Elke Nederlander moet ervan uitgaan dat zijn of haar gegevens al eens betrokken zijn geweest bij een datalek of dat ze nog slachtoffer. Dat is de conclusie die de Autoriteit Persoonsgegevens (AP) trekt in de datalekrapportage over 2022. In deze jaarlijkse rapportage worden alle datalekken uit 2022 per branche en soort lek op een rij gezet.
In totaal kreeg de AP 21.151 datalek-meldingen uit eigen land. In 2021 waren dat er nog 24.866, maar de AP zegt dat de meldingscijfers al jaren tussen de 20.000 en 25.000 schommelen. Vanuit het buitenland werden er nog 47 datalekken gemeld waarbij onder andere ook gegevens van Nederlanders betrokken waren. Daarnaast waren er nog eens 1.826 meldingen van cyberaanvallen. Dat is vergeleken met 2021 ook een lichte daling, toen werden er 2.210 meldingen gedaan. Kanttekening bij alle cijfers is dat dit alleen de meldingen zijn. Datalekken en cyberaanvallen die niet zijn gemeld, zijn hier uiteraard niet in meegenomen.
De cijfers per branche
De AP brengt sinds de AVG in 2018 van kracht is geworden jaarlijks verslag uit over het aantal datalekken en cyberaanvallen in Nederland. De cijfers zijn uitgesplitst per branche en geven ook de verschillen aan tussen de branches. Hieronder vind je per branche de cijfers.
Gezondheid en welzijn
De zorg is met 41% van de gevallen (nog steeds) met afstand de grootste veroorzaker van datalekken. Opvallend is daar de enorme stijging in het aantal meldingen waarbij persoonsgegevens aan een verkeerd dossier zijn toegevoegd. Dat aantal steeg met maar liefst 98%. Daarnaast is de zorg ook het vaakst het slachtoffer van cyberaanvallen. In totaal zijn er vanuit de zorg 424 meldingen van cyberaanvallen gedaan. Enige positieve aan de cijfers uit deze branche is dat het aantal meldingen vergeleken met 2021 met 6% is gedaald.
De AP ligt bij de zorg nog een bijzonderheid uit waarmee de kwetsbaarheid van deze branche wordt benadrukt: “Het afgelopen jaar zijn door de drie grootste cyberaanvallen in de zorg naar schatting 900.000 patiënten getroffen. Van hen zijn medische gegevens op straat komen te liggen.”
Openbaar bestuur
Het openbaar bestuur staat met 23% van het aantal datalekmeldingen op de tweede plek. Onder het openbaar bestuur vallen alle overheden, van landelijk tot lokaal. In 2022 zijn bij het openbaar bestuur minder datalekken gemeld dan over 2021, het aantal meldingen met 16%. Het openbaar bestuur is verder verantwoordelijk voor 3% van het aantal cyberaanvallen. Waar ze bij het aantal datalekken stevig op de tweede plek staan, hebben ze hier een betere plek in de achterhoede.
Financiële dienstverlening
De financiële dienstverlening neemt met 9% de derde plek in als het over het aantal datalekken gaat. Opvallend is dat het aantal meldingen uit deze sector met maar liefst 29% is gedaald vergeleken met 2021. Als we kijken naar het aantal cyberaanvallen, komt deze sector er niet erg goed vanaf. In 2022 was de financiële dienstverlening goed voor maar liefst 8% van het aantal cyberaanval-meldingen.
Politie en justitie
Politie en Justitie lijkt met 4% niet een grote veroorzaker van datalekken, maar volgens de AP steeg daar het aantal meldingen vorig jaar wel met maar liefst 11%. Een zorgwekkende toename. Wat ook opvalt, is dat politie en justitie, als je alleen kijkt naar het aantal cyberaanvallen, bijna niet in het rijtje voorkomen. Daar scoren ze minder dan 1%.
Onderwijs, IT en overige branches
Het onderwijs, de IT- en communicatiesector, de specialistische dienstverlening en overige zakelijke dienstverlening zijn elk verantwoordelijk voor 3% van de gemelde datalekken. Tenslotte is de resterende 10 % verspreid over overige sectoren. Op het gebied van cyberaanvallen lijkt het onderwijs wel extra kwetsbaar, aangezien ze daar verantwoordelijk zijn voor 7% van alle meldingen.
Cyberaanvallen blijven een grote dreiging
De AP waarschuwt al jaren voor een toename in cyberaanvallen. En ook dit jaar blijkt dat dat niet onterecht is. Bij deze cijfers zien we ook branches die niet terug zijn te vinden bij de datalekmeldingen. Naast de bij de datalekken al genoemde grote branches vallen hier een aantal sectoren op.
Naast de eerste plek voor de zorg (23%) en een tweede plek voor een grote verzameling kleine sectoren (12%), staat de informatie en communicatie-sector hier met 9% op een opmerkelijke derde plek. Het onroerend goed en de bouw zijn met beide 8 % van de meldingen ook op zijn minst opvallend te noemen. En de al eerder genoemde onderwijs-sector scoort met 7% van de cyberaanvallen opvallend hoog. Alle cijfers per branche vind je hieronder.
De meest voorkomende incidenten
Een datalek kan veel verschillende oorzaken hebben. De koploper, met 10.192 meldingen, is een brief met persoonsgegevens die geopend is ontvangen of retour is gekomen of die kwijt is geraakt. Op de tweede plaats, met 3.347 meldingen, staat het versturen van een e-mail naar de verkeerde ontvanger of met ontvangers in het aan- of cc-veld.
Maar ook hacking, malware en phishing vormen een groot gevaar met 1.825 incidenten. Het toevoegen van persoonsgegevens aan het verkeerde dossier ging 746 keer mis. En 657 keer werd een gegevensdrager met persoonsgegevens verloren of gestolen. Ten slotte werd 619 keer de gegevens van een verkeerde klant weergegevens in een klantportaal.
Je gegevens in een datalek? Wat moet je doen?
De AP legt er in deze jaarrapportage vooral de nadruk op dat mensen ook zelf hun steentje bij kunnen dragen. Denk daarbij aan het gebruik van unieke en sterke wachtwoorden en multifactor-authenticatie. Maar het is ook belangrijk om als je gegevens zijn gelekt, zo snel mogelijk de juiste stappen te nemen. Wat je moet doen als je gegevens bij een datalek naar buiten zijn gekomen hebben we in dit blog voor je op een rij gezet.
Wil je weten hoe je als organisatie volgend jaar geen onderdeel wordt van deze statistiek? Vraag hieronder je gratis demo aan en ontdek hoe makkelijk het kan zijn om datalekken te voorkomen.