Datalekken per sector: de zorg is al jaren koploper
Niet elke branche lekt evenveel. De Autoriteit Persoonsgegevens houdt bij uit welke sectoren de datalekmeldingen komen, en dat beeld is opvallend stabiel. Jaar na jaar staat dezelfde sector bovenaan. De zorg. In 2024 kwamen er 6.873 datalekmeldingen uit de sector gezondheid en welzijn, meer dan uit welke andere branche ook. In een eerdere analyse lieten we zien dat papier de grootste oorzaak van datalekken is. Dit artikel kijkt naar de andere kant van de cijfers. Welke sectoren lekken het meest, waarom, en wat u in uw eigen branche kunt doen.
De ranglijst van 2024
In heel 2024 ontving de Autoriteit Persoonsgegevens 37.839 datalekmeldingen. Kijken we naar de sectoren die de meeste meldingen deden, dan ontstaat een duidelijke top. De zorg staat met afstand op de eerste plaats. Daarna volgen het openbaar bestuur en de financiële dienstverlening. Drie sectoren die iets gemeen hebben. Ze verwerken allemaal grote hoeveelheden gevoelige persoonsgegevens op papier en digitaal.
Bron. Autoriteit Persoonsgegevens, rapportage datalekken 2024. Dit zijn de sectoren met de meeste meldingen. Het totaal van 37.839 meldingen bevat daarnaast veel bulkmeldingen en meldingen uit overige sectoren.
Waarom de zorg al jaren bovenaan staat
Het is verleidelijk om te concluderen dat de zorg het slechtst met gegevens omgaat. Dat zou niet eerlijk zijn. Er spelen twee dingen mee, en beide horen bij het verhaal.
Het eerste is dat de zorg simpelweg heel veel gevoelige gegevens verwerkt. Medische dossiers, burgerservicenummers, financiële gegevens. Precies het soort informatie dat waardevol is voor criminelen en waarvan een lek grote gevolgen heeft. Waar veel gevoelige data omgaat, is de kans op een incident nu eenmaal groter.
Het tweede is minder bekend, maar minstens zo belangrijk. De zorg meldt ook kleine incidenten vaker dan andere sectoren, mede door de strenge regels waaraan zorginstellingen zijn gebonden. Een hoog aantal meldingen zegt dus deels iets goeds. Namelijk dat er een serieuze meldcultuur is. De koppositie van de zorg betekent niet automatisch dat de beveiliging daar het slechtst is. Het betekent wel dat er in de zorg heel veel papier en data omgaat die vertrouwelijk moet blijven, van de medicatiedossiers bij de apotheek tot de clientdossiers in de ggz.
De overheid stijgt, de financiële sector volgt
Achter de zorg staat het openbaar bestuur. Met 4.874 meldingen in 2024 is dat een stevige tweede plaats, en het aantal datalekken bij de overheid neemt de laatste jaren toe. Gemeenten verwerken de gegevens van al hun inwoners, van uittreksels tot uitkeringsdossiers. Eén verkeerd verzonden brief raakt daar meteen een burger. Hoe een gemeente dat papier netjes opruimt staat in burgergegevens vernietigen bij gemeenten.
Op de derde plaats staat de financiële dienstverlening met 1.985 meldingen. Banken, verzekeraars, accountants en adviseurs werken met bankgegevens, polissen en volledige klantdossiers. Ook hier geldt dat een groot deel van het risico in oud papier zit dat blijft liggen. Voor accountantskantoren werkten we dat uit in clientdossiers vernietigen voor accountants.
Wat de oorzaak is, en waarom papier terugkomt
De ranglijst zegt iets over wie meldt. De oorzaak zegt iets over wat er misgaat. En daar komt hetzelfde beeld terug als in onze vorige analyse. De grootste oorzaak van datalekken is niet de hacker, maar menselijk handelen met documenten. Een brief naar de verkeerde ontvanger, een e-mail met een verkeerde bijlage, een dossier dat kwijtraakt. Papier en post vormen de grootste categorie. Wilt u die cijfers in detail, lees dan papier is de grootste oorzaak van datalekken.
Cybercriminaliteit groeit wel. Het aantal meldingen na een cyberaanval steeg in 2024 naar ongeveer 1.430, en zulke aanvallen raken per incident vaak veel meer mensen. Eén aanval op een ICT-leverancier in de zorg trof honderdduizenden patiënten in een keer. Toch blijft de nuchtere waarheid dat de meeste incidenten ontstaan door alledaagse fouten met gegevens, niet door spectaculaire hacks.
Het goede nieuws: het meeste is te voorkomen
Er zit een cijfer in de AP-rapportage dat te weinig aandacht krijgt, maar dat voor elke sector hoopgevend is. Bij de meeste datalekken lag de oorzaak niet in pech, maar in beleid. In ongeveer 40 procent van de gevallen bestond er wel beleid, maar werd het niet gevolgd. In ongeveer 33 procent ontbrak passend beleid helemaal. Slechts een klein deel, ongeveer 15 procent, betrof incidenten die eigenlijk niet te vermijden waren.
Anders gezegd. Het overgrote deel van de datalekken had voorkomen kunnen worden met duidelijke afspraken die ook echt worden nageleefd. Dat is geen kwestie van dure techniek, maar van orde. Weten welk papier u heeft, weten wanneer het weg mag en het dan ook echt laten vernietigen. Voor uw eigen archief helpt 6 signalen dat uw archief een AVG-risico is om de zwakke plekken te vinden.
