Eén jaar meldplicht datalekken persoonsgegevens: 5500 meldingen

In bijna een jaar tijd – tot 15 december 2016 – ontving de Autoriteit Persoonsgegevens (AP) bijna 5500 meldingen van datalekken. De AP is inmiddels met tientallen onderzoeken bezig naar aanleiding van datalekmeldingen.

Organisaties die een ernstig datalek hebben, moeten dit sinds 1 januari 2016 melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. 

Meeste meldingen uit de zorgsector
De meeste meldingen hierover waren afkomstig uit de sectoren gezondheid & welzijn (onder andere zorgverzekeraars en ziekenhuizen), financiële dienstverlening (onder meer banken en verzekeraars) en openbaar bestuur (onder meer gemeenten).

Veel datalekken betreffen gevallen waarbij gegevens per ongeluk bij iemand anders terecht komen dan de bedoeling is. Bijvoorbeeld door een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of als een klant in een klantportaal de gegevens van iemand anders kan zien. Ook komt het vaak voor dat bijvoorbeeld een USB-stick met persoonsgegevens kwijtraakt of een laptop wordt gestolen.

De AP heeft ruim 4000 binnengekomen meldingen nader bekeken en in een aantal gevallen aanvullende vragen gesteld. Ruim 100 organisaties gaf de toezichthouder naar aanleiding hiervan een waarschuwing. In enkele andere tientallen gevallen doet de AP een diepgaander onderzoek. Deze onderzoeken lopen nog.

Opslaan van medische dossiers in verzuimsystemen
In 2016 kreeg de AP regelmatig vragen over het opslaan van medische dossiers in verzuimsystemen, meldde de toezichthouder in december. Een werkgever mag géén gegevens over de aard en oorzaak van de ziekte van zijn zieke werknemers verwerken. Zo mag een bedrijfsarts of arbodienst de medische dossiers niet opslaan in een verzuimsysteem dat de werkgever zelf gebruikt én beheert.