- Het aantal gemelde datalekken door cyberaanvallen steeg in 2021 met 88 procent ten opzichte van een jaar eerder.
- Volgens de Autoriteit Persoonsgegevens richten kwaadwillenden zich steeds vaker op IT-leveranciers die softwarediensten leveren aan kleine ondernemers.
- De autoriteit kreeg ruim 25.000 meldingen, maar daarvan waren er 17.840 te klein om iets mee te doen. Slechts 36 leidde tot verder onderzoek.
- Lees ook: Risico cyberaanval voor bedrijven: zzp’ers worden populairder als doelwit, maar nemen risico minder serieus dan MKB en grootbedrijf
Het aantal gemelde datalekken door cyberaanvallen neemt explosief toe. De Autoriteit Persoonsgegevens kreeg vorig jaar 2210 meldingen dat gegevens van mensen waren buitgemaakt door een digitale aanval. Dat is 88 procent meer dan een jaar eerder. De stijging kan deels komen doordat gedupeerde organisaties sneller melden, maar de privacywaakhond maakt zich grote zorgen.
“Vorig jaar hebben we de noodklok geluid toen het aantal meldingen met 30 procent steeg. Het jaar ervoor was de toename 25 procent. Dit jaar komen we woorden tekort”, zegt Dennis Davrados, coördinator datalekken van de toezichthouder voor privacy.
Volgens de autoriteit richten kwaadwillenden zich steeds vaker op IT-leveranciers. Dat zijn bedrijven die softwarediensten leveren aan kleine ondernemers, zodat die zulke programma’s niet zelf hoeven te laten bouwen. Op zulke plekken komen veel persoonlijke gegevens van burgers samen, en die zijn voor criminelen goud waard.
Vorig jaren waren er 28 datalekken bij zulke IT-leveranciers. Dat leidde tot 1800 meldingen van getroffen gebruikers. “Hierbij zijn naar schatting minimaal 7 miljoen slachtoffers getroffen. Omdat niet alle datalekken aan de AP worden gemeld, zijn dit er waarschijnlijk veel meer”, aldus de toezichthouder.
Na een datalek worden burgers vaak niet of pas heel laat geïnformeerd, constateert de autoriteit. In de tussentijd kunnen zij zich niet beschermen.
25.000 meldingen van datalekken in 2021
In totaal kreeg de toezichthouder vorig jaar bijna 25.000 meldingen van datalekken. Dat aantal is vergelijkbaar met de jaren ervoor. Bij die meldingen gaat het niet alleen om de aanvallen door criminelen, maar ook om instanties die zelf een fout maken, bijvoorbeeld door een brief aan een verkeerde persoon te sturen of door bij een massamail de adressen van de ontvangers niet goed af te schermen.
In de meeste gevallen blijft het bij de melding: 17.840 datalekken waren zo klein dat de Autoriteit Persoonsgegevens er verder niets mee deed. Iets meer dan 7000 gevallen zitten een stap hoger, daar houdt de Autoriteit 'verdiepend toezicht'.
De dienst kijkt dan niet alleen wat er is gebeurd, maar ook wat een getroffen organisatie doet om herhaling te voorkomen. In 36 gevallen besloot de toezichthouder vorig jaar om een onderzoek te beginnen. Dat kan uiteindelijk leiden tot een boete of een andere straf. Hoeveel van die onderzoeken nu nog lopen maakt de organisatie niet bekend.
Bij de beslissing hoe een organisatie wordt aangepakt, speelt het verleden ook mee. "Dat je een keer struikelt, oké, dat kan gebeuren. Dat je een tweede keer struikelt, dat kan ook nog. Maar bij de derde keer gaan we vragen of je wel goede schoenen aan hebt", aldus Özlem Sehirli-Kaya, hoofd van de onderzoeksafdeling van de autoriteit.