De Autoriteit Persoonsgegevens (AP) heeft vorig jaar 25.694 meldingen ontvangen van datalekken bij Nederlandse bedrijven en organisaties, blijkt uit hun jaarlijkse overzicht. Gegevens van circa twintig miljoen mensen wereldwijd zijn gelekt, maar slachtoffers zijn hier vaak niet over ingelicht.
Datalekken worden vaak veroorzaakt door cyberaanvallen. In 2023 was dit ruim 1300 keer het geval. Nederlandse bedrijven en organisaties zijn wettelijk verplicht om datalekken door cyberaanvallen te melden aan de AP en aan de slachtoffers. Het melden van datalekken verloopt in de praktijk vaak anders, blijkt uit het jaarlijkse overzicht van datalek meldingen in Nederland.
Risico’s cyberaanvallen te laag ingeschat
Gemiddeld 69 procent van de organisaties die getroffen worden door een cyberaanval, schat het risico voor de slachtoffers te laag in. Uit een analyse van het AP blijkt dat circa 54 procent van de organisaties slachtoffers niet informeert.
“Dit is meer dan zorgelijk. Mensen moeten erop kunnen vertrouwen dat organisaties goed met hun persoonsgegevens omgaan. Daar hoort ook bij dat een organisatie jou goed informeert als er helaas iets misgaat met jouw gegevens. Want hoe kun jij de regie houden over jouw leven als jou niet verteld wordt wat er met je gegevens gebeurt?”, verklaart AP-voorzitter Aleid Wolfsen op de website van het AP.
Risico’s voor slachtoffers van een datalek
Als slachtoffer van een datalek loop je een verhoogd risico op identiteitsfraude, phishing of oplichting. Als slachtoffers op tijd worden geïnformeerd over een datalek, kunnen zij extra alert zijn op phishingaanvallen en andere vormen van oplichting.
In 2023 hebben ruim zevenduizend mensen melding gemaakt van identiteitsfraude bij het Centraal Meldpunt Identiteitsfraude (CMI), meldt de AP.
Bekendste datalek van 2023
Cyberaanvallers richten hun digitale pijlen vaak op IT-leveranciers. Het bekendste datalek vorig jaar werd veroorzaakt door een cyberaanval op IT-leverancier Nebu. Het Canadese bedrijf levert in Nederland software voor markt- en klanttevredenheidsonderzoeken. Nebu heeft diverse klanten, waaronder VodafoneZiggo en de NS.
Deze Nederlandse klantorganisaties zijn zelf verantwoordelijk om het datalek te melden aan de AP en de slachtoffers, maar niet alle organisaties deden dat. Ongeveer 2,5 miljoen Nederlanders waren slachtoffer van de cyberaanval. Na interventie van de AP zijn vijftigduizend slachtoffers alsnog geïnformeerd.