We zien steeds vaker de berichten in het nieuws van een cyberaanval. Het Handelsregister van de Kamer van Koophandel meldde eerder al dat Nederlandse bedrijven per week gemiddeld 294 aanvallen krijgen te verduren en dat een geslaagde hack gemiddeld EUR 67.000 kost (1).
Dat het steeds vaker gaat om een cyberaanval, blijkt ook uit de nieuwsberichten.
Vorige week werd de MediaMarkt slachtoffer van een ransomware-aanval, waarbij de computers in de winkels niet meer te gebruiken waren, met als gevolg dat tijdelijk afhalen of retourneren van producten niet meer mogelijk was. Volgens MediaMarkt zijn er geen klantgegevens gestolen.
Die week daarvoor was er een hack bij de gratis beleggingsapp Robinhood. Hier ging het om een cyberaanval, waarbij toegang werd verkregen door een hacker tot o.a. e-mailadressen van 5 miljoen mensen.
In oktober was Homerun in het nieuws, het sollicitatieplatform, waar een hacker toegang kreeg tot een database vol met sollicitatiebrieven, cv's en andere informatie van sollicitanten. De aanvallers hebben toegangstokens kunnen stelen waarmee ze toegang kregen tot de data van Homerun.
En zo kan ik nog wel even doorgaan. Een hack kan uitmonden in een datalek, maar dat gebeurt niet altijd.
Wat is een datalek ook alweer? Het moet gaan om ongeoorloofde of onbedoelde toegang tot persoonsgegevens, een inbreuk in verband met de persoonsgegevens.
Er zijn 3 categorieën datalekken, namelijk de inbreuk op de vertrouwelijkheid (er is een onbevoegde of onopzettelijke openbaring van, of toegang tot), een inbreuk op de integriteit (een onbevoegde of onopzettelijke wijziging) of een inbreuk op de beschikbaarheid (een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens).
Om een aantal voorbeelden van mogelijke datalekken te noemen: het kan gaan om het verlies van een USB-stick met persoonsgegevens, een verkeerd gestuurde e-mail met alle adressen zichtbaar of het verlies van je bedrijfslaptop of mobiele telefoon. Tegenwoordig echter zien we vaker een verlies van persoonsgegevens door een ransomware attack of malware (2). Hierbij is meestal sprake van een zwakke wachtwoordbeveiliging.
Wat je moet doen bij een mogelijk datalek. Het is belangrijk zo snel mogelijk een onderzoek te starten en je FG te informeren, mocht je deze hebben, want deze moet ‘in het geval dat’ de AP immers informeren binnen 72 uur. Hoewel die 72 uur gaan lopen vanaf het moment dat de FG op de hoogte is, betekent dit niet dat die 72 uur niet kunnen ingaan, zolang de FG niet geïnformeerd is! Het datalek is immers hoe dan ook al bekend. Mocht je geen FG hebben, dan moet je het zelf doen.
Melden doe je via het meldloket van de AP. Ondanks dat de AP eind mei het formulier heeft aangepast, blijkt het nog steeds niet gemakkelijk om het formulier in te vullen. Echter, als je het niet doet, terwijl het wel zou moeten, ben je boeteplichtig!
Moet je dan altijd melden? Nee, dat hangt af van de ernst van het datalek. Het is nodig een inschatting te maken in hoeverre de rechten en vrijheden van betrokkenen een risico lopen. Hierbij speelt de aard, de gevoeligheid en de omvang van de gegevens een grote rol (3). Bij een hoog risico moet je ook alle betrokkenen informeren, per e-mail, brief of publieke mededeling (4). In het geval er een grensoverschrijdend datalek is, dan kun je in eerste instantie volstaan met melden bij de autoriteit waar het datalek heeft plaatsgevinden. Er is namelijk een one-stopshopsysteem en dat maakt dat er altijd maar één leidende autoriteit is.
En niet te vergeten: of je nu wel of niet een datalek moet melden bij de AP, registreer deze in ieder geval wel altijd in je interne register.
Beter is nog altijd een datalek voorkomen. Dit kan door het vooraf nemen van passende maatregelen en een goede interne datalekprocedure. Het allerbelangrijkste hierbij blijkt toch het wachtwoordenbeleid. Geef er aandacht aan!
Daarnaast kun je ervoor zorgen dat je je overige beveiligingsmaatregelen op orde hebt. Hierover heb ik al eens eerder geschreven. Het is wellicht de moeite waard om dat ook (nog eens) te lezen...
(1) Zie Aantal cybersecuritybedrijven in 5 jaar tijd verdubbeld (kvk.nl)
(2) Aantal datalekmeldingen bij de AP in 2020: 23.976 meldingen, ten opzichte van 2019: 27.000 meldingen, een daling van 11%. De meldingen van een ransomware attack of malware is met 30% toegenomen in 2020.
(3) De AP heeft een stappenplan ‘kom in actie bij een datalek’ : stappenplan_actie_datalek.pdf (autoriteitpersoonsgegevens.nl). Daarnaast is er ook een voorbeeldlijst ‘datalek wel/niet melden bij AP en betrokkenen: 2019_voorbeeldlijst_wel_niet_melden_datalek_def.pdf (autoriteitpersoonsgegevens.nl).
(4) Zie voor meer informatie de Guidelines meldplicht datalekken.
Afbeelding van Gerd Altmann via Pixabay
Add comment
Comments