In de eerste helft van 2019 heeft de Autoriteit Persoonsgegevens 11.906 meldingen van datalekken ontvangen. Het gaat om ongeveer tweeduizend meldingen per maand. Als deze trend zich voortzet dan verwacht de AP voor heel 2019 een stijging van 14 procent ten opzichte van 2018.
Sinds de inwerkingtreding van de meldplicht datalekken ontvangt de AP, naast datalekmeldingen uit de financiële sector en de sector openbaar bestuur, de meeste meldingen uit de zorgsector. Het grootste aantal datalekmeldingen binnen de zorgsector is afkomstig van ziekenhuizen (23 procent) en apotheken (22 procent). De meeste meldingen worden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen zoals gezondheids- en welzijnsorganisaties (24 procent), maatschappelijke dienstverlening (15 procent) en tandartsen (6 procent) melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen.
De meest gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63 procent). In ruim de helft van alle meldingen gaat het om gegevens van 1 persoon (58 procent). Gemelde datalekken die vijfduizend of meer personen raken, worden vaak (in 47 procent van de gevallen) veroorzaakt door hacking, malware en/of phishing.
Bij ruim vijfhonderd datalekmeldingen heeft de AP actie ondernomen bij organisaties die een datalek hebben gemeld. In de meeste gevallen (84 procent) wordt telefonisch contact opgenomen voor aanvullende informatie. In andere gevallen geeft de AP de organisatie normuitleg via een brief of dringt zij via een gesprek aan op maatregelen.
Uit onder meer signalen en tips van betrokkenen merkt de AP op dat niet alle datalekken die gemeld moeten daadwerkelijk worden gemeld worden of op tijd (binnen 72 uur na ontdekking) worden gemeld. De AP beschouwt dit als een ernstige zaak. De AP heeft zeventien onderzoeken in uitvoering bij organisaties die (mogelijk) een meldplichtig datalek niet hebben gemeld. Er zijn vier onderzoeken gestart naar aanleiding van een te laat gemeld datalek. Deze onderzoeken kunnen mogelijk leiden tot een sanctie.