image

Onderzoek: Datalek bij 55 procent ondervraagde organisaties

woensdag 1 februari 2017, 09:01 door Redactie, 3 reacties

Vorig jaar kregen tal van organisaties met een datalek te maken, voornamelijk door het verlies of diefstal van computers en datadragers. Dat blijkt uit onderzoek van Pb7 Research dat in opdracht van het Russische anti-virusbedrijf Kaspersky Lab onder 310 Nederlandse organisaties werd uitgevoerd.

55 procent van de ondervraagde organisaties had in 2016 naar eigen zeggen met één of meer datalekken te maken. De meest voorkomende gevallen van dataverlies hebben weinig met cybercriminaliteit te maken. Meer dan 30 procent van de organisaties verloor gevoelige data door het verdwijnen van computerapparatuur, zoals laptops of smartphones. 23 procent verloor informatiedragers met gevoelige informatie, zoals usb-sticks. Bij 22 procent werden datalekken veroorzaakt doordat apparatuur en informatiedragers werden gestolen. Verschillende vormen van cybercrime waren voor 13 procent van de datalekken verantwoordelijk.

Van de ondervraagde organisaties zegt 28 procent dat ze ieder lek melden, ongeacht of duidelijk is dat er ook daadwerkelijk data zijn gestolen. 19 procent zegt dat het melding maakt bij diefstal van klantgegevens ongeacht of er misbruik is vastgesteld. Een zelfde percentage zegt de autoriteiten pas in te lichten als er enig misbruik van klantgegevens is waargenomen. 10 procent waarschuwt de Autoriteit Persoonsgegevens pas bij grootschalig misbruik van klantgegevens.

Op de vraag waarom organisaties meldplichtige datalekken niet melden wordt vooral aangegeven dat het onzin is om een lek met een onduidelijke impact te melden (19 procent). Of men vreest voor reputatieschade (18 procent). Een ander veel genoemde reden is dat een melding de kans zou vergroten dat er misbruik van het datalek wordt gemaakt (15 procent). Binnen overheid en gezondheidszorg wordt de angst voor reputatieschade het meest genoemd als reden om een datalek niet te melden.

Image

Reacties (3)
01-02-2017, 11:32 door Anoniem
Binnen overheid en gezondheidszorg wordt de angst voor reputatieschade het meest genoemd als reden om een datalek niet te melden.

Alsof we niet ALLANG wisten dat het daar (bij overheid en gezondheidszorg) meestal fout gaat
01-02-2017, 14:16 door appSASsist
In de beleidsregels van de AP staat dat je pas datalekken hoeft te melden als: "het om persoonsgegevens van gevoelige aard gaat, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens."
Ik weet niet in hoeverre dit onderzoek met deze afweging rekening heeft gehouden?
En ja héél veel datalekken zijn simpelweg te voorkomen door iets bewuster met gegevens om te gaan.
02-02-2017, 10:05 door Anoniem
nee appsassist, je citeert onjuist, in samenvatting blz. 4 van Beleidsregels voor toepassing van artikel 34a van de Wbp van 9 december 2015 staat:

Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).

bij gevoelige persoonsdata (medisch, financieel, justitieel) is die kans er eerder. Maar lekken van alleen NAW van een klant van een SOA-kliniek, of van een vermogensadviseur, of adres van een lid van een politieke partij (bijv. een partij met slechts één lid) kan ook ernstig nadelige gevolgen hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.