Vorig jaar was een recordjaar voor het aantal gemelde data-inbreuken bij de bevoegde Belgische Gegevensbeschermingsautoriteit (GBA). Nog nooit werden er zoveel data-inbreuken gemeld. Krijg je daar dan ook een boete voor?
Vorig jaar kwamen er bij de GBA 1.455 meldingen van data-inbreuken binnen, bijna vier per dag. Dat is een toename van 12 procent ten opzichte van het jaar ervoor. De cijfers staan in het jaarverslag van GBA, dat zopas verscheen.
De cijfers zijn een record, al ligt het aantal meldingen wel in lijn met de aantallen van meldingen in het coronajaar 2021. Maar op zes jaar tijd gaat het wel om een verdrievoudiging. Niet alleen worden er regelmatig data gelekt, organisaties zijn zich ook meer en meer bewust van hun verplichtingen.
Meldingen zijn verplicht
Zodra een organisatie vaststelt dat er sprake is van een data-inbreuk — bijvoorbeeld wanneer persoonsgegevens verloren zijn gegaan, gestolen of onterecht ingezien — geldt er in veel gevallen namelijk een meldplicht.
Volgens de GDPR-wetgeving moet zo’n incident binnen 72 uur na ontdekking gemeld worden aan de Gegevensbeschermingsautoriteit (GBA). In de GDPR zelf wordt er overigens niet gesproken van een ‘datalek’, wel van ‘een ‘inbreuk in verband met persoonsgegevens’.
In bepaalde gevallen moet ook de persoon van wie de gegevens zijn gelekt op de hoogte worden gebracht. Zo’n snelle en correcte melding is overigens niet alleen een wettelijke verplichting, maar vanuit een organisatie ook een belangrijk signaal van transparantie en verantwoordelijkheid.
Vooral menselijke fouten
Veel mensen denken bij datalekken in de eerste plaats aan een hacker die de onderneming is binnengedrongen, maar een datalek blijkt in de praktijk een stuk subtieler.
Het merendeel van de datalekken is namelijk te wijten aan menselijke fouten. Volgens het jaarrapport van de GBA had 40% van de incidenten in 2024 die oorzaak.
Zo is er bijvoorbeeld sprake van een datalek bij het verlies van een usb-stick met daarop niet-versleutelde persoonsgegevens. Of van het weergeven van persoonsgegevens op een onbeveiligde webpagina. Of simpelweg van het doormailen van vertrouwelijke data naar een verkeerde bestemmeling. Zeg maar de meest banale vorm van data-inbreuk.
Hackers komen opzetten
Hacking, phishing en malware-aanvallen waren goed voor 35% van de meldingen. Verder was in 5% van de gevallen sprake van oneigenlijk gebruik van toegangsrechten, waarbij medewerkers toegang hadden tot persoonsgegevens waarvoor ze eigenlijk geen autorisatie hadden.
Als we het vergelijken met de voorbije jaren, dan zijn menselijke vergissingen altijd de grootste oorzaak van data-inbreuken. Al neemt de impact van hacking wel toe. In 2021 waren menselijke vergissingen bijvoorbeeld nog goed voor 48% van alle data-inbreuken en hacking voor 26%.
Ransomware heeft grootste impact
Het zijn dus lang niet altijd de grootschalige cyberaanvallen waarbij persoonsgegevens zijn buitgemaakt, maar die zijn er uiteraard ook. Denk aan een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt. Ook die vallen onder het begrip datalek.
Net zoals in 2023 werd 2024 gekenmerkt door enkele grote ransomware-aanvallen, waarbij de nasleep van de ransomware-aanval bij Limburg.net in 2024 het meest in het oog sprong. Deze zaak kreeg niet alleen ruime aandacht in de media en in het parlement, ze werd ook door de GBA opgevolgd en in hun jaarverslag gemeld.
Ook vorig jaar legde de GBA een boete van 200.000 euro op aan een Belgisch ziekenhuis naar aanleiding van tekortkomingen in het beveiligingsbeleid. Die sanctie volgt op een ransomware-aanval waarbij data van zowat 300.000 personen werden gecompromitteerd, waaronder medische gegevens en elektronische communicatie.
Boetes niet zozeer voor datalekken
In 2024 legde de Belgische Gegevensbeschermingsautoriteit voor in totaal 708.371 euro aan boetes op wegens inbreuken op de GDPR. “Een aanzienlijke stijging in vergelijking met de 80.000 euro aan boetes in 2023”, oppert Matthias Vandamme, GDPR- en privacyadvocaat bij Claeys & Engels, op LinkedIn.
Zijn er bedrijven die hun data-inbreuken liever stilhouden uit angst voor behandelingen, boetes of sancties vanuit de privacywaakhond? Onterecht, vindt Vandamme. Want de GBA bleek in de praktijk inzake boetes eerder mild met data-inbreuken.
Het waren vooral andere privacykwesties dan data-inbreuken die geviseerd werden door de GBA. “Slechts één van de 173 beslissingen van de GBA in 2024 ging over een datalek”, weet Vandamme. “Simpel gezegd: het is niet logisch om als organisatie geen melding te maken van je datalek.”
Lees ook: Criminelen verzamelen nu al data voor de quantumcomputer van morgen