Skip links

Eén jaar AVG: eerste inzichten in datalekken en uitgedeelde boetes

In deze blog blikken we terug op een jaar AVG. Zijn er datalekken zijn gemeld, en zo ja, hoeveel? En welke bijzondere boetes deelde de Autoriteit Persoonsgegevens uit?

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG, GDPR in het Engels). Sindsdien is elke onderneming verplicht tot bescherming van persoonlijke data. De meldplicht voor datalekken bleef onder de AVG grotendeels hetzelfde als de jaren ervoor. Wel stelde de AVG strengere eisen aan de registratie van datalekken. Niet alleen gemelde datalekken, maar álle datalekken moeten sinds een jaar door de organisatie gedocumenteerd worden. Daarnaast steeg de hoogte van boetes fors. In deze blog blikken we terug op het afgelopen jaar. Zijn er datalekken zijn gemeld, en zo ja, hoeveel? En welke bijzondere boetes deelde de Autoriteit Persoonsgegevens uit?

In tegenstelling tot de meeste EU-landen, geldt de meldplicht van datalekken in Nederland al sinds 1 januari 2016. Dit betekent dat Nederlandse organisaties al ruim drie jaar lang ‘GDPR-compliant’ moeten zijn. Maar hoe goed houden wij Nederlanders ons aan deze meldplicht?

Het aantal datalekmeldingen

In het jaar 2017 meldden organisaties ongeveer 10.000 datalekken bij de Autoriteit Persoonsgegevens (AP). Dit is een stijging van bijna 70% ten opzichte van 2016. Sinds de officiële invoering van de AVG in Europa verdubbelde het aantal meldingen bij de Nederlandse autoriteit wederom: in 2018 ontving de AP 20.881 datalekken. In vergelijking: in heel Europa werden sinds de invoering van de AVG ruim 60.000 datalekken gemeld.

Toch merkt de AP dat organisaties niet alle datalekken melden. Dit wordt duidelijk als bijvoorbeeld een betrokkene melding maakt van een datalek, terwijl dit door de organisatie zelf niet gemeld is. De AP ziet het daarom als doel om in 2019 óók op deze niet-gemelde datalekken te focussen.

Sinds de officiële invoering van de AVG in Europa verdubbelde het aantal meldingen.

Uitgedeelde boetes

In de meeste gevallen melden organisaties datalekken aan betrokkenen, en volgt er geen sanctie. Slechts bij een klein deel van de gemelde en niet-gemelde datalekken grijpt de AP in. Over het algemeen leidden deze acties tot een waarschuwing en beëindiging van de overtreding.

Toch legde de AP ook forse boetes op. Zo ontving Uber afgelopen jaar een boete van 600.000 euro voor het overtreden van de meldplicht datalekken. Bij het Uber-concern, waarvan het hoofdkantoor gevestigd is in Nederland, vond in 2016 een datalek plaats. Onbevoegden kregen toegang tot persoonsgegevens van ruim 57 miljoen Uber-gebruikers en -chauffeurs. Uber kreeg een fikse boete om de oren, omdat ze de AP én betrokkenen niet binnen 72 uur na het ontdekken van het lek informeerden.

Onderneem tijdig actie!

Uit de cijfers van de AP blijkt dat in Nederland relatief veel datalekken voorkomen. Meestal gebeurt dit in de vorm van het versturen van persoonsgegevens aan een verkeerde ontvanger, of het kwijtraken (soms vanwege diefstal) van een laptop of USB-stick. In elk van deze gevallen is het belangrijk om binnen 72 uur melding te maken bij zowel de AP als bij de betrokkenen. Bij een verkeerde ontvanger kun je daarnaast vragen of deze persoon de gegevens per direct wil verwijderen, om zo de overtreding te beëindigen.

Om binnen 72 uur alle betrokkenen te kunnen informeren, moet je weten wie de betrokkenen zijn. Zorg daarom als onderneming dat je administratie op orde is. Zo houd je controle over de persoonsgegevens waarover je beschikt. Benieuwd of jouw dataopslag en -verwerking daadwerkelijk zo goed beschermd zijn als verwacht? Met behulp van onze legal tech software creëren wij binnen no-time inzicht in de gehele datahuishouding van een onderneming.

Ook inzicht in je datahuishouding? En controle krijgen over de persoonsgegevens waar je over beschikt? Neem contact met ons op of vraag een eerste gratis scan aan.