Wat is een datalek?
Cybercriminaliteit
Gina Doekhie
Cybercriminaliteit
03/03/2023
4 min
0

Wat is een datalek?

03/03/2023
4 min
0

Met regelmaat is het in het nieuws: persoonlijke gegevens zijn in handen gekomen van derden die hier geen toegang tot zouden mogen hebben. Ofwel, er is sprake van een datalek. In 2021 werden bij de Autoriteit Persoonsgegeven 24.866 datalekken gemeld. Een datalek hoeft niet altijd gekoppeld te zijn aan cybercrime. Feit is wel dat datalekken door cybercrime fors toenemen. In 2021 waren er 88% meer meldingen dan in 2020 bijvoorbeeld. 

Cybercriminelen proberen via ransomware of phishingaanvallen persoonsgegevens te stelen bij bedrijven. In dit blog lees je niet alleen over wat een datalek precies is, maar ook over de oorzaken en te nemen vervolgstappen.

Wat is een datalek?

Wat een datalek is, staat beschreven in de Algemene Verordening Gegevensbescherming (AVG). Kort samengevat is een datalek een inbreuk op de beveiliging van persoonsgegevens. Het gaat hier om het ongewenst verkrijgen van, het wijzigen van of het vernietigen van persoonsgegevens.

Wat te doen bij een datalek?

De Autoriteit Persoonsgegevens heeft voorgeschreven wat te doen in het geval van een datalek. Allereerst is het van belang om inzicht in de situatie te krijgen, waarna je direct maatregelen neemt om de schade van het lek te beperken. Hier komt veel onderzoek bij kijken: hoe is het datalek ontstaan? Ook moet je onderzoeken welke data er mogelijk gelekt is en in welke systemen de data aanwezig is.

Bepaal hierna of je het datalek moet melden aan de betrokken personen en de Autoriteit Persoonsgegevens. Dit moet gebeuren binnen 72 uur nadat je het datalek geconstateerd hebt. Tot slot registreer je het datalek in je datalekregister.

Belang van de juiste maatregelen

Het is belangrijk om de de juiste maatregelen te nemen om datalekken te voorkomen. Je kunt namelijk een boete krijgen als blijkt dat jij niet de juiste beveiligingsmaatregelen hebt genomen om een datalek te voorkomen. Natuurlijk ligt er een verantwoordelijkheid bij de cybercrimineel die besluit inbreuk te doen op de privacy van het bedrijf. Maar ook als bedrijf heb je een verantwoordelijkheid. Je bent verantwoordelijk voor de persoonsgegevens van klanten/particulieren. Zorg er dus voor dat je de juiste beveiligingsmaatregelen neemt voor het voorkomen van een datalek. Maar zorg ook voor een goed incident respons plan zodat je weet wat je moet doen bij een datalek/cybercrimeaanval.

Is het melden van een datalek verplicht?

Een melding van een datalek bij de Autoriteit Persoonsgegevens is alleen verplicht op het moment dat het lek zorgt voor een risico voor ‘de vrijheden en rechten van betrokkenen’.  Constateer je dat hier sprake van is dan moet je binnen 72 uur een voorlopige melding doen. Je bent alleen verplicht om de betrokken personen te informeren op het moment dat je het risico identificeert als een ‘hoog’ risico.

Wat te doen bij een datalek?

Oorzaken van een datalek

Een datalek kan ontstaan als gevolg van een beveiligingsprobleem bij een bedrijf. Hackers proberen toegang te krijgen tot persoonsgegevens bedrijven, maar ook medewerkers kunnen een datalek veroorzaken. Een bekend voorbeeld is een datalek wat in 2021 plaatsvond bij een coronatestbedrijf. 

De gegevens van 60.000 mensen kwamen op straat te liggen. Je kunt je voorstellen dat er een levendige handel in persoonlijke gegevens plaatsvindt tussen criminelen. Deze lijsten met gegevens noemen ze in de criminele wereld combolijsten of leads. Ze worden leads genoemd omdat deze persoonsgegevens gebruikt kunnen worden in nieuwe cybercrimeaanvallen. Er gaat veel geld om in het verhalen van persoonsgegevens.

