Recordaantal datalekken bij Autoriteit Persoonsgegevens gemeld
Vorig jaar is een recordaantal datalekken bij de Autoriteit Persoonsgegevens (AP) gemeld, zo laat de privacytoezichthouder in de vandaag verschenen Datalekkenrapportage 2024 weten. In totaal ging het om bijna 38.000 datalekken die werden gemeld. In 2023 werden er nog 25.000 datalekken gerapporteerd. De toename is volgens de toezichthouder te verklaren door de mogelijkheid om bulkmeldingen te doen en aanvallen op bedrijven die tot datalekken bij allerlei andere bedrijven leiden. In een bulkmelding meldt een organisatie meerdere van dezelfde datalekken in één melding. Er werden bijna 24.000 enkele meldingen van datalekken gedaan en 14.000 datalekken gedaan via bulkmeldingen.
Bijna achtduizend datalekmeldingen waren het gevolg van fouten bij het versturen van post. Een kleine zevenduizend datalekmeldingen vielen in de categorie cyberaanval. Het hoge aantal meldingen in deze categorie is volgens de AP te verklaren door meer dan 5400 datalekmeldingen na de cyberaanval bij AddComm. Dit is een klantcommunicatiebedrijf dat vorig jaar mei slachtoffer van een ransomware-aanval werd. De aanval raakte ook ruim vijfduizend klanten van AddComm uit de hele leveranciersketen. Bij de aanval werden gegevens van anderhalf miljoen mensen gecompromitteerd.
Als er wordt ingezoomd op datalekken veroorzaakt door cyberaanvallen blijkt dat organisaties basale beveiligingsmaatregelen niet altijd implementeren. "Veel cyberaanvallen hadden voorkomen kunnen worden met bepaalde basisbeveiligingsmaatregelen", zegt Nienke Kolthof, Coördinator datalekken bij de AP, tegenover Security.NL. In veertig procent van de onderzochte gevallen was er wel beleid tegen cyberaanvallen, maar werd het niet juist uitgevoerd, of was er gebrekkige controle op (uitvoering van) dit beleid.
In een derde van de gevallen was er geen of onvoldoende beleid tegen cyberaanvallen. De AP adviseert organisaties dan ook basale maatregelen als multifactorauthenticatie (MFA) te implementeren, op verdachte inlogpogingen te monitoren en kritisch na te denken over het verwerken en bewaren van gegevens. "Wat je niet (meer) hebt, kan ook niet lekken”, is een bekende spreuk, zo stelt de AP.
Sommige partijen, zoals privacystichting noyb, vinden dat de AP vaker boetes zou moeten opleggen. "Het opleggen van boetes is een belangrijk middel om achter de hand te hebben", stelt Kolthof. "We kijken altijd naar wat we het meest geschikte middel vinden om ervoor te zorgen dat die digitale beveiliging, die digitale weerbaarheid in Nederland omhoog gaat of hoog blijft. Tot nu toe schatten wij vaak in dat dat werkt door voorlichten, tijdig bijsturen, onze verwachtingen uitspreken en duidelijk maken wat de schade is voor de organisatie zelf of mensen als het niet goed gaat. Dat is de keuze die we daarin maken."
De Belgische privacytoezichthouder GBA liet deze week weten dat menselijke fouten vaak de belangrijkste oorzaak van datalekken zijn. "Er is altijd ergens een mens in het spel", merkt Kolthof op. Bij cyberaanvallen blijkt dat mensen bijvoorbeeld in phishing trappen, en zo aanvallers toegang tot systemen geven. "We willen als AP niet zeggen dat de meeste datalekken door menselijke fouten worden veroorzaakt, maar er zijn bij datalekken wel vaak menselijke elementen aan de hand. En wat wij graag van organisaties willen is dat ze maatregelen nemen dat een menselijke fout niet meteen tot een hele grote hack leidt."
Wat interessant is hoeveel persoonsgegevens zijn weggelekt en hoe persoonsgegevens daadwerkelijk misbruikt zijn. Dat zegt immers wat over het effect van de beveiliging van persoonsgegevens.
De getallen in de datalekkenrapportage zijn leuk voor alle wetgeving juristen om te zien hoeveel er buiten de lijntjes is gekeurd maar zeggen niets over het daadwerkelijk misbruikt van persoonsgegevens..
De Zwitserse privacywetgeving (adequaat bevonden door de ec) is hierin anders. Het c-level (de VerwerkingsVerantwoordelijke) is daar persoonlijk aansprakelijk voor de keuzes en risicoinschattingen die zij maken. Uiteindelijk kan dit tot persoonlijke boetes, vervolging en een strafblad leiden. Dat maakt management een beetje zorgvuldiger over mijn en Uw persoonsgegevens. Organisaties buiten Zwitserland die persoonsgegevens verwerken van Zwitsers moeten een door de overheid aanspreekbare contactpersoon in Zwitserland hebben, deze is echter niet vervolgbaar om zaken die C-level verkeerd doet. Daarmee is de dpo/fg beschermd. Wel uitkijken dus dat gegevens van Zwitsers niet in een datalek komen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?