Datalekken: liever voorkomen dan genezen (met tips en checklist)
In 2020 steeg het aantal meldingen van datalekken met 30 procent; ook in 2021 groeide het aantal datalekken als gevolg van cybercrime sterk. Wat is een datalek, wat zijn de risico’s en hoe verkleint u de kans dat uw organisatie hierdoor wordt getroffen? Een artikel boordevol informatie en tips, plus een stappenplan voor als zich bij uw organisatie onverhoopt een datalek voordoet.
Wat is een datalek, wat zijn de risico’s en hoe verkleint u de kans dat uw organisatie hierdoor wordt getroffen? Lees meer over hoe phishing datalekken kan veroorzaken.
Wat is een datalek?
Bij een datalek of privacylek komen persoonsgegevens in handen van derden die hiertoe geen toegang zouden mogen hebben. Ook zoekgeraakte persoonsgegevens zonder backup-mogelijkheid vallen onder de definitie. Een datalek is het gevolg van een beveiligingsprobleem. Meestal gaat het om falende IT-beveiliging (uitgelekte computerbestanden) of gebrekkige cloudbeveiliging. Maar ook een gestolen papieren klantenlijst vormt een datalek.
Drie grote datalekken
- Enorm dataverlies bij corona systemen GGD - In januari 2021 bleek er te worden gehandeld in miljoenen adresgegevens, telefoon- en burgerservicenummers; enkele frauderende, later gearresteerde GGD-medewerkers haalden de gegevens uit de systemen CoronIT en HPzone Light. Laatstgenoemde software wordt gebruikt voor bron- en contactonderzoek, en was - inclusief alle persoonsgebonden data - toegankelijk voor niet minder dan 26.000 medewerkers.
- 5,4 miljoen Nederlanders gedupeerd door Facebook - Een al in 2019 buitgemaakt bestand met de privégegevens van 533 miljoen Facebook-gebruikers, onder wie 5,4 miljoen Nederlanders, verscheen in april online. Naam, woonplaats, telefoonnummer, relatiestatus: alles lag op straat. Waarschijnlijke oorzaak: misbruik van een functie om contacten automatisch op te zoeken op Facebook. Door willekeurige nummers in te vullen, konden profielen en telefoonnummers worden gekoppeld. Dankzij deze gestolen gegevens werd onder meer een chatbot gebouwd. Daarmee konden gebruikers via de app Telegram telefoonnummers van Facebookgebruikers kopen.
- Scoupy waarschuwt 2,2 miljoen klanten na datalek - NAW-gegevens, telefoonnummer, e-mailadres, geboortedatum, kassabonnen en ook wachtwoorden en bankrekeningnummers: al deze gegevens van 2,2 miljoen klanten van de korting-app Scoupy kwamen door een cyberaanval in handen van criminelen. Scoupy dichtte het datalek en waarschuwde klanten voor phishing.
“Een datalek is het gevolg van een beveiligingsprobleem. Meestal gaat het om falende IT-beveiliging of gebrekkige cloudbeveiliging."
Risico’s en gevolgen van een datalek
De risico’s en gevolgen van een datalek hangen uiteraard af van het soort informatie dat weg is gelekt en van de omvang waarmee dit is gebeurd. Een opsomming van de belangrijkste risico’s en gevolgen:
- Identiteitsfraude: met bijvoorbeeld buitgemaakte NAW-gegevens en het burgerservicenummer (BSN) kunnen criminelen een lening aangaan. De gevolgen voor de eigenaar van de betreffende identiteit kunnen dramatisch zijn: vermogensverlies en wellicht een vermelding bij het Bureau Kredietregistratie (BKR);
- Phishing: door diefstal van e-mailadressen kunnen gebruikers spam- en phishing-mails ontvangen, gericht op het slinks verwerven van nog gevoeligere data, bijvoorbeeld iemands bankrekeningnummer en wachtwoorden. Hoe meer gegevens in eerste instantie al zijn gelekt, hoe geloofwaardiger phishing mails met behulp van die informatie inhoudelijk kunnen worden ingestoken en hoe groter de kans dat individuen worden opgelicht. Nepboetes voor verkeersovertredingen worden bijvoorbeeld geloofwaardiger wanneer in de aanhef van de brief het gelekte kenteken van een voertuig is vermeld;
- Malware: bij de zojuist genoemde phishing aanvallen doen hackers zich vaak voor als iemand anders, bijvoorbeeld collega’s, in sommige gevallen met als doel om nietsvermoedende medewerkers te verleiden tot het downloaden van malware: software die wordt gebruikt om computersystemen te verstoren of interne bedrijfsnetwerken te verkennen, met alle daaropvolgende criminele mogelijkheden vandien;
- Boetes: als met jouw datalek de Algemene Verordening Gegevensbescherming (AVG) is overtreden, dan kan de Autoriteit Persoonsgegevens uw organisatie een boete opleggen tot twintig miljoen euro, of tot vier procent van de wereldwijde omzet. Let wel: per overtreding!
- Reputatieschade: GGD, Facebook en Scoupy liepen in 2021 grote reputatieschade op door de bovengenoemde datalekken. Klanten willen natuurlijk niet dat hun gegevens op straat komen te liggen.
