HomeKennisbank › Datalekken in Nederland: papier is de grootste oorzaak
Datalek

Datalekken in Nederland: papier is de grootste oorzaak

Stapel papieren dossiers als grootste oorzaak van datalekken in Nederland

Vraag een willekeurige ondernemer waar een datalek vandaan komt en het antwoord is bijna altijd hetzelfde. Hackers. Toch klopt dat beeld niet met de cijfers. De Autoriteit Persoonsgegevens houdt bij hoeveel datalekken er worden gemeld en wat de oorzaak is. Uit die openbare rapportages komt een verrassende conclusie. De grootste oorzaak van datalekken in Nederland is niet een cyberaanval, maar papier. Een brief die verkeerd wordt bezorgd, een dossier dat kwijtraakt, een stapel oud papier die op straat staat. Dit artikel analyseert die cijfers en laat zien wat u er zelf aan kunt doen.

De cijfers die niemand verwacht

In heel 2024 kreeg de Autoriteit Persoonsgegevens 37.839 datalekmeldingen binnen. Een jaar later liep dat aantal verder op. Achter dat totaal zit een verdeling die haaks staat op het onderbuikgevoel. Wanneer de AP kijkt naar de oorzaak van datalekken die door bedrijven en organisaties worden gemeld, gaat het in ongeveer 41 procent van de gevallen om een brief of pakket met persoonsgegevens. Verkeerd bezorgd, kwijtgeraakt of ongeopend teruggekomen. Dat is veruit de meest gemelde categorie, en het is bovendien al jaren zo.

Ter vergelijking. E-mail naar de verkeerde ontvanger is goed voor ongeveer 18 procent. De categorie waar iedereen aan denkt, de cyberaanval door een hacker, is verantwoordelijk voor ongeveer 5 procent van de meldingen. Papier en post samen zijn dus vele malen groter dan het cyberbeeld dat de krant haalt.

Oorzaken van datalekmeldingen door organisaties (AP, eerste helft 2024)
Brief of pakket verkeerd bezorgd of kwijt 41%
E-mail naar verkeerde ontvanger 18%
Cyberaanval (hacking) 5%
Overige oorzaken 36%

Bron. Autoriteit Persoonsgegevens, rapportage datalekken eerste helft 2024. Percentages afgerond. De categorie overige oorzaken bundelt onder meer mondelinge verstrekking en verloren apparatuur.

Wat de cijfers precies zeggen, en wat niet

Hier is eerlijkheid op zijn plaats, want met cijfers is het makkelijk overdrijven. De categorie van 41 procent gaat over een brief of pakket met persoonsgegevens die op de verkeerde plek belandt. Dat is niet hetzelfde als verkeerd vernietigd papier. Een groot deel van deze meldingen ontstaat in de post. Een polis naar de vorige bewoner, een brief met het verkeerde adres op de envelop, een pakket dat zoekraakt bij de bezorger. Documentvernietiging voorkomt zo'n verkeerde bezorging niet.

Wat de cijfers wel laten zien is een breder patroon. Fysieke persoonsgegevens op papier zijn in Nederland de dominante bron van datalekken. Niet de spannende, maar de saaie. Menselijke handelingen met documenten, niet code. Binnen dat brede patroon zit een deel dat u wel volledig zelf in de hand heeft. Papier dat u niet meer nodig heeft, maar dat toch blijft liggen of onbeveiligd bij het oud papier verdwijnt. Dat is de vermijdbare hoek van het probleem, en daar gaat de rest van dit artikel over.

Waarom papier de blinde vlek is

Bijna elke organisatie heeft de afgelopen jaren geld gestoken in digitale beveiliging. Firewalls, wachtwoordbeleid, phishingtrainingen. Terecht, want een cyberaanval kan in een klap honderden of zelfs meer dan een miljoen mensen raken. Maar terwijl de aandacht naar het scherm ging, bleef de archiefkast buiten beeld. Daar staan de ordners met loonstroken, de dozen met oude klantdossiers, de bak met documenten die eigenlijk al weg hadden gemogen.

