegevens al €8.964.500(!) aan boetes uitgedeeld.
- In Europa zijn er sinds de invoering van de AVG in totaal meer dan 1 miljard euro aan boetes uitgedeeld.
- De drie grootste boetes in Europa zijn:
- In 2021 werd Amazon verrast door een pittige boete van €746 miljoen omdat ze hun cookie toestemmingen niet op orde hadden. De zaak is nog bezig.
- Ierland legde WhatsApp een boete van €225 miljoen op in 2021, omdat WhatsApp niet duidelijk had uitgelegd hoe zij data verwerkten in hun privacy policy.
- Op 6 januari 2022 droegen de Franse autoriteiten Google Ierland op om een boete van €90 miljoen te betalen. Google had het namelijk makkelijker moeten maken om YouTube gebruikers cookies te laten weigeren.
Hoe zit het in Nederland?
Ook Nederland zit natuurlijk niet stil wanneer het aankomt op datalekken: In 2021 werden er 24.866 datalekken gemeld, een stijging van 4% ten opzichte van 2020 aldus het rapport van de AP. De meest zorgwekkende ontwikkeling hierin is dat het aantal cyberaanvallen behoorlijk is gestegen, met wel 88%!
Hoe zit het dan eigenlijk met de sectoren? Welke melden de meeste datalekken?
De zorg staat met stipt op nummer één (37%), met een tweede plek voor openbaar bestuur (23%), gevolgd door de financiële dienstverlening. Het is niet heel gek dat de zorg en openbaar bestuur de meeste datalekken kennen, zij werken immers met een enorme stroom aan gevoelige gegevens.
.webp)
Juist daarom voor de zorg ook zo belangrijk om te denken aan een Data Loss Prevention oplossing.
Europese databescherming autoriteiten
In Europa staat de General Data Protection Regulation (GDPR) centraal. Deze wet is er sinds 2016 en verplicht organisaties in Europa om de persoonlijke gegevens van EU-burgers te beschermen als deze worden uitgewisseld binnen de EU. Deze norm vormt de basis, maar elk land heeft zijn eigen autoriteit die de naleving hiervan monitort en die datalekken registreert. Hier wat voorbeelden van Europese autoriteiten:
- De Autoriteit Persoonsgegevens (AP) is in Nederland het meldpunt voor datalekken. Binnen 72 uur moet je als organisatie een datalek bij hen melden.
- In Duitsland is de nationale autoriteit de Bundesdatenschutzgesetz (BDSG). Hier worden alle Duitse datalekken gemeld.
- Het Verenigd Koninkrijk heeft ook een eigen variant. De Information Commissioner’s Office (ICO) beschermt hier de data van hun burgers.
- Buurland Ierland heeft de norm The Data Protection Commission (DPC) die ervoor zorgt dat de GDPR wordt nageleefd.
- In Zweden zorgt de Integritetsskyddsmyndigheten (IMY) ervoor dat de data van burgers wordt beschermd.
- In België is de Autorité de protection des données (APD) oftewel de Gegevensbeschermingsautoriteit (GBA) het meldpunt voor alle datalekken.
- Datatilsynet is de Deense autoriteit op het gebied van databescherming en datalekken.
De beste verdediging tegen datalekken
Niemand zit te wachten op een datalek. Er zijn gelukkig meerdere manieren om dit te voorkomen. Hier een paar tips:
- Train je werknemers. Maak ze bewust van databeveiliging en voorkom dat ze een datalek veroorzaken door bijvoorbeeld een phishing-aanval.
- Gebruik twee-factor authenticatie als je gevoelige informatie uitwisselt.
- Gebruik een password manager om de wachtwoorden van je werknemers te versterken.
Wil je nog meer weten over het voorkomen van datalekken? Download dan onze whitepaper en leer hoe je dit eenvoudig kunt doen:
