Bijna 27.000 meldingen van een datalek werden vorig jaar gemeld bij de Autoriteit Persoonsgegevens (AP), een stijging van 29 procent. Alle reden dus om te voorkomen dat persoonsgegevens worden blootgesteld aan verlies of onrechtmatige verwerking.
Mocht het toch misgaan dan is het zaak zo’n lek tijdig te herkennen en actie te ondernemen. Waar moet je op letten en welke maatregelen zijn daarbij te nemen?
Whitepaper: 'Basisbeveiliging'
Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.
14 okt 2020
Meestal kwestie van menselijk falen
Een datalek vloeit altijd voort uit een gebrekkige beveiliging. De meeste lekken zijn het gevolg van menselijk handelen. Ook kan er iets met de fysieke beveiliging of IT zijn misgegaan. Vooral grotere organisaties die persoonsgegevens van veel mensen verwerken, zijn doelwit van hacking, phishing of malware. Maar ook kleine ondernemers kunnen slachtoffer worden. Veel meldingen van een datalek komen van financiële dienstverleners, de zorgsector en het openbaar bestuur.
Datalekken zijn moeilijk uit te sluiten, een gegarandeerde beveiliging ontbreekt. In de Algemene verordening gegevensbescherming (AVG), ofwel de ‘privacywet’, staat dat je ‘passende technische en organisatorische maatregelen’ moet nemen. Maar wat is passend? Dat verschilt per organisatie. De AP geeft geen advies op maat of technische instructies. Wel geeft de privacywaakhond ter preventie vijf tips die zijn gebaseerd op de meest voorkomende meldingen van datalekken.
Vijf tips om datalekken te voorkomen
1. Zodra een datalek is gemeld, moet je direct de situatie analyseren. Wat is er precies gebeurd en wat is de omvang van het lek? Zijn gegevens gelekt, vernietigd of gewijzigd? Wie heeft onbevoegd toegang gehad tot welke persoonlijke data?
2. Vervolgens is het zaak het lek zo spoedig mogelijk te stoppen en de schade te beperken. Tal van maatregelen zijn mogelijk, afhankelijk van het type datalek. Je kunt bijvoorbeeld op afstand de inhoud van een laptop of smartphone wissen of versleutelen. Ook valt te denken aan het op afstand blokkeren van de toegang tot een gebruikersaccount of clouddienst.
3. De derde stap is te bepalen of het lek verplicht bij de AP moet worden gemeld. Dat moet binnen 72 uur gebeuren, tenzij er geen risico bestaat voor de betrokken personen.
4. Bij een hoog risico moet het datalek ook aan de slachtoffers worden gemeld.
5. Tenslotte moet je het lek registreren in het wettelijk verplichte datalekregister. Dit dient ook te gebeuren als geen melding aan de AP is gedaan. Aanvullend op de vijf AVG-tips raadt KPN aan gegevens versleuteld te delen. Daarmee verklein je de kans op een datalek, omdat versleutelde berichten alleen gelezen en/of bewerkt kunnen worden door mensen die beschikken over deze sleutel. Je kunt documenten bijvoorbeeld versleutelen met een wachtwoord. Mocht een datalek plaatsvinden, dan zijn de data in principe nog steeds veilig omdat derden de sleutel tot de informatie niet hebben.
Aanvullend op de vijf AVG-tips raadt KPN aan gegevens versleuteld te delen. Daarmee verklein je de kans op een datalek, omdat versleutelde berichten alleen gelezen en/of bewerkt kunnen worden door mensen die beschikken over deze sleutel. Je kunt documenten bijvoorbeeld versleutelen met een wachtwoord. Mocht een datalek plaatsvinden, dan zijn de data in principe nog steeds veilig omdat derden de sleutel tot de informatie niet hebben.
Wat een datalek precies inhoudt
Ondanks deze maatregelen valt een datalek nooit helemaal te voorkomen. Daarom is het ook nodig een draaiboek klaar te hebben voor het geval er toch wat misgaat. Je moet snel kunnen handelen en dat kan alleen als een (mogelijk) datalek vroegtijdig wordt herkend.
Daarvoor moet men weten wat een datalek inhoudt. Elk beveiligingsincident met persoonsgegevens valt hier onder, dus iedere ongeoorloofde of onbedoelde toegang. Ook gaat het om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Kortom, het is een heel ruim begrip.
Geopende retourpost
Bij het UWV gaat de helft van de datalekken die aan de AP worden gemeld, om geopende retourpost. Als een mail met bijvoorbeeld een verkeerde bijlage geopend terugkomt, is duidelijk sprake van een ‘incident’.
Als in de retourpost een verkeerd bezorgde neutrale uitnodiging zit is dat meestal niet zo erg. Tot de ernstige zaken behoort een verkeerd bijgevoegd medisch rapport.
Drie categorieën
Onderscheiden worden drie soorten datalekken. Behalve de vertrouwelijkheid kunnen ook de integriteit (persoonsgegevens onbevoegd gewijzigd) of beschikbaarheid (persoonsgegevens verloren) in het geding zijn.
Voorbeeld van een datalek is een cyberaanval waarbij persoonsgegevens zijn buitgemaakt. Ook kun je denken aan het verlies van een USB-stick met niet-versleutelde gegevens of besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Stappenplan
Als de datalek is herkend, moet een organisatie snel in actie komen. Wie dat verzuimt of alles stilhoudt, loopt kans op een forse boete en imagoschade. Een stappenplan is nodig.
1. Zodra een datalek is gemeld, moet je direct de situatie analyseren. Wat is er precies gebeurd en wat is de omvang van het lek? Zijn gegevens gelekt, vernietigd of gewijzigd? Wie heeft onbevoegd toegang gehad tot welke persoonlijke data?
2. Vervolgens is het zaak het lek zo spoedig mogelijk te stoppen en de schade te beperken. Tal van maatregelen zijn mogelijk, afhankelijk van het type datalek. Je kunt bijvoorbeeld op afstand de inhoud van een laptop of smartphone wissen of versleutelen. Ook valt te denken aan het op afstand blokkeren van de toegang tot een gebruikersaccount of clouddienst.
3. De derde stap is te bepalen of het lek verplicht bij de AP moet worden gemeld. Dat moet binnen 72 uur gebeuren, tenzij er geen risico bestaat voor de betrokken personen.
4. Bij een hoog risico moet het datalek ook aan de slachtoffers worden gemeld.
5. Tenslotte moet je het lek registreren in het wettelijk verplichte datalekregister. Dit dient ook te gebeuren als geen melding aan de AP is gedaan. Aanvullend op de vijf AVG-tips raadt KPN aan gegevens versleuteld te delen. Daarmee verklein je de kans op een datalek, omdat versleutelde berichten alleen gelezen en/of bewerkt kunnen worden door mensen die beschikken over deze sleutel. Je kunt documenten bijvoorbeeld versleutelen met een wachtwoord. Mocht een datalek plaatsvinden, dan zijn de data in principe nog steeds veilig omdat derden de sleutel tot de informatie niet hebben.
Oorzaken
Datalekken kunnen uiteenlopende oorzaken hebben. Bij ongeveer twee op de drie datalekken is een verkeerde ontvanger ingetypt of de verkeerde persoon uit een adreslijst geselecteerd. Dan is meestal maar één persoon de dupe. Erger is het als een apparaat met belangrijke gegevens in verkeerde handen komt. Drie procent van de datalekken komt door aanvallen van hackers. Daarbij kunnen meerdere slachtoffers vallen.
Hoge boetes
Forse boetes kunnen worden opgelegd bij diefstal van klantgegevens. Bij de hotelketen Marriott werden de gegevens van 339 miljoen klanten gestolen. Het datalek bij de Amerikaanse bank Capital leidde tot 106 miljoen slachtoffers. Van 422.000 klanten van British Airways raakten de betaalgegevens kwijt. In al deze gevallen werden hoge boetes worden opgelegd. De Canadese zorgverlener Medisys betaalde losgeld om medische gegevens terug te krijgen. Door een datalek bij het Donorregister werden in Nederland 6 miljoen mensen getroffen.