De meldplicht datalekken is 1 januari 2016 ingegaan. Organisaties die een ernstig datalekken hebben, moeten dat sindsdien melden de Autoriteit Persoonsgegevens (AP). Dat is het afgelopen jaar circa 5.500 keer gedaan. Van al die meldingen is 29 procent afkomstig uit de sectoren zorg en welzijn. De financiële sector volgt met 17 procent. Meer dan honderd organisaties kregen afgelopen jaar een waarschuwing van de AP over slechte informatiebeveiliging.

Per ongeluk datalekken
Niet alle datalekken zijn even ernstig. In veel gevallen gaat het om gegevens die per ongeluk bij iemand anders terecht zijn gekomen. Dat kan gaan om een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of als een patiënt in een patiëntenportaal de gegevens van iemand anders kan inzien. Ernstiger is het als een USB-stick of een laptop met privacygevoelige gegevens wordt gestolen.

Privacygevoelige datalek
Dat soms onzorgvuldig met dat soort gegevens wordt omgegaan, noemt AP-voorzitter Aleid Wolfsen in een interview met NRC ‘heel zorgelijk’. In de zorg lekte een lijst met namen en gegevens van duizenden mensen die worden behandeld voor psychiatrische problemen doordat een e-mail naar een aantal verkeerde adressen werd gestuurd. ‘Dat is verschrikkelijk.’ Volgens Wolfsen is de zorg waarschijnlijk relatief snel geneigd om datalekken te melden, omdat het besef groot is dat men met gevoelige data werkt. In het bedrijfsleven lijkt men vaker lekken bewust niet te melden in de hoop dat het lek nooit boven water komt.

Zorgvisie had in juli 2016 een Special over informatiebeveiliging, met onder meer een interview met de Autoriteit Persoonsgegevens en een artikel over het gevaar van buitenlandse hackers.