1 jaar Wet Meldplicht Datalekken: de tussenstand

Op 1 januari 2017 vierde de Wet Meldplicht Datalekken (“WMD”) haar éénjarig bestaan. Reden voor de Autoriteit Persoonsgegevens ons te informeren over de stand van zaken. De belangrijkste gegevens treft u hier aan.

De WMD heeft bijna 5500 meldingen van datalekken opgeleverd. Volgens de Autoriteit Persoonsgegevens hebben de datalekken regelmatig de volgende oorzaak:

  • men raakt gegevensdragers (zoals een usb-stick, telefoon of laptop) kwijt waarop (niet

versleutelde) persoonsgegevens staan;

  • in een bepaald (online) computer systeem ziet men gegevens van andere personen;
  • een poststuk komt niet aan bij de ontvanger of komt geopend terug;
  • een e-mail wordt naar een onjuiste geadresseerde verstuurd.

Een of meerdere oorzaken zullen u en anderen zeer bekend voorkomen. Gelet op het aantal meldingen lijkt het onwaarschijnlijk dat alle datalekken daadwerkelijk zijn gemeld. Ook valt op dat alleen de ‘evidente’ datalekken regelmatig worden gemeld. Minder evidente datalekken, zoals bepaalde virusbesmettingen (‘malware’), komen niet voor op deze lijst. Is dat omdat die gevallen minder voorkomen? Of omdat die gevallen niet als datalek worden herkend?

Ook heeft de Autoriteit Persoonsgegevens in kaart gebracht vanuit welke sectoren de meldingen vandaan komen:
29 %: Gezondheid en welzijn
17 %: Financiële dienstverlening
15 %: Openbaar bestuur
11 %: Informatie en communicatie
10 %: Overig
6 %: Vervoer
4 %: Onderwijs
3 %: Specialistische zakelijke dienstverlening
2 %: Overige zakelijke dienstverlening
2 %: Energie
1 %: Industrie

Interessant om te constateren is dat circa 1/3 van alle melding komen uit de sector “Gezond en welzijn”. Op zichzelf is dat niet verbazend, omdat in de ziekenhuizen, huisartsenposten, zorgcentra et cetera, veel mensen werkzaam zijn en er veel (gevoelige) persoonsgegevens worden verzameld, waarmee dus wel eens iets mis kan gaan.

Maar in de (specialistische en overige) zakelijke dienstverlening zijn ook veel mensen werkzaam en worden er ook veel persoonsgegevens verwerkt. Toch maakt het aantal meldingen uit deze sector nog geen 5 % van het totaal uit. Gaat deze sector nu voorzichtiger met persoonsgegevens om? Of is deze sector zich er minder – dan bijvoorbeeld de financiële dienstverleningssector – van bewust wat een datalek is en wanneer dat gemeld moet worden?

Al met al geven deze cijfers de indruk dat de verplichtingen die de WMD oplegt in sommige sectoren beter zijn ingeburgerd dan in andere. Als ‘de schoen u past’ doet u er goed aan te herkennen wanneer zich een datalek zich voordoet, en wanneer (en aan wie) u dat moet melden (of wanneer juist niet!). Al was het maar omdat de privacywetgeving al lang niet meer ‘vrijblijvend’ is en steeds intensiever en strenger wordt gehandhaafd.