De grote vraag is: hoe ontstaat een datalek? Hoe kan het dat criminelen toegang krijgen tot al deze data?

Ransomware

Ransomware is kwaadaardige software die computers en bestanden gijzelt. In het Nederlands noemen we ransomware ook wel gijzelsoftware. De bestanden op een computer of netwerk worden versleuteld, en pas vrijgegeven als je betaald. Deze bedreiging kent verschillende gradaties zoals double extortion en triple extortion. Dat betekent dat er naast versleuteling ook vertrouwelijke data wordt gestolen en daarmee wordt gedreigd om te publiceren. Maar als cybercriminelen al toegang hebben tot jouw data, kunnen ze dit ook gaan verhandelen aan andere cybercriminelen en is het een datalek. Ook al publiceren ze het niet openbaar.

Phishing

Phishing is een vorm van oplichting waarbij criminelen e-mails versturen met het doel inloggegevens, creditcardinformatie en andere gegevens van hun slachtoffers te stelen. Of kan er door middel van phishing ook malware worden geinstalleerd, waardoor je toegang verleent aan de cybercrimineel. Deze malware maakt misbruik van een beveiligingsprobleem in de software van de computer. Stel dat een medewerker binnen een bedrijf per ongeluk op een foute link klikt, dan kan een hacker toegang krijgen tot een heel bedrijfsnetwerk.

Verlies van USB-stick

Persoonsgegevens kunnen ook vrijkomen door een slordigheid, zoals het verliezen van een USB-stick waar persoonsgegevens op staan. Of geprinte papieren in de trein laten liggen.

Menselijke fouten

Er kan ook sprake zijn van een menselijke fout. Zeker in grote organisaties kan een kleine onoplettendheid grote gevolgen hebben. Denk hierbij aan het verliezen van een USB-stick.

Gestolen laptop

Daar waar een cyberaanval een digitale diefstal is, is een gestolen laptop een voorbeeld van een fysieke diefstal. Zijn de persoonsgegevens die op de laptop staan niet versleuteld, dan kunnen criminelen hier toegang tot krijgen en is er sprake van een datalek.

Zwakke wachtwoorden

Zwakke wachtwoorden zijn voor hackers eenvoudig te hacken. Een zwak wachtwoord maakt je kwetsbaar. Dit geldt zowel in je privéomgeving als op de werkvloer. Word het wachtwoord van een medewerker gehackt, dan maakt dit een bedrijf kwetsbaar. Zorg dus altijd voor een sterk wachtwoord en tweefactorauthenticatie.

Wat kunnen cybercriminelen doen met data die vrijkomt bij een datalek?

Criminelen kunnen identiteitsfraude plegen met de gegevens die afkomstig zijn uit een datalek. Ze bestellen met jouw gegevens producten in een webshop. Ook kunnen ze contracten afsluiten of criminele activiteiten uitvoeren onder jouw naam. 


Wachtwoord betrokken bij datalek

Krijg je een melding van een organisatie dat jouw wachtwoord betrokken is bij een datalek? Verander dit dan zo snel mogelijk. Doe dit niet alleen voor de plek waarvan je een melding hebt gekregen, maar ook op andere plekken waar je hetzelfde wachtwoord gebruikt. Check zelf ook regelmatig of je voorkomt in een datalek op www.haveibeenpwned.com.

Conclusie

Bij een datalek gaat het over persoonsgegevens die, zonder dat dit de bedoeling was, worden gewijzigd, vernietigd of waartoe derden de beschikking hebben gekregen. Een datalek kan verschillende oorzaken hebben. In het geval van een datalek geldt dat voorkomen beter is dan genezen, maar toch is het goed om te weten welke stappen je moet nemen op het moment dat alsnog sprake is van een datalek.

Reacties