Wat u in uw sector kunt doen
De cijfers verschillen per branche, maar de aanpak is overal hetzelfde. Loop deze punten langs.
- Breng uw gegevensstroom in kaart. Weet welke gevoelige documenten u waar bewaart, op papier en digitaal.
- Controleer de bewaartermijnen. Alles wat over de termijn heen is, is onnodig risico.
- Leg beleid vast en houd u eraan. Beleid dat op papier staat maar niet wordt gevolgd, telt niet.
- Laat wat weg mag vertrouwelijk vernietigen. Niet bij het oud papier, maar op het juiste DIN-niveau met een certificaat.
- Weet wat u doet bij een lek. Zorg dat u een melding binnen 72 uur kunt doen.
Voor sectoren met specifieke regels zijn er aparte stappenplannen. In het onderwijs gelden vaste termijnen voor leerlingdossiers. In de advocatuur draait het om het dossier na afloop van de zaak. En gaat het toch mis, dan helpt het stappenplan om een datalek binnen 72 uur te melden.
Wat het kost om uw papier op te ruimen
Papier vertrouwelijk laten vernietigen is geen grote investering. U betaalt een vaste prijs per doos of rolcontainer, vanaf ongeveer 30 euro voor de eerste doos, met het certificaat inbegrepen. Binnen 20 km van Amsterdam rekenen wij geen voorrijkosten. Door gebundelde routes is ook landelijk een vaste prijs mogelijk. Een eenmalige opruiming van jaren aan opgespaard papier laat zich zo in een keer afhandelen. Afgezet tegen de gevolgen van een datalek is dat een kleine prijs.
Een voorbeeld uit de praktijk
Een zorginstelling schoont het archief op na een fusie. Er blijken dozen met oude clientdossiers te staan waarvan de bewaartermijn ruim voorbij is. In de drukte van de verhuizing stonden die dozen open op een gang, toegankelijk voor iedereen die er langsliep. Precies de situatie waar de AP-cijfers over gaan. De instelling laat de dossiers verzegeld ophalen en op het juiste niveau vernietigen, en legt de certificaten vast in het verwerkingsregister. De kwetsbare stapel is weg, het bewijs is er, en bij de volgende audit is in een paar minuten te laten zien dat het papier aantoonbaar is opgeruimd. Meer over die bewijslast staat in aantoonbaar vernietigen voor de AVG.
Het gevoelige papier uit uw sector weghalen?
Geef door hoeveel dozen of ordners over de bewaartermijn heen zijn en u krijgt een vaste prijs. Wij halen het verzegeld op, vernietigen het op het juiste DIN-niveau en u ontvangt een certificaat van vernietiging als bewijs voor uw AVG-dossier. Geen voorrijkosten binnen 20 km van Amsterdam.
Vraag een offerte aanVeelgestelde vragen
Welke sector heeft de meeste datalekken in Nederland?
De sector gezondheid en welzijn. In 2024 kwamen daar 6.873 datalekmeldingen vandaan, meer dan uit welke andere sector ook. De zorg is al jaren de koploper in de cijfers van de Autoriteit Persoonsgegevens.
Betekent dit dat de zorg het slechtst beveiligd is?
Niet per se. De zorg verwerkt veel en zeer gevoelige gegevens, en meldt ook kleine incidenten vaker dan andere sectoren door de strenge regels. Een hoog aantal meldingen zegt dus deels iets over een goede meldcultuur, niet alleen over de beveiliging.
Welke sectoren volgen na de zorg?
In 2024 stond openbaar bestuur op de tweede plaats met 4.874 meldingen, gevolgd door de financiële dienstverlening met 1.985 meldingen. De aantallen bij de overheid nemen de laatste jaren toe.
Wat is de belangrijkste oorzaak van datalekken?
Menselijk handelen. Een brief of e-mail naar de verkeerde ontvanger, een document dat kwijtraakt. Papier en post vormen de grootste categorie, ruim boven cyberaanvallen. Cybercriminaliteit groeit wel en raakt per incident vaak veel meer mensen.
Wat kan mijn sector eraan doen?
Zorg voor duidelijk beleid en houd u eraan. Uit de cijfers blijkt dat een groot deel van de datalekken ontstaat doordat beleid ontbreekt of niet wordt gevolgd. Breng uw papierstroom in kaart, controleer bewaartermijnen en laat wat weg mag aantoonbaar vernietigen.
Conclusie
De cijfers per sector vertellen een consistent verhaal. De zorg staat al jaren bovenaan, gevolgd door het openbaar bestuur en de financiële dienstverlening. Dat komt deels doordat deze sectoren veel gevoelige gegevens verwerken en deels doordat ze incidenten trouw melden. De oorzaak is in elke sector vergelijkbaar. Niet de hacker, maar menselijk handelen met documenten. Het goede nieuws is dat het meeste te voorkomen is met duidelijk beleid dat ook wordt gevolgd. Weet welk papier u heeft, controleer de termijnen en laat wat weg mag aantoonbaar vernietigen. Zo haalt u het risico weg dat in bijna elke branche dezelfde vorm heeft. Een stapel gevoelig papier die te lang blijft liggen.
Lees ook: begin bij de oorzaak met papier is de grootste oorzaak van datalekken. Verdiep daarna met 6 signalen dat uw archief een AVG-risico is en het stappenplan om een datalek binnen 72 uur te melden.
Het risico uit uw branche weghalen? Vraag een offerte aan via desnipperaar.nl of lees eerst hoe aantoonbaar vernietigen voor de AVG uw bewijs vormt. Wij halen het gevoelige papier verzegeld op.