Door ICT jurist Legalz

Afgelopen jaar ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 datalekmeldingen. Een forse stijging ten opzichte van 2018. Met opvallend meer meldingen door hacking, phishing en malware. De belangrijkste feiten op een rij + acties die u kunt ondernemen tegen en bij datalekken.

DATALEKKEN: DE FEITEN

In Nederland zijn er bijna 27.000 datalekmeldingen gedaan in 2019. 29% meer dan in 2018. In Europa staan we in de top 3 van datalekmelders, naast Duitsland en het Verenigd Koninkrijk. Als we kijken naar het aantal gemelde datalekken per inwoner, dan staan we zelfs op nr. 1 in Europa.

De meeste datalekken zijn gemeld vanuit de financiële sector (30%), de zorgsector (28%) en de sector openbaar bestuur (17%).

Waar gaan de meldingen over?
Het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger staat op de eerste plaats. Hiervan is in maar liefst 67% van de gemelde datalekken sprake. Bijvoorbeeld door een typefout of verkeerd geselecteerde ontvanger in het e-mailprogramma. Ook met verkeerd geleverde poststukken of verloren mobiele apparatuur gaat het geregeld mis.

Het gaat vaak om menselijke fouten, die per ongeluk gemaakt worden en moeilijk te voorkomen zijn. Bewustwording is hierin uw belangrijkste wapen.

Opvallend: hacking, phishing en malware
Opvallend dit jaar is de stijging van het aantal datalekken door hacking, phishing en malware. Bijna duizend. Vooral grotere organisaties - die persoonsgegevens van veel mensen verwerken - lijken hier doelwit van te zijn. In het laatste kwartaal van 2019 was zelfs een sterke stijging te zien in het aantal meldingen van hacking, phishing en malware.

Deze aanvallen komen van buitenaf en zijn gericht op de organisatie. Het doel is om schade aan te richten. Datalekken in deze categorie leveren over het algemeen een hoog risico op voor betrokkenen.

Hoe gaat u om met deze aanvallen én wat moet u doen als u slachtoffer bent geworden?

SLACHTOFFER VAN HACKING, PHISHING OF MALWARE? MELD DIT TIJDIG!
Belangrijkste advies? Meld een datalek als gevolg van hacking, phishing of malware met impact op persoonsgegevens direct (in ieder geval binnen 72 uur) aan de AP. In veel gevallen moet u ook de betrokkenen informeren. Als u het incident direct meldt, kan de AP met u meekijken of u de risico’s goed inschat en u verder helpen als dit nodig is.

Vergis u niet!

Ook als er alleen namen en e-mailadressen zijn ‘buit’ gemaakt, heeft u een probleem. Deze gegevens kunnen door de hacker namelijk misbruikt worden voor het uitvoeren van nieuwe spam- en phishing-aanvallen. Aanvullend onderzoek is nodig om precies te achterhalen welke persoonsgegevens het betreft én wat ermee gebeurd is.

Dit geldt bijvoorbeeld ook voor een ransomware-aanval op versleutelde gegevens. Die gegevens kunnen immers gekopieerd, vernietigd of gewijzigd zijn. De gevolgen zijn dus niet altijd direct duidelijk. Daarom is het maken van een tijdige melding bij de AP van groot belang.

Een melding doen of alles hierover lezen kan op de website van de AP.

DE BESTE AANVAL IS DE VERDEDIGING
De beste aanval tegen hacking, phishing en malware is toch echt de verdediging. Als uw informatiebeveiliging goed op orde is, zijn uw systemen veel minder makkelijk te besmetten en binnen te dringen.

Uiteraard bent u nog steeds afhankelijk van uw medewerkers. Zo zien phishing mails er tegenwoordig zo levensecht uit dat er klakkeloos op geklikt wordt en mensen hun (inlog)gegevens ongemerkt aan een kwaadwillende toevertrouwen.

Toch kunt u ook hier met IT-beveiliging veel bereiken. Denk aan 2facor authenticatie en een scherpe systeembeveiliging die verdachte mailtjes automatisch herkent en gebruikers hierover waarschuwt.

Als één van uw medewerkers toch slachtoffer wordt van een phishing mail, dan is het zaak het e-mailaccount zo snel mogelijk te blokkeren en de accounts van overige medewerkers te controleren op afwijkende activiteiten. Daarnaast onderzoekt u of er (gevoelige) persoonsgegevens aanwezig zijn in het getroffen account. Zo ja, meld dit direct aan de AP en bij een hoog risico ook aan de betrokkenen.

Om zo goed mogelijk uit een aanval te komen, moet u snel en efficiënt maatregelen treffen om erger te voorkomen. Een interne procedure datalekken gaat u hier zeker bij helpen.

Meer weten? Lees ook onze blog: Datalek?! Geen paniek: volg het actieplan.

Verklaring van enkele begrippen

Pishing
Bij phishing proberen criminelen u door e-mails naar een valse website te lokken. Daar stelen ze uw gegevens of geld. Klik nooit op links in een phishing e-mail. Waarschuw ook altijd de Fraudehelpdesk en de organisatie uit wiens naam u de mail krijgt.

Malware
Malware is elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen. Het woord is een samentrekking van het Engelse malicious software. Malware veronderstelt kwade opzet. (Bron: Wikipedia).