Die blinde vlek is logisch. Een digitaal lek voelt modern en dreigend. Een stapel papier voelt onschuldig. Toch is dat papier vaak jaren toegankelijk voor iedereen die langsloopt, veel langer dan een aanvaller in een netwerk zit. Een verhuizing, een verbouwing, een medewerker die vertrekt. Elk moment waarop dozen worden verplaatst is een moment waarop papier op straat kan belanden. De cijfers van de AP laten zien dat dit geen theorie is, maar de meest gemelde praktijk.

Herkent u dit risico in uw eigen archief, lees dan verder in 6 signalen dat uw archief een AVG-risico is.

Wat vernietiging wel en niet oplost

Het is verleidelijk om nu te zeggen dat documentvernietiging het datalekprobleem oplost. Dat zou niet eerlijk zijn. Vernietiging voorkomt niet dat een brief verkeerd wordt bezorgd en niet dat een e-mail naar de verkeerde persoon gaat. Wat vernietiging wel doet, is een concrete en vermijdbare bron wegnemen. Namelijk papier dat u niet meer nodig heeft.

Denk aan de klantadministratie waarvan de bewaartermijn voorbij is, de personeelsdossiers van mensen die jaren geleden zijn vertrokken, de sollicitatiebrieven die u nooit had mogen bewaren. Zolang dat papier bestaat, is het een potentieel lek. Zodra het aantoonbaar is vernietigd, is het risico weg. Niet verplaatst naar een andere kast, maar echt weg. Dat is de nuchtere winst. U verkleint de stapel die ooit een melding kan worden.

Er is nog een tweede reden. Als er ondanks alles toch iets misgaat, moet u kunnen aantonen dat u zorgvuldig met gegevens omgaat. Een certificaat van vernietiging is daarbij uw bewijs. Het laat zien dat het papier op het juiste niveau is vernietigd en wanneer. Dat maakt het verschil tussen aantoonbaar in control zijn en achteraf niets kunnen laten zien. Meer over die bewijslast leest u in aantoonbaar vernietigen voor de AVG.

Zelfcheck: hoe kwetsbaar is uw papierstroom?

De cijfers van de AP gaan over heel Nederland. De vraag die telt is hoe uw eigen situatie eruitziet. Loop deze punten langs.

  • Weet u welk papier over de bewaartermijn heen is? Alles wat te lang blijft, is onnodig risico.
  • Staat er ergens een doos met oude dossiers zonder duidelijke bestemming? Dat is precies de stapel die bij een verhuizing zoekraakt.
  • Gaat vertrouwelijk papier bij u weleens bij het gewone oud papier? Een open papierbak staat dagen op straat.
  • Krijgt u een bewijs als papier wordt vernietigd? Zonder certificaat kunt u achteraf niets aantonen.
  • Weet u wie toegang heeft tot uw fysieke archief? Toegang zonder overzicht is een lek in wording.

Twijfelt u bij een of meer punten, dan zit daar uw kwetsbaarheid. Een eerste opruiming brengt de stapel meteen omlaag. Hoe u dat aanpakt staat in het stappenplan om uw archief op te ruimen, en voor kleinere administratie in oude administratie opruimen.

Wat het kost om die stapel weg te halen

Papier vertrouwelijk laten vernietigen is geen grote investering. U betaalt een vaste prijs per doos of rolcontainer, vanaf ongeveer 30 euro voor de eerste doos. Het certificaat zit daarbij in. Binnen 20 km van Amsterdam rekenen wij geen voorrijkosten. Door gebundelde routes is ook landelijk een vaste prijs mogelijk. Een eenmalige opruiming van jaren aan opgespaard papier laat zich zo in een keer afhandelen. Afgezet tegen de kosten en de reputatieschade van een datalek is dat een kleine prijs voor een risico dat u helemaal wegneemt.

