Datalekken in 2021
In dit blog kijken we terug op een bewogen 2021, deels vanwege een kleine pandemie waar we mee te maken kregen maar ook vanwege een flinke toename in het aantal datalekken. Voordat we de cijfertjes gaan bekijken en zien hoe snel het aantal datalekken toeneemt, is het goed om de volgende vraag eerst te beantwoorden. ‘Wat is een datalek?’.
Wat is een datalek?
Voor sommige van u zal dit een overbodige vraag zijn en als dat het geval is, goedzo! Want dat betekent dat je goed op de hoogte bent. Waren wij een basisschooljuffrouw geweest hadden we je nu een sticker gegeven. Anyway, terug naar de definitie van een datalek. Omdat er tegenwoordig steeds meer aandacht is voor privacy en data (pluspunt) zijn er tegelijkertijd ook steeds meer definities van een datalek (minpunt). Op die manier wordt het namelijk niet overzichtelijker. Omdat wij vinden dat een overheidsorgaan met de woorden ‘Autoriteit’ en ‘persoonsgegevens’ hier best wel wat kennis over zou moeten hebben, houden wij altijd de omschrijving van de AP aan. Namelijk:
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
Verschillende datalekken
Zoals in de omschrijving al duidelijk wordt, een datalek komt niet enkel voor wanneer er data ontvreemd wordt! We vinden het belangrijk om dit te benadrukken, vandaar ook het uitroepteken, omdat veel mensen en organisaties hier de fout in gaan. Maar wanneer Pietje perrongeluk een e-mail inziet vol met vertrouwelijke persoonsgegevens is het ook een datalek. Heeft diezelfde Pietje echt een slechte dag en vernietigt hij (onbedoeld) een paar documenten met persoonsgegevens is dat ook een datalek. In alle gevallen dient er melding gemaakt te worden bij de AP. Waarom? Omdat de betrokken personen schade kunnen leiden door de acties van Pietje.
Datalekken in 2021 | De feiten
Nu dat de betekenis van een datalek helder is, is het tijd om het afgelopen jaar eens onder de loep te nemen. Zoals al aangegeven, het ziet er niet best uit. Dit zal geen nieuws zijn, maar wij hopen toch altijd dat een blog als deze iedereen weer even iedereen op scherp zet. U moet tenslotte niet vergeten dat een datalek het begin kan zijn van een succesvolle cyberaanval. Nog steeds wordt een datalek teveel als iets op zichzelf staand gezien, maar niets is minder waar. Bij een datalek komen vaak persoonlijke gegevens vrij. Deze gegevens kunnen vervolgens gebruikt worden om een bruteforce aanval uit te voeren of om middels spearphishing heel gericht aan te vallen in de hoop wat inloggegevens te ontfutselen. En dit zijn slechts enkele voorbeelden.
Zoals in de afbeelding hierboven te zien is, is het aantal meldingen van cyberaanvallen met 88% gestegen. We hoeven niet uit te leggen dat dit bizar is. Het aantal datalekmeldingen in 2021 tikte bijna de 25.000 aan, een stijging van bijna 5% ten opzichte van 2020 (23.550). En eigenlijk zou deze stijging allang moeten stagneren. Tegenwoordig is er zo ongekend veel aandacht voor ‘hoe om te gaan met data’ en ‘veilig online’ dat je zou verwachten dat u en ik, ofwel de mens, wat bewuster te werk zou gaan. Maar helaas. Hackers hebben inmiddels ook door waar ze het meest kunnen scoren en in 2021 zien we dat goed terug. Steeds meer IT-leveranciers worden aangevallen, zeker zij die persoonsgegevens van vele mensen verwerken zijn in 2021 een populair doelwit gebleken.
IT-leveranciers doelwit cyberaanvallen
De AP heeft het afgelopen jaar 28 datalekken gezien bij IT-leveranciers. De impact hiervan is enorm. Deze 28 datalekken hebben geleid tot 1.800 datalekmeldingen bij de AP. Hierbij zijn naar schatting minimaal 7 miljoen slachtoffers getroffen. Omdat niet alle datalekken aan de AP worden gemeld, zijn dit er waarschijnlijk nog veel meer. De meeste datalekken bij IT-leveranciers worden veroorzaakt door cyberaanvallen. Het is voor een aanvaller dus veel effectiever om een verwerker aan te vallen dan een organisatie an sich.
