In ruim tweederde (63%) van de datalekken die in 2018 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. De overige 27% bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, fishing of malware. Het gaat in de meeste gevallen om NAW-gegevens, gegevens over geslacht, medische gegevens en BSN.
Phishing
Uit de meldingen valt op dat datalekken door hacking en phishing met name voorkomen in de zorg. Bij phishing kan het gaan nep e-mails die afkomstig lijken van een betrouwbare partij. Wanneer op de link wordt geklikt of een bijlage wordt geopend kan een virus, bijvoorbeeld ransomware, worden geïnstalleerd. Dit is een type malware dat gegevens versleutelt en ervoor zorgt dat deze niet meer toegankelijk zijn.
Acties 2018
De AP heeft een palet aan verschillende instrumenten om actie mee te ondernemen. In 2018 heeft de AP in veel gevallen uitleg gegeven aan organisaties over te nemen beveiligingsmaatregelen, heeft gevraagd om aanvullende informatie over het datalek, zijn. brieven met normuitleg gestuurd en normoverdragende gesprekken gevoerd met organisaties.
Sinds 25 mei 2018 heeft de AP bij 298 datalekmeldingen actie ondernomen richting organisaties die een datalek gemeld hebben. Een deel van deze interventies loopt nog. Over het algemeen leidden deze acties tot een waarschuwing en beëindiging van de overtreding. Hieronder vielen ook interventies naar mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Het komende jaar gaat de AP daar meer aandacht aan besteden.
In november 2018 heeft de AP vervoersdienst Uber een boete van 600.000 euro opgelegd voor het te laat melden van een datalek. Het ging om het te laat melden aan zowel de AP als aan de betrokkenen.