Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: Het aantal datalekken door digitale aanvallen neemt toe: hoe gaat u hier mee om?

dinsdag 21 juni 2022

Het aantal datalekken dat plaatsvond in 2021 is met 4% gestegen ten opzichte van 2020. In totaal zijn er bijna 25.000 meldingen gemaakt, waarvan 9% ten gevolge van cyberaanvallen. [1] Datalekken ontstaan in dat geval vooral wanneer criminelen een ransomware aanval uitvoeren en het systeem binnendringen om deze vervolgens te versleutelen. Het systeem wordt vaak pas na betaling weer toegankelijk gemaakt.

Er is sprake van een datalek indien er ongeoorloofd toegang wordt verleend tot persoonsgegevens of wanneer deze gegevens onbedoeld verloren gaan, vernietigd worden of gewijzigd worden. Een datalek waarbij persoonsgegevens buit zijn gemaakt door criminelen kan grote gevolgen hebben voor uw organisatie en de betrokkenen. De gegevens van betrokkenen kunnen bijvoorbeeld misbruikt worden ten behoeve van identiteitsfraude of oplichting. De schade hiervan kan flink oplopen.[2]

Uit de Jaarrapportage meldplicht datalekken 2021 van de Autoriteit Persoonsgegevens is gebleken dat IT-leveranciers een geliefd doelwit zijn voor criminelen: hier vallen namelijk veel persoonlijke gegevens buit te maken die criminelen kunnen gebruiken om de IT-leverancier af te persen.[3]

Wellicht maakt uw organisatie ook gebruik van een IT-leverancier waaraan u gegevens aanlevert ten behoeve van een dienst. Hierbij moet u bijvoorbeeld denken aan het faciliteren van online werkplekken voor werknemers of het opslaan van uw data. In het geval van een datalek bij een van uw IT-leveranciers bent u als verwerkingsverantwoordelijke verantwoordelijk om op tijd een melding te maken aan de Autoriteit Persoonsgegevens en betrokkenen. Uw IT-leverancier is als verwerker verplicht u hierin te ondersteunen.

De Autoriteit Persoonsgegevens heeft echter geconstateerd in haar rapport dat IT-leveranciers niet altijd transparant zijn in hun communicatie wanneer er een datalek heeft plaatsgevonden ten gevolge van een cyberaanval. Vermoedelijk zijn ze bang om onrust te scheppen bij klanten of reputatieschade op te lopen. Dit kan echter voor uw organisatie gevolgen hebben: u kunt mogelijk uw meldplicht niet naleven. Bij het niet naleven van de meldplicht kan de Autoriteit Persoonsgegevens besluiten om handhavend op te treden.

Om problemen met betrekking tot de naleving van uw meldplicht te voorkomen, adviseert de Autoriteit Persoonsgegevens om goede afspraken weg te leggen in de verwerkersovereenkomst met de IT-leverancier en een verwerkersregister bij te houden. Bij L2P helpen wij u graag met het opstellen en toetsen van uw verwerkersovereenkomsten en verwerkersregister.

[1] https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/datalekken-door-cyberaanvallen-bijna-verdubbeld

[2] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

[3] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/datalekkenrapportage_ap_2021.pdf

L2P adviseert u graag op het gebied van datalekken
Neem vrijblijvend contact met ons op om jullie vraagstuk te bespreken