Een voorbeeld uit de praktijk

Een adviesbureau ontdekt bij een verhuizing een kamer vol dozen met oude klantdossiers. Niemand weet meer precies wat erin zit. De inhoud blijkt jaren over de bewaartermijn heen. In het oude pand stonden de dozen open en toegankelijk voor schoonmakers, bezoekers en tijdelijke krachten. Precies het soort situatie waar een datalek ontstaat. Het bureau laat de dozen verzegeld ophalen en op het juiste niveau vernietigen, en legt de certificaten vast in het verwerkingsregister. De kwetsbare stapel is weg, het bewijs is er, en bij de volgende controle is in een paar minuten te laten zien dat het papier aantoonbaar is opgeruimd.

De stapel gevoelig papier weghalen?

Geef door hoeveel dozen of ordners over de bewaartermijn heen zijn en u krijgt een vaste prijs. Wij halen het verzegeld op, vernietigen het op het juiste DIN-niveau en u ontvangt een certificaat als bewijs voor uw AVG-dossier. Geen voorrijkosten binnen 20 km van Amsterdam.

Vraag een offerte aan

Veelgestelde vragen

Wat is de grootste oorzaak van datalekken in Nederland?

Volgens de Autoriteit Persoonsgegevens gaat het bij ongeveer 41 procent van de datalekmeldingen door organisaties om een brief of pakket met persoonsgegevens die verkeerd is bezorgd, kwijtraakt of ongeopend terugkomt. Papier en post zijn daarmee de meest gemelde oorzaak, ruim boven cyberaanvallen.

Zijn hackers niet de belangrijkste oorzaak van datalekken?

In aantal niet. Cyberaanvallen zijn ongeveer 5 procent van de meldingen. Ze raken wel vaak veel meer mensen per incident en de impact is groot. In pure aantallen zijn menselijke fouten met papier en e-mail veel talrijker.

Lost documentvernietiging het datalekprobleem op?

Niet helemaal. Vernietiging voorkomt niet dat een brief verkeerd wordt bezorgd. Het lost wel een concrete, vermijdbare bron op. Papier dat te lang blijft liggen of onbeveiligd wordt weggegooid. Aantoonbaar vernietigen haalt die stapel uit uw risico.

Waar komen deze cijfers vandaan?

Uit de openbare rapportages datalekken van de Autoriteit Persoonsgegevens. De AP publiceert jaarlijks het aantal meldingen en de belangrijkste oorzaken. De percentages in dit artikel komen uit die rapportages en zijn na te lezen op de site van de AP.

Wat kan mijn organisatie meteen doen?

Breng uw papierstroom in kaart, controleer bewaartermijnen en laat documenten die weg mogen vertrouwelijk vernietigen met een certificaat. Zo verkleint u de stapel gevoelig papier die een datalek kan worden. Een uitgebreidere aanpak voor het mkb staat in AVG en documentvernietiging, wat moet het mkb.

Conclusie

Het beeld dat datalekken vooral het werk zijn van hackers klopt niet met de Nederlandse cijfers. De Autoriteit Persoonsgegevens laat jaar na jaar zien dat papier en post de meest gemelde oorzaak zijn, ver boven de cyberaanval. Een deel daarvan gebeurt in de post en is lastig te voorkomen. Maar een ander deel heeft u volledig zelf in de hand. Papier dat over de bewaartermijn heen is en toch blijft liggen, is een lek dat wacht om te gebeuren. Breng uw papierstroom in kaart, controleer de termijnen en laat wat weg mag aantoonbaar vernietigen. Zo haalt u de saaiste maar grootste oorzaak van datalekken bij uzelf weg.

Lees ook: weet u wat u moet doen als het toch misgaat? Volg dan het stappenplan om een datalek binnen 72 uur te melden. Verdiep daarna met 6 signalen dat uw archief een AVG-risico is en aantoonbaar vernietigen voor de AVG.


De grootste oorzaak bij uzelf weghalen? Vraag een offerte aan via desnipperaar.nl of lees eerst hoe het certificaat van vernietiging uw bewijs vormt. Wij halen het gevoelige papier verzegeld op.