Stappenplan bij een datalek
Is uw organisatie getroffen door een datalek? De Autoriteit Persoonsgegevens (AP) meldt op haar website de volgende stappen die u dan direct moet nemen:
- Zorg voor overzicht op de situatie: om welke soort datalek gaat het? Welke gegevens zijn weggelekt, en van (bij benadering) hoeveel personen? Is het lek al gedicht? Etc.;
- Schat de risico’s in en neem meteen maatregelen om de schade van het datalek te beperken; bijvoorbeeld het op afstand blokkeren van de toegang tot een clouddienst met een bekend geworden beveiligingslek. Beveiligingslekken van wereldwijd actieve clouddiensten bleken in 2021 meerdere keren de oorzaak te zijn van grootschalige datadiefstal;
- Bepaal of u verplicht bent tot melding van het datalek aan de Autoriteit Persoonsgegevens. Zo ja, doe dit onmiddellijk;
- Bepaal of u het datalek wel of niet moet melden aan de betrokken (getroffen) personen. Zo ja, doe ook dit zo snel mogelijk;
- Registreer het datalek in uw datalek-register. Iedere organisatie die ‘verwerkingsverantwoordelijke’ is, moet volgens de privacywet een datalekregister bijhouden. Hierin moeten zowel de meldingsplichtige datalekken, als de kleinere datalekken worden geregistreerd.
Liever voorkomen dan genezen
Hoe verkleint u in uw organisatie de kans op een datalek? Opnieuw enkele tips:
- Tweefactor-identificatie: medewerkers die in de systemen werken, vormen vaak de zwakste schakel in de IT-beveiliging: stel tweefactor-identificatie (2FA) verplicht bij hun toegang tot - ten minste - de bedrijfskritische applicaties. 2FA is een veilige(re) manier van inloggen. De identiteit van de gebruiker wordt hierbij vastgesteld door middel van twee digitale sleutels tot een systeem, bijvoorbeeld de combinatie van een wachtwoord en een ontvangen sms-code.
- Toegespitste risicobeoordeling: beoordeel de privacyrisico’s van producten en diensten, en van afnemers en medewerkers. Gebruik bijvoorbeeld de Privacy Quick Scan van MKB-Nederland en VNO-NCW. Kunnen uw risico’s de toets van de AVG-wetgeving doorstaan?
- Internetbeveiliging: vraag uw internetprovider naar diens maatregelen op gebied van internet security. Doet u zelf het onderhoud van de webserver? Huur zo nodig expertise in voor optimale IT-beveiliging, en laat uw bedrijf het liefst ook regelmatig auditen.
- Houd een datalek-draaiboek bij: leg in een draaiboek vast welke systemen bedrijfskritisch zijn, en wie wanneer moet worden ingeschakeld om een datalek op te lossen. Ook de communicatie naar medewerkers, klanten en leveranciers moet daarin procedureel zijn voorbereid.
- Automatische logging van informatie: richt IT en IT-beveiliging zo in dat informatie vanzelf wordt verzameld en bijgehouden. Zo zijn er systemen die logbestanden aanmaken en daarin wijzigingen en transfers monitoren. Wanneer deze zijn gekoppeld aan gebruikers, kunt u snel achterhalen wie op welk moment toegang had tot bepaalde data en wat een individu daarmee deed. Enerzijds wordt de kans op een datalek hierdoor verkleind, anderzijds vergemakkelijkt deze werkwijze forensisch onderzoek na een onverhoopt datalek. Deze gedegen werkwijze verkleint bovendien de kans dat een organisatie na een datalek wordt geconfronteerd met een boete door de Autoriteit Persoonsgegevens wegens ‘nalatig handelen’. Dit laatste is geen fictief risico: eind 2021 kreeg Transavia van de Autoriteit Persoonsgegevens om deze reden een boete van 400.000 euro: een hacker kon eenvoudig de systemen binnendringen en downloadde de gegevens van 83.000 klanten.
Datalekken: maak er nu werk van!
Datalekken nemen elk jaar in omvang en impact toe. Het is de hoogste tijd dat ook het midden- en kleinbedrijf zichzelf hiertegen professioneel bewapent. De mogelijkheden hiertoe zijn legio, zo bleek uit dit artikel, dat nog maar een fractie van het totale handelingsperspectief benoemde. De kosten om datalekken te voorkomen wegen allang niet meer op tegen de vaak enorme financiële schade van een datalek. Het is dus nu de tijd voor actie. Neemt u de handschoen op? Ga direct met beveiliging aan de slag.
FAQ: wat te doen bij een datalek?
- Zorg voor overzicht op de situatie
- Schat de risico’s in en neem meteen maatregelen om de schade van het datalek te beperken
- Bepaal of u verplicht bent tot melding van het datalek aan de Autoriteit Persoonsgegevens. Zo ja, doe dit onmiddellijk
- Bepaal of u het datalek wel of niet moet melden aan de betrokken (getroffen) personen. Zo ja, doe ook dit zo snel mogelijk
- Registreer het datalek in uw datalek-register
Denk aan:
- Tweefactor-identificatie
- Toegespitste risicobeoordeling: beoordeel de privacyrisico’s van producten en diensten, en van afnemers en medewerkers.
- Internetbeveiliging: vraag uw internetprovider naar diens maatregelen op gebied van internet security.
- Houd een datalek-draaiboek bij
- Automatische logging van informatie: richt IT en IT-beveiliging zo in dat informatie vanzelf wordt verzameld en bijgehouden.
Veilig Vooruit
Bescherm uw medewerkers, apparaten, locaties en verbindingen.