Sinds 25 mei 2018 is het verplicht om gegevenslekken te melden bij de GBA. Daarvoor was dit enkel verplicht voor telecomoperatoren. In 2020 ontving de Autoriteit 1097 gegevenslekken. Zij verricht bij deze gegevenslekken steeds de nodige verificaties en neemt indien nodig contact op met de betrokken partijen.

Voorts werden in 2020 10 algemene beslissingsdossiers opgestart, namelijk 5 dossiers met betrekking tot gegevensbeschermingseffectbeoordelingen (cf gedeelte “Adviezen en Aanbevelingen”), 3 bindende ondernemingsregels (ook bekend als “Binding Corporate Rules” of BCR’s ) dossiers, 1 gedragscode en 1 beslissing van het Algemeen Secretariaat.

Als laatste houdt de Autoriteit sinds 25 mei 2018 ook niet-publieke databank bij van aangemelde DPO’s.


Cijfermateriaal : gegevenslekken

Evolutie gemelde gegevenslekken
Jaartal Gemelde gegevenslekken
2015 13
2016 22
2017 25
2018 445
2019 877
2020 1097

Sinds 25 mei 2018 is er een meldplicht voor gegevenslekken. Deze meldingen dienen te gebeuren via een (in 2020 sterk vereenvoudigd) elektronisch formulier. In 2020 ontving de autoriteit 1097 meldingen van gegevenslekken.

Gevolg gegeven aan gegevenslekken

Resultaten gegevenslekken Aantal % dossiers
Verificaties verricht 1032 94,07
Behandeling stopgezet 42 3,83
Andere 23 2,10

Meest voorkomende types gegevenslekken

Voor gegevenslekken kwamen volgende 5 types het vaakst voor:

  1. Menselijke vergissing (32,82%)
  2. Hacking, phishing & malware (27,71%)
  3. Andere (13,95%)
  4. Oneigenlijk gebruik toegangsrechten (9,85%)
  5. Systeemfalen (5,74%)

Aanmeldingen van functionarissen voor gegevensbescherming

Sinds 25 mei 2018 dienen functionarissen voor gegevensbescherming te worden aangemeld bij de Autoriteit. Deze aanmeldingen dienen te gebeuren via een elektronisch formulier. Sindsdien hebben 5911 organisaties een actieve functionaris voor gegevensbescherming geregistreerd.