Zijn we nog wel veilig bezig?

In de afgelopen jaren is er een stijgende trend van datalekken waarneembaar. Je kunt de krant bijna niet openslaan zonder het zien van een kop als ‘Datalek Nederlandse bedrijven steeds groter: zeker 2 miljoen klanten getroffen[1] of ‘Datalek bij autobedrijf treft mogelijk miljoenen Nederlanders’.[2]
In totaal zijn er over 2021 bijna 25.000 datalekken bij de AP gemeld.[3] Dit aantal is al jaren hoog, en de verwachting is dat dit aantal in de komende jaren niet lager uit gaat vallen.

Figuur 1: Aantal datalekmeldingen sinds 2017 (Bron: AP)

Maar wat is een datalek nu eigenlijk, wat zijn de voornaamste oorzaken voor datalekken en hoe kan je er nu voor zorgen dat je het risico op datalekken mitigeert?

Wat is een datalek?

Een datalek is een incident waarbij ongeautoriseerde toegang tot gevoelige informatie wordt verkregen. Als gevolgen hiervan kunnen persoonsgegevens openbaar worden gemaakt of gebruikt worden voor kwaadaardige doeleinden. Het ongeautoriseerd wijzigen van gegevens en het onbedoeld verwijderen van gegevens vallen ook onder een datalek. De potentiële gevolgen van datalekken zijn zeer divers, maar denk hierbij vooral aan het misbruiken van gelekte persoonlijke identificatiegegevens zoals namen, adressen, telefoonnummers, e-mailadressen en inloggegevens. 

Wat zijn de gevolgen van een datalek?

Als er door een datalek persoonlijke informatie wordt uitgelekt, kan dit verregaande gevolgen hebben, voor zowel een organisatie zelf als de individuen waarvan data wordt uitgelekt. Dit hangt van een aantal factoren af; de omvang van het datalek, wat voor informatie gestolen is (het lekken van creditcard gegevens heeft bijvoorbeeld een veel grotere impact op de betrokkenen dan het lekken van een e-mailadres), wie er toegang tot de gelekte gegevens heeft (is deze informatie openbaar gemaakt of is er maar één persoon die deze gegevens heeft kunnen inzien). Voor het bedrijf waarbij het datalek heeft plaatsgevonden heeft een datalek meestal ook zeer negatieve gevolgen, van reputatieschade tot boetes en juridische procedures. Ook dit hangt af van wat voor persoonsgegevens er betrokken zijn bij het datalek; zo heeft een recent datalek bij de NS waar alleen emailadressen, namen en telefoonnummers zijn gelekt[4] een kleinere impact op het klantvertrouwen dan het lekken van medische gegevens door het RIVM.[5]

Wat is de oorzaak van de meeste datalekken?

Een datalek kan door verschillende factoren worden veroorzaakt, maar de twee meest voorkomende datalekken worden veroorzaakt door of externe aanvallen of interne fouten. De eerstgenoemde oorzaak, externe aanvallen, sluit aan bij het traditionele beeld van een datalek; een of meerdere hackers breken in binnen de systemen van een organisatie om zo gevoelige informatie buit te maken. Het doel van deze aanvallen is meestal gericht op het verdienen van geld; denk hierbij aan het doorverkopen van deze informatie of het ‘gijzelen’ van deze informatie door middel van ransomware. De tweede oorzaak, interne fouten, kan zich op vele manieren presenteren, maar wordt meestal veroorzaakt door menselijke fouten. Denk hierbij aan het versturen van een email of brief naar de verkeerde persoon of een stelende medewerker. Ook als een medewerker onterecht toegang heeft tot gevoelige gegevens, en hier ook inzage in heeft gehad, is er sprake van een datalek. Hoewel dit twee van de meest voorkomende oorzaken van datalekken zijn, zie je ook dat er vaak een combinatie van factoren optreedt. Denk hierbij aan bijvoorbeeld hackers die informatie buit maken door het overnemen van een intern account met zwakke beveiliging. Hier kun je zien dat hackers een aanval plaatsen (externe aanvallen) door het uitbuiten van een menselijke fout (zwakke beveiliging). Andere voorbeelden zouden bijvoorbeeld een succesvolle phising poging of het misbruiken van back-ups kunnen zijn. 

Figuur 2: Meest voorkomende type datalekken 2021 (Bron: AP)

Wat kan je doen om datalekken te voorkomen?

Nu er sprake is van een stijgende trend in het aantal datalekken is het van cruciaal belang dat organisaties proactief maatregelen nemen om zich hiertegen te wapenen, zoals:

1. 1. Stel een risicobeleid op en zorg dat er ten minste jaarlijks een risicoanalyse wordt uitgevoerd op alle processen en systemen van uw organisatie. Dit zal je helpen om mogelijke risico’s zo snel mogelijk te identificeren en, indien van toepassing, mitigeren.
2. 2. Zorg dat er voor iedere nieuwe verwerking een Data Protection Impact Assessment (hierna: DPIA) wordt uitgevoerd, en zorg dat er een procedure is voor het uitvoeren van deze DPIA’s. Hierbij is het van belang dat iedereen binnen de organisatie op de hoogte is van deze procedure, en dat er wordt toegezien op de uitvoering van deze procedure wanneer een DPIA moet worden uitgevoerd.
3. 3. Zorg dat er binnen de organisatie voldoende middelen en aandacht worden geschonken aan privacy en informatiebeveiliging. Een veilige organisatie zorgt dat er aan privacy en informatiebeveiliging in iedere laag van de organisatie voldoende aandacht wordt geschonken. Alleen een CISO/ISO/FG/PO inhuren zorgt niet meteen dat een organisatie veilig is, ook de directie zal deze thema’s actief op de agenda moeten zetten.
4. 4. Zorg dat medewerkers zich bewust zijn van hun rol binnen privacy en security. Je kunt een bedrijf nog zo goed hebben beveiligd, maar als medewerkers met toegang tot gevoelige informatie zich