Het aantal meldingen steeg in 2020 met 30 procent ten opzichte van vorig jaar.
Datadiefstal is vaak te voorkomen door een betere beveiliging. Dat blijkt uit de Rapportage Datalekken 2020 die voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens naar de Tweede Kamer heeft gestuurd.
Steeds vaker krijgt de Autoriteit Persoonsgegevens (AP) meldingen van hacking, phishing of malware. Dat persoonsgegevens steeds vaker het doelwit zijn van criminelen is zeer verontrustend. Door diefstal van persoonlijke en vaak gevoelige informatie kunnen mensen veel schade ondervinden, bijvoorbeeld als criminelen de persoonsgegevens gebruiken voor identiteitsfraude of oplichting. Dergelijke oplichting kan mensen jarenlang achtervolgen en de schade kan tot in de duizenden euro’s lopen. Mensen kunnen hun spaargeld kwijtraken.
Hackers
Criminelen hebben vooral organisaties die veel persoonsgegevens verwerken in het vizier. Steeds vaker ontstaat bij deze organisaties een datalek doordat criminele hackers al langere tijd in een netwerk aanwezig zijn, voordat ze toeslaan. De criminelen gebruiken deze tijd om het netwerk van de organisatie te verkennen en in kaart te brengen. Ze proberen om meer bevoegdheden te krijgen in het netwerk, bijvoorbeeld door ‘systeembeheerders-rechten’ te verwerven, waarna persoonsgegevens gestolen worden of er een ransomware-aanval wordt uitgevoerd.
Weer stijging
In 2020 ontving de AP 1.173 meldingen van dergelijke datalekken, waarbij hacking, malware of phishing werd ingezet om persoonsgegevens te stelen.
In 2019 waren deze datalekmeldingen ook al met 25 procent toegenomen. Door personeels- en budgettekort kan de AP slechts bij een beperkt deel van de gemelde datalekken in actie komen.
Autoriteit Persoonsgegevens krijgt meer fte voor opsporen datalekken
Meerfactorauthenticatie
Naar schatting zijn er in 2020 tussen de 600.000 en 2.000.000 personen getroffen door een datalek waar slechts één stap nodig was om in te loggen. Vaak zijn complete systemen beveiligd met slechts één wachtwoord. Vooral bij datalekken door hacking, malware of phishing had ‘meerfactorauthenticatie’ de schade vaak kunnen beperken of voorkomen. Bij meerfactorauthenticatie moet een persoon of systeem op minimaal twee verschillende soorten inloggen om toegang te krijgen, bijvoorbeeld met een wachtwoord én met een code die je per sms ontvangt.
Wolfsen:
“Meerfactorauthenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”
Datalekmeldingen
Behalve de explosieve groei van het aantal datadiefstallen bij datalekken, is het totaal aantal datalekmeldingen (24.000) gedaald ten opzichte van 2019 (27.000). Dit aantal bestaat vooral uit incidenten zonder kwade opzet. De daling (11 procent) komt doordat incassobureaus hun werkwijze hebben verbeterd. Hierdoor zijn er minder betalingsherinneringen bij verkeerde ontvangers terechtgekomen.
Nederland staat in de top 3 van Europese landen waar de meeste datalekken worden gemeld. Ons land is dan ook sterk gedigitaliseerd, waardoor het risico op (grote/ernstige) datalekken hier relatief hoog is.
De meeste datalekmeldingen kwamen in 2020 uit de sector gezondheid en welzijn (30 procent), gevolgd door financiële dienstverlening en openbaar bestuur (beide 22 procent).
Vergeleken met 2019 is het aantal meldingen vanuit de zorg gedaald met 4 procent, vanuit de financiële sector gedaald met 34 procent en vanuit de overheid gestegen met 13 procent. De stijging bij de overheid komt vooral doordat er meer persoonsgegevens zijn afgegeven of verstuurd aan een verkeerde ontvanger.
Datalek binnen 72 uur melden
Datalekken door hacking, malware of phishing kunnen grote risico’s opleveren voor de betrokkenen. Ook als alleen namen en e-mailadressen zijn getroffen. Deze gegevens kan de hacker namelijk misbruiken om nieuwe spam- en phishingaanvallen uit te voeren. Houd er rekening mee dat je dit soort datalekken moet melden aan de AP en aan de betrokkenen. Meld dit soort incidenten altijd op tijd (binnen 72 uur na ontdekking). Als je het incident direct meldt, kan de AP controleren of u de risico’s van het incident goed heeft ingeschat. De AP kan dan, indien nodig, direct contact met de organisatie opnemen over het datalek.