In de eerste helft van 2024 werden bijna 10.000 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Hoewel dit een lichte daling is ten opzichte van voorgaande jaren, tonen de cijfers aan dat de grootste dreiging niet van cyberaanvallen komt, maar van menselijke fouten. Vooral grote organisaties en sectoren zoals de overheid en zorginstellingen blijven kwetsbaar.

Datalekken: De belangrijkste oorzaken

Uit de meldingen blijkt dat datalekken niet altijd het gevolg zijn van hacking of phishing, maar vaak voortkomen uit menselijke fouten en gebrekkige beveiligingsprocessen.

• 41% door verkeerd verstuurde brieven of postpakketten met persoonsgegevens.
• 18% door e-mails aan de verkeerde ontvanger.
• 8% door hacking, malware of phishing.
• 33% door overige incidenten, zoals verkeerd gekoppelde klantgegevens of verloren USB-sticks.

Daarnaast blijkt dat in 88% van de gevallen de gegevens niet waren versleuteld of gehasht, waardoor onbevoegden direct toegang konden krijgen tot persoonsgegevens.

Sectoren en organisaties met de meeste meldingen

De meeste datalekken komen van grote organisaties met 250 of meer werknemers (70% van alle meldingen). Sectoren die het vaakst melding maakten:

• Overheid & openbare diensten – 2.542 meldingen.
• Gezondheidszorg & welzijn – 2.400 meldingen.
• Handel, vervoer & horeca – 1.091 meldingen.

Dit benadrukt dat organisaties met veel persoonsgegevens en complexe processen een verhoogd risico lopen.

Wat kunnen hiervan leren?

1. Menselijke fouten vormen de grootste zwakke schakel

Datalekken ontstaan vaker door operationele fouten dan door cyberaanvallen. Daarom moeten CISO’s inzetten op:
✔ Duidelijke protocollen voor verzending van fysieke en digitale documenten.
✔ Bewustwordingscampagnes en trainingen voor medewerkers over veilig datagebruik.

2. Versleuteling en dataclassificatie moeten standaard zijn

Veel gelekte gegevens waren onbeveiligd. Dit kan eenvoudig worden aangepakt door:
✔ Encryptie of hashing als standaard voor gevoelige data.
✔ Beperken van toegang tot persoonsgegevens via striktere Identity & Access Management (IAM).

3. Sectorspecifieke maatregelen zijn nodig

Zorg en overheid zijn het vaakst betrokken bij datalekken. Dit vereist:
✔ Extra aandacht voor compliance met NIS2 en BIO 2.0.
✔ Regelmatige audits en datalek-simulaties om zwakke plekken te identificeren.

Deze cijfers tonen aan dat beveiliging verder moet gaan dan IT-oplossingen. Operationele processen, bewustwording en toegangsbeheer spelen een cruciale rol in het voorkomen van datalekken. CISO’s die zich richten op menselijke fouten, encryptie en sectorspecifieke risico’s, kunnen de impact van datalekken aanzienlijk verminderen en organisaties veiliger maken.