Gemeentes slaan aanvallen niet af
Een ander populair doelwit, ondanks dat deze in het jaarverslag niet wordt benoemd, zijn de gemeentes. In 2021 zijn er enkele gemeentes uitgebreid in het nieuws geweest vanwege succesvolle aanvallen. Zo moest de Informatiebeveiligingsdienst (IBD), cybersecurity-onderdeel van de Vereniging Nederlandse Gemeenten (VNG), volgens het jaaroverzicht 2021 bij 276 ICT-incidenten ondersteuning bieden. In 2020 waren dat er 175, ruim 100 minder. In 2022 lijkt dit niet af te nemen, sterker nog, gemeentes zijn vanwege alle persoonsgegevens die zij verwerken en het vaak wat oubollige beleid een interessante optie voor hackers. Zo werden enkele weken geleden nog 5 gemeentes in Limburg gelijktijdig aangevallen.
Advies van de AP
Naast een redelijk onheilspellend rapport komt de AP ook met advies waar elke organisatie meteen mee aan de slag zou kunnen en moeten gaan (voor zover dat nog niet is gebeurd).
- Schakel alleen IT-leveranciers in die genoeg garanties geven voor passende technische en organisatorische beveiligingsmaatregelen. U kunt daarbij letten op eventuele certificering van de IT-leverancier. Let op: u blijft als verwerkingsverantwoordelijke volgens de AVG
verantwoordelijk voor de beveiliging van persoonsgegevens, ook als u de beveiliging volledig aan de IT-leverancier heeft uitbesteed. - Pas dataminimalisatie toe en controleer de naleving. De AP ziet nog te vaak dat bij cyberaanvallen gegevens worden getroffen waarvan de bewaartermijn is overschreden en die dus al gewist hadden moeten zijn.
- . Leg in de verwerkersovereenkomst concrete afspraken vast over de hulp die de IT-leverancier geeft bij naleving van de meldplicht datalekken. In de verwerkersovereenkomst maakt u afspraken over het verwerken van persoonsgegevens en de beveiliging daarvan.
- Controleer periodiek of de IT-leverancier de verwerkersovereenkomst naleeft.
- Maak een actieplan melding datalekken om de termijnen na te leven. De AVG vereist snel handelen. De IT-leverancier moet u zo snel mogelijk informeren over een datalek. U moet het datalek vervolgens binnen 72 uur nadat u hiervan op de hoogte bent geraakt, melden bij de
AP. De slachtoffers moet u direct informeren. - Zorg voor een zorgvuldig opgesteld en goed bijgehouden verwerkingsregister, zowel bij uzelf als bij de verwerker. Het verwerkingsregister helpt u een snelle inschatting te maken welke organisaties en categorieën van persoonsgegevens zijn geraakt bij een datalek. Zo wordt het
eenvoudiger om de gevolgen voor de slachtoffers in kaart te brengen.
Gevolgen datalek en ons advies
Een datalek is zoveel meer dan ‘he vervelend zeg’. Het heeft diverse negatieve effecten waar je als organisatie langs last van kan hebben en welke zelfs uiteindelijk tot faillissement kunnen leiden. Voorkomen is in het geval van een datalek zoveel beter dan moeten genezen. Op het moment dat er data uit jouw organisatie is gelekt zal dit financiële-, imago- en reputatieschade opleveren. Ons advies is dan ook om actief bezig te gaan met security awareness binnen de organisatie. Zorg er daarnaast voor dat uw IT-systemen minimaal 1 keer per jaar goed getest worden op mogelijk kwetsbaarheden. En tot slot, wees kritisch en alert. Ook nu zo net na de vakantie.
Meer weten of een keer sparren over uw cyberveiligheid? U weet ons inmiddels wel te bereiken!