In 2019 is een kwart van de bedrijven met 250 of meer medewerkers getroffen door een datalek ten gevolge van een intern incident. Een forse stijging ten opzichte van een jaar eerder, toen dat percentage nog op 17 procent lag. In acht procent van de gevallen lag de oorzaak van het datalek bij een aanval van buitenaf. Die cijfers heeft het CBS vandaag onthuld bij de publicatie van de vierde jaarlijkse editie van de Cybersecuritymonitor.
In 2019 werden in Nederland 4858 bedrijven (met 2 of meer medewerkers) getroffen door een datalek, of zoals het CBS het noemt, een dataonthullingsincident. Bij 2 procent van de bedrijven lag de oorzaak daarvoor bij een aanval van buitenaf, door een hack of inbraak.
Een opvallende constatering van het CBS is het feit dat bedrijven in de gezondheidszorg (ziekenhuizen, huisartsen, apotheken, GGZ-instellingen) relatief gezien het vaakst getroffen worden door een datalek. In die sector betrof dat in 2019 maar liefst 7 procent van alle bedrijven; bij 6 procent door een intern incident en bij 1 procent door een aanval (hack) van buitenaf. Na de gezondheidszorg worden ICT-bedrijven relatief het vaakst getroffen door een in- of extern datalek.
Dat grote bedrijven, met meer dan 250 medewerkers, vaker getroffen worden dan kleinere bedrijven is op zich niet zo vreemd. Grote bedrijven, zoals banken en ziekenhuizen, maar ook industriële bedrijven als Philips, Hoogovens, DSM, wekken eerder de interesse van hackers en andere cybercriminelen dan de computerwinkel of bakker op de hoek.
In Nederland zijn bedrijven al jaren (sinds 2016) verplicht om datalekken waarbij privacygevoelige gegevens mogelijk in handen van derden gekomen zijn te melden bij de Autoriteit Persoonsgegevens (AP). In 2018 werd die meldplicht in EU-verband geformaliseerd door de invoering van de AVG (Algemene Verordening Gegevensbescherming).
In 2019 werden bij de AP in totaal 29.956 datalekken gemeld. Een stijging van bijna 50 procent ten opzichte van 2018 toen het aantal meldingen uit kwam op 20.881. Ook hier is de gezondheidszorg prominent vertegenwoordigd, al zijn de meeste melding van datalekken wel afkomstig uit de financiële sector (banken, verzekeringen). Samen met het openbaar bestuur (gemeenten, overheden) waren die drie sectoren goed voor bijna driekwart van alle gemelde datalekken.
Gelukkig staat er ook goed nieuws in de CBS Cybersecuritymonitor
(pdf link). Sinds de eerste meeting, in 2016, is het aantal ICT‐veiligheidsincidenten door datavernietiging of door uitval van ICT‐systemen gestaag gedaald.
Die daling zette ook in 2019 door. In 2016 gaf 24 procent van de bedrijven met meer dan 250 werknemers aan een datavernietigingsincident gehad te hebben door een aanval van buitenaf. In 2019 was dat nog maar bij 6 procent van de bedrijven het geval.
