De Autoriteit Persoonsgegevens (AP) kreeg 23.976 datalekmeldingen binnen in 2020 en ruim een vijfde daarvan kwam bij de overheid vandaan. Het betekent een stijging van 13 procent ten opzichte van het jaar ervoor. De AP meet verder een ‘explosieve toename van het aantal hacks’ en luidt de noodklok. De overheid scoort wat dat betreft als sector niet het hoogst, maar moet zich er wel bewuster van worden 'dat zij heel belangrijke informatie bewaart'.
Schade aanrichten
‘De stijging bij de overheid komt vooral doordat er meer persoonsgegevens zijn afgegeven of verstuurd aan een verkeerde ontvanger’, schrijft de AP. Er is dan niet noodzakelijk sprake van kwade opzet, maar het kan veel schade aanrichten. ‘We weten dat het juist materiaal is waarmee criminelen of andere kwaadwillenden hele handige dingen kunnen doen’, vertelt een AP-woordvoerder. Met de gelekte gegevens krijgen zij makkelijker toegang tot meer.
In de sector gezondheid en welzijn waren meer datalekken (30 procent van het totaal) en in de financiële dienstverlening kwamen ze evenveel voor als bij de overheid (22 procent), maar waar in die sectoren een daling plaatsvond (respectievelijk 4 en 34 procent ten opzichte van het jaar ervoor) was bij de overheid dus sprake van een sterke stijging.
Beveiliging niet op orde
Bij sommige datalekken is er wel sprake van kwade opzet, zoals bij hacking, malware en phishing, en daar kreeg de AP 1.173 meldingen over binnen. Een stijging van 30 procent ten opzichte van 2019. De overheid is hier niet een van de sectoren die de lijst aanvoeren, maar de AP-woordvoerder heeft niet het idee dat dit aan de overheid voorbijgaat - denk aan de ellende bij de GGD. ‘Het punt is dat de beveiliging goed op orde moet zijn. Dat is helaas niet het geval en ik denk dat dat voor decentrale overheden ook geldt.’
‘Gemeenten moeten zich ervan bewust zijn dat zij heel belangrijke informatie bewaren van hun bewoners. Persoonsgegevens zijn niet alleen namen en adressen, maar het zijn ook medische dossiers. Of informatie over schuldhulpverlening, of probleemgezinnen. In Finland werden ouders gechanteerd na een groot datalek bij de jeugdzorg – ouders konden tegen betaling voorkomen dat het jeugdzorgdossier van hun kinderen online werd geplaatst.’
Datalekken
Recent was er een datalek bij de gemeente Zwijndrecht, meldt het AD, toen een persbericht over woningbouw aan regionale media, ambtenaren en raadsleden niet via bcc (blind carbon copy) maar cc (carbon copy) werd gestuurd. Zo kon iedereen zien wie het mailtje had gekregen. Een AP-woordvoerder benadrukt tegenover het AD dat er niet lichtvaardig moet worden gedacht over dit soort datalekken.
Begin februari maakte een onbevoegd persoon misbruik van het mailaccount van een medewerker van de gemeente Nuenen. De medewerker had inloggegevens prijsgegeven dankzij een phishingmail en de onbevoegde heeft vanuit deze mailbox de phishingmail doorgezet naar ‘enkele duizenden mailadressen’. De gemeente laat weten dat er onderzoek is gedaan en maatregelen zijn genomen en dat de onbevoegde geen toegang heeft gehad tot de systemen.
Andere werkwijze
Het AP-rapport meldt ten slotte dat de grote daling van meldingen vanuit de financiële dienstverlening te maken heeft met een andere werkwijze van incassobureaus. ‘Doordat zij hun werkwijze hebben aangepast, zijn er namelijk veel minder betalingsherinneringen bij verkeerde ontvangers terechtgekomen.’ Dit is de voornaamste reden dat het totale aantal meldingen daalde naar 23.976.
Bron: BinnenlandsBestuur Digitaal