Jaarrapportage 2020 van de Autoriteit Persoonsgegevens toont een toename van het aantal datalekmeldingen bij de overheid

Contentverzamelaar

Jaarrapportage 2020 van de Autoriteit Persoonsgegevens toont een toename van het aantal datalekmeldingen bij de overheid

De Autoriteit Persoonsgegevens (AP) stelt in haar jaarrapportage een explosieve toename van het aantal hacks, datalekmeldingen en datadiefstal in 2020 vast. Deze hacks zijn gericht op het buitmaken van persoonsgegevens. Het aantal datalekmeldingen steeg in 2020 met 30 procent ten opzichte van 2019. De AP zet ter voorkoming van datadiefstal in op betere beveiligingseisen en beleid.

Dat blijkt uit de Rapportage Datalekken 2020 die de AP naar de Tweede Kamer heeft gestuurd. Datalekken dienen op grond van artikel 33 van de Algemene Verordening Gegevensbescherming (AVG) gemeld te worden bij de AP.

De rapportagegegevens nader geduid

In 2020 ontving de AP 1.173 meldingen van datalekken, waarbij hacking, malware of phishing werd ingezet om persoonsgegevens te stelen.


Nederland staat qua aantal datalekmeldingen in de top 3 van Europese landen waar de meeste datalekken worden gemeld. Nederland is ook sterk gedigitaliseerd, waardoor het risico op (grote/ernstige) datalekken relatief hoog is. Dit betekent volgens de AP ook dat we in Nederland extra aandacht moeten hebben voor fundamentele vraagstukken als privacy, bescherming van persoonsgegevens en cybersecurity.

Dat persoonsgegevens steeds vaker het doelwit zijn van criminelen verontrust de AP. Door diefstal van persoonlijke – en vaak gevoelige – informatie kunnen mensen schade ondervinden. Uit de Rapportage blijkt dat criminelen geraffineerd te werk gaan en vooral organisaties die veel persoonsgegevens verwerken, in het vizier hebben. Steeds vaker ontstaan volgens de AP datalekken doordat criminele hackers al langere tijd in een netwerk aanwezig zijn, voordat ze toeslaan.

Hoewel het aantal datadiefstallen bij datalekken explosief groeide in 2020, is het totaal aantal datalekmeldingen in 2020 (24.000) gedaald ten opzichte van 2019 (27.000). Dit aantal datalekmeldingen bestaat vooral uit gemelde incidenten waarbij geen kwade opzet in het spel was.


Naast de 23.976 Nederlandse datalekmeldingen die de AP heeft ontvangen, hebben andere Europese privacytoezichthouders in 79 gevallen een grensoverschrijdend datalek gedeeld met de AP. Dat gebeurt bijvoorbeeld als een datalek bij een andere Europese privacytoezichthouder is gemeld maar het datalek (mogelijk) ook gevolgen heeft voor betrokkenen in meerdere lidstaten, waaronder personen in Nederland. De AP deelt ook meldingen over grensoverschrijdende datalekken met andere toezichthouders. Dit gebeurde in 2020 11 keer.

De meeste datalekmeldingen kwamen in 2020 uit de sector gezondheid en welzijn (30%), gevolgd door de financiële dienstverlening en het openbaar bestuur (beide 22%). Vergeleken met 2019 is het aantal meldingen vanuit de zorg gedaald met 4%, vanuit de financiële sector gedaald met 34% en vanuit de overheid gestegen met 13%. De stijging bij de overheid komt vooral doordat er meer persoonsgegevens zijn afgegeven of verstuurd aan een verkeerde ontvanger.


Door een tekort aan personeel en budget bij de AP krijgen datalekken nog te weinig opvolging. Van de 27.000 datalekken in 2019 leidde maar 0,3% tot onderzoek.

Beveiligingsmaatregel: gebruik van MFA
Naar schatting zijn er volgens de Rapportage in 2020 tussen de 600.000 en 2.000.000 personen getroffen door een datalek waarbij slechts één stap nodig was om in te loggen. Vaak blijken complete systemen beveiligd met slechts één wachtwoord. Vooral bij datalekken door hacking, malware of phishing had volgens de AP inzet van de zogenaamde ‘meerfactorauthenticatie’ (MFA) de schade vaak kunnen beperken of voorkomen. Bij MFA moet een persoon of systeem op minimaal twee verschillende manieren inloggen om toegang te krijgen. Bijvoorbeeld met een wachtwoord én met een code per sms.


MFA is volgens de AP een relatief eenvoudige maatregel die veel leed kan voorkomen. Bovendien is het gebruik van MFA in veel gevallen een essentieel onderdeel van een adequaat beveiligingsbeleid. Deze maatregel is vaak ook een juridische verplichting op grond van de Algemene Verordening Gegevensbescherming ( AVG ). De AP adviseert in dit kader om:
1. MFA in te stellen voor alle systemen waar toegangscontrole op ingesteld is;
2. MFA in te stellen op (zakelijke) instantmessagingdiensten (zoals Signal, Telegram en WhatsApp) en mailapplicaties;
3. De effectiviteit van de toegangscontrole te blijven verifiëren;
4. Vanuit het intern toezicht in de organisatie na te gaan welke verwerkingen in aanmerking komen voor MFA;
5. Voor meer informatie over MFA en een gedegen wachtwoord managementbeleid de
NCSC Factsheet Gebruik tweefactorauthenticatie te raadplegen.

Meer informatie: