Volledig scherm
© Thinkstock

Oeps! Een datalek is zo gebeurd

'Datalek' nu al hét woord van 2018? Het zou zomaar kunnen. Of het nu gaat om gegevens van miljoenen Facebook-gebruikers, een crisisdocument van Huisartsenkring West-Brabant dat per ongeluk maanden openbaar stond, of ongeoorloofd gesnuffel in het medisch dossier van BN'er Barbie; de lekken vliegen je tegenwoordig om de oren.

Quote

Het betekent ook dat de beveili­ging vaak niet op orde is.

Pauline Gras

Dat komt niet uit de lucht vallen. De Autoriteit Persoonsgegevens (AP) kreeg in 2017 ruim tienduizend meldingen van een datalek binnen, een groei van liefst 70 procent ten opzichte van het jaar daarvoor.

'Privacy is hot'

,,Dat betekent twee dingen'', vertelt AP-woordvoerder Pauline Gras. ,,Aan de ene kant neemt de bekendheid met de in 2016 ingevoerde meldplicht toe. Privacy is natuurlijk hot'', verwijst ze naar het wiv-referendum en de aandacht voor Facebook. ,,Maar het betekent ook dat de beveiliging vaak niet op orde is. Dat is een onderwerp dat ons zorgen baart.''

Tekst gaat verder onder de afbeelding

Volledig scherm
Enkele recente voorbeelden van datalekken. © Thinkstock

Meldenswaardig

Maar wanneer is er nu precies sprake van een datalek? ,,We onderscheiden twee soorten; lekken die je moet melden en lekken waarbij dat niet hoeft'', zegt Gras. ,,Melden moet als er ernstige nadelige gevolgen uit een lek voortvloeien, of als die kans bestaat.''

Daaraan voldoet bijvoorbeeld het lek bij de huisartsen. Volgens pricacyexpert Brenno de Winter kon met de gelekte gegevens immers een crisis geveinsd worden.

De AP had zelf onlangs te maken met een 'onschuldig' lek: de namen van werknemers bleken per ongeluk openbaar te zijn gemaakt. ,,Ons beleid is dat we die niet publiceren, maar via een omweg bleken ze toch te achterhalen'', licht Gras toe. ,,Maar er waren geen nadelige gevolgen voor de persoonlijke levenssfeer te verwachten, dus was het lek niet meldenswaardig.''

Informeren

In zo'n geval trekt AP de melding in. Dat gebeurde vorig jaar 298 keer op 10.307 meldingen. In veruit de meeste gevallen was er dus wel sprake van een risico. ,,Dan moeten alle betrokkenen geïnformeerd worden'', zegt Gras.

,,Vanaf moment dat een organisatie redelijkerwijs van het lek kan weten, heeft die 72 uur de tijd om melding te doen. Daarna gaan we kijken wat de oorzaak van het lek is, of het lek gedicht is en welke maatregelen genomen moeten worden om te voorkomen dat het weer gebeurt.''

Boete

Tot straffen leidt dat nog niet. ,,Als een bedrijf er echt een janboel van maakt met de beveiliging, kunnen we een boete opleggen. Maar dat is tot op heden nog nooit gebeurd. Als betrokkenen schade ondervinden, zoals bijvoorbeeld met Barbie, zouden ze wel zelf nog stappen kunnen ondernemen.''

'Knullig'

Quote

Het lijkt knullig, maar de gevolgen kunnen best verstrek­kend zijn

Pauline Gras

Meestal is er geen kwade opzet in het spel. Onzorgvuldigheid is de grootste boosdoener. Zo moeilijk is het immers niet om bijvoorbeeld een hele rij ontvangers in de CC in plaats van de afgeschermde BCC te plaatsen. Oeps, verkeerde knopje.

Kan gebeuren, toch? ,,Dat lijkt knullig, maar de gevolgen kunnen best verstrekkend zijn'', waarschuwt Gras. ,,Bedrijven en organisaties moeten hun cultuur daar echt goed op inrichten, dat mensen daar alert op zijn.''

'Minder onschuldig dan je denkt'

Wat de consequenties dan kunnen zijn? David Korteweg van privacyorganisatie Bits of Freedom weet dat datalekken soms onschuldiger lijken dan ze zijn. Telefoonnummers lazen we vroeger gewoon in het telefoonboek, maar wie kwaad wil, kan er meer mee dan je denkt.

Quote

Voor sommige vormen van identi­teits­frau­de heb je alleen een paar basisgege­vens nodig

David Korteweg

,,Voor sommige vormen van identiteitsfraude heb je vaak alleen een geboortedatum en een paar andere basisgegevens nodig. Het is niet zo dat de data zelf gevoeliger is geworden, maar het wordt wel steeds makkelijker om aan de hand van bepaalde gegevens data aan elkaar te koppelen'', legt Korteweg uit. 

,,Op steeds meer plekken wordt data van ons verzameld. Een los telefoonnummer of adres zegt niet zoveel, maar er hoeft maar één element in te zitten dat overlapt met een andere dataset om dat aan elkaar te kunnen koppelen. Je denkt dan misschien dat dat niet naar jou te herleiden is, maar het is voor andere partijen vrij eenvoudig om dat wel te doen.''

Aantal gemelde datalekken stijgt flink

Het aantal gemelde datalekken in Nederland is explosief gegroeid, blijkt uit gegevens van de Autoriteit Persoonsgegevens (AP).
De ruim 10.000 meldingen betekenen een toename van 70% ten opzichte van het jaar daarvoor. In 2016 was het voor het eerst verplicht om datalekken bij de AP te melden.

Veruit het meest gelekt worden naam-, adres- en woonplaatsgegevens (NAW); dat gebeurde zo'n 9.000 keer. Geslacht en leeftijd werden een kleine 6.000 keer ten onrechte geopenbaard. Daarachter volgen onder meer BSN-nummers, telefoonnummers, gegevens over financiën of gezondheid en e-mailadressen.

De grootste 'lekker' blijkt de gezondheids- en welzijnssector, met 3105 meldingen verantwoordelijk voor bijna 1 op de 3 gemelde datalekken. Het openbaar bestuur (2000 meldingen) en de financiële dienstverlening (1984 meldingen) completeren net als in 2016 de top drie.

De meeste lekken ontstaan door onzorgvuldigheid. In 47 procent van de gevallen werden bijvoorbeeld data per ongeluk aan de verkeerde persoon verstuurd. Daartegenover betrof maar 6 procent van de meldingen hacking, malware en/of phishing.

Ook bleef bij veel lekken het aantal slachtoffers beperkt. Bij 42 procent ging het om gegevens van 1 persoon. Bij 20 procent van de meldingen waren meer dan 100 betrokkenen.

Op 25 mei 2018 verandert de afhandeling van datalekken enigszins, wanneer de Algemene verordening gegevensbescherming (AVG) in de hele EU ingaat. Organisaties moeten dan álle datalekken, dus niet alleen de gemelde, gaan documenteren. Bovendien gaan de boetes omhoog.

Daarvan deelde de AP er overigens nog geen uit. Onderzoeken naar beveiliging en mogelijke datalekken (635 in 2017) leidden volgens de AP meestal tot waarschuwingen en beëindiging van de overtreding. Een deel van de onderzoeken loopt nog.

BN DeStem gebruikt je persoonsgegevens om deze reactie te kunnen plaatsen. Meer informatie vind je in ons privacy statement

Poll

Verlaging van de maximumsnelheid naar 100 kilometer per uur is belachelijk.

Verlaging van de maximumsnelheid naar 100 kilometer per uur is belachelijk.

  • Eens (48%)
  • Oneens (52%)
2290 stemmen