De afgelopen vijf jaar ontving de Autoriteit Persoonsgegevens (AP) meer dan 114.000 meldingen van datalekken, maar wat kunnen we daar nu precies van leren? Hoe ontstaan deze datalekken, wat kan er worden gedaan om ze te voorkomen en wanneer worden de meeste datalekken gemeld? Security.NL vroeg het de privacytoezichthouder.
Elke dag vinden er gemiddeld tientallen datalekken plaats. Vaak gaat het mis met het versturen van post en e-mail, maar zijn het ook datalekken waarbij data wordt gelekt die al verwijderd had moeten zijn, of kon lekken omdat basale beveiligingsmaatregelen niet zijn getroffen, zegt Dennis Davrados, coördinator datalekken van de Autoriteit Persoonsgegevens, in een interview met Security.NL.
De meeste meldingen van datalekken ontvangt de AP op donderdag en vrijdag. “Maandag en dinsdag maken mensen fouten en vanwege de 72 uur wordt het datalek later in de week gemeld”, stelt Davrados. Wanneer een organisatie een datalek ontdekt moet dit binnen 72 uur bij de toezichthouder worden gemeld. Hiervoor heeft de AP een online formulier waarin organisaties kunnen aangeven hoe het datalek zich heeft voorgedaan.
Dan blijkt dat fouten bij het versturen van post al jarenlang de voornaamste oorzaak zijn. Bijna 88.000 van de 114.000 datalekmeldingen die sinds 2018 werden gedaan vallen in de categorie “Brief of postpakket met persoonsgegevens geopend retour ontvangen, kwijtgeraakt of verstuurd of afgegeven aan de verkeerde ontvanger(s)”. Ook telde de AP duizenden datalekken als gevolg van e-mails waarbij de CC-optie in plaats van de BCC-optie werd gebruikt.
“We hebben ook gesprekken met organisaties over het verkeerd versturen van poststukken en weten dat organisaties het lastig vinden om hun adressenbestand op orde te hebben”, merkt Davrados op. Volgens hem is het belangrijk dat de juiste methode wordt gekozen om stukken van A naar B te brengen. “Medische dossiers gewoon kaal in een e-mail versturen is gewoon niet handig. Zorg dat je elke keer een passende beveiliging hebt voor de gevoeligheid van de persoonsgegevens die je meestuurt.”
Vaak blijkt dat het de menselijke factor is die de zwakste schakel vormt. Het is dan ook belangrijk dat die zoveel mogelijk in de processen wordt uitgeschakeld, aldus de coördinator. “Zo moet je als organisatie op zoek blijven gaan naar slimme oplossingen om datalekken te voorkomen.” Wat betreft het naleven van de 72 uur voor het melden van een datalek houden organisaties zich hier over het algemeen netjes aan, stelt Davrados. Vooral bij cyberaanvallen gaat het in eerste instantie om een voorlopige melding, aangezien veel van de informatie die de AP bij een melding vraagt dan nog niet beschikbaar is. Getroffen organisaties kunnen hun melding dan ook later aanvullen.
It-leveranciers en datadiefstal
Naast fouten bij het versturen van post en e-mails vinden er ook steeds meer datalekken via cyberaanvallen plaats. Vorig jaar waren het er meer dan achttienhonderd. Bij datalekken veroorzaakt door cyberaanvallen gaat het vaak om grote hoeveelheden gegevens. Davrados ziet in de categorie cyberaanvallen twee trends die opvallen: betrokkenheid van ict-leveranciers bij datalekken en diefstal van data bij ransomware-aanvallen.
In 2021 gaf de AP nog veel aandacht aan datalekken die bij ict-leveranciers plaatsvonden. Het gaat dan om bedrijven die voor hun klanten de ict verzorgen, maar volgens de toezichthouder zelf de beveiliging niet op orde hebben. Door aanvallen op drie ict-leveranciers in de zorg in 2021 kwamen de persoonsgegevens van 900.000 mensen op straat te liggen.
Het gaat echter niet alleen bij ict-leveranciers mis. Veel van de datalekken als gevolg van cyberaanvallen waren mogelijk doordat organisaties hadden nagelaten om basale beveiligingsmaatregelen te treffen, zoals het installeren van beschikbare beveiligingsupdates of het gebruik van multifactorauthenticatie en sterke wachtwoorden. “Het is dan ook belangrijk dat organisaties hun patchmanagement goed inrichten”, laat Davrados weten.
De coördinator wijst naar de basismaatregelen die het Nationaal Cyber Security Centrum (NCSC) op de eigen website heeft gepubliceerd. “We zien bij de cyberaanvallen die bij ons worden gemeld dat er één of meerdere basismaatregelen niet of onvoldoende in acht zijn genomen en hackers daarom een systeem konden binnendringen, en ook nog in staat zijn geweest om data te stelen en ransomware uit te rollen.”
Bij de gemelde ransomware-aanvallen blijkt dat aanvallers ook steeds vaker gegevens van organisaties stelen en dreigen die te zullen publiceren als er geen losgeld wordt betaald. Deze dubbele afpersing komt steeds vaker voor in de meldingen die de AP ontvangt en de onderzoeken die de toezichthouder doet.
Iets wat Davrados organisaties vooral wil meegeven is het gebruik van netwerksegmentatie. “Wat we nu zien is dat als een aanvaller eenmaal binnen is in een systeem, het vrij eenvoudig is om door het netwerk te bewegen. Het scheiden van netwerken en systemen zou een goede oplossing zijn.” Verder blijkt dat organisaties nog altijd achterlopen met het installeren van beveiligingsupdates. “Dat komen we ook nog geregeld tegen.”
Datalekmeldingen
Een ander punt wat niet altijd goed gaat betreft de meldingen aan de slachtoffers van een datalek. Zo bleek UPS Canada onlangs de melding van een datalek in een “algemene” brief aan klanten in de vierde paragraaf te hebben weggestopt. “We zien nog te vaak dat organisaties wel de slachtoffers informeren, maar niet op een dusdanige manier dat je er ook iets aan hebt. Dat is wel een aandachtspuntje voor de komende jaren”, zegt Davrados.
Door de AVG zijn organisaties wel gaan melden, maar in de kwaliteit van de meldingen kan nog wel een slag worden gemaakt. “Dan moet je wel weten wat er is gelekt. En we merken dat organisaties soms zelf niet eens weten wat er gelekt is.” Dat doet zich bijvoorbeeld voor wanneer een ict-leverancier met een cyberaanval te maken krijgt en gegevens van klanten worden gestolen en deze klanten daardoor afhankelijk zijn van de informatievoorziening van de leverancier. Een situatie die zich bijvoorbeeld bij softwarebedrijf Nebu voordeed.
Een mogelijke reden om datalekken in de berichtgeving te bagatelliseren kan de angst voor imagoschade zijn, merkt Davrados op. Het alleen “melden” is dan ook niet voldoende om aan de wettelijke verplichting te voldoen. “Mensen moeten er echt iets aan hebben voor hun digitale weerbaarheid.” Door het niet geven van informatie kunnen slachtoffers namelijk geen maatregelen treffen om zich te beschermen.
Boetes
In het geval van overtredingen van de AVG kan de AP overgaan tot het opleggen van boetes. De toezichthouder richt zich vooral op het beëindigen van de overtreding en ervoor zorgen dat organisaties hun systemen wel voldoende beveiligen. “De vraag is ook wat vind je goed toezicht en wat is effectief?”, merkt Davrados op. Bij het toezicht vaart de AP op de datalekmeldingen die het ontvangt.
Die worden zelf door de organisaties in kwestie gedaan. “Dat willen we ook graag zo houden, dat organisaties melden. Het is heel belangrijk dat we een goed beeld hebben van wat er speelt en welke risico’s er zijn in Nederland op het gebied van digitale veiligheid en ook kunnen meekijken in de informatievoorziening aan slachtoffers”, zegt Davrados.
De AP wil dan ook zoveel mogelijk meldingen blijven ontvangen. Iets wat in gevaar zou kunnen komen door strenge handhaving bij datalekmeldingen. “Dat kan wel, maar daar moet je passend mee omgaan.” Iedereen kan volgens de coördinator datalekken een keer struikelen. “Maar dat wil niet zeggen dat als je blijft struikelen we even geduldig blijven.”
Datalekmoeheid
Met de dagelijkse stroom aan datalekken bestaat het risico dat er een bepaalde moeheid bij slachtoffers ontstaat. “Dat is niet wat je wil. Het gaat echt om de privacy van mensen en dat hun gegevens gelekt zijn. En het is misschien een denkfout die makkelijk wordt gemaakt ‘Het maakt niet uit’, maar het is echt vreselijk om slachtoffer van identiteitsfraude te worden”, laat Davrados weten.
Hoewel de verantwoordelijkheid voor het beschermen van gegevens bij de organisaties en bedrijven ligt zijn er wel maatregelen die gebruikers kunnen nemen. “Wees kritisch op data die je zelf afgeeft bij organisaties. Soms moet je die data gewoon afgeven, maar wees dan scherp op persoonsgegevens die je niet hoeft af te geven”, adviseert Davrados.
Beveiliging aanscherpen
Organisaties worden ook door de AP opgeroepen om hun beveiliging aan te scherpen. “Bij de meldingen die wij van cyberaanvallen ontvangen hebben organisaties bijna altijd wel steken laten vallen op ict-gebied. Dat is gewoon zonde.” De AP ziet volgens Davrados vaak dat de beveiliging “ondermaats” was en hackers zo binnen zijn gekomen. “Het zou mooi zijn als we naar een situatie toegaan waar de beveiliging op orde is en het hackers zo moeilijk mogelijk wordt gemaakt dan de situatie waar we nu in zitten.”
Een ander aandachtspunt dat Davrados noemt is dataminimalisatie. “Iedereen kent het en denkt van ‘logisch’, maar toch zien we elke keer weer bij datalekken dat er data op schijven en systemen staat die allang verwijderd had moeten worden en dan toch wordt meegezogen in zo’n datalek. Zo wordt de omvang van zo’n datalek echt onnodig groot. Wij zeggen altijd ‘data die je niet hebt kun je ook niet lekken’, dus wees er alert op, dat je op zo min mogelijk data zit, want dat maakt de impact van een datalek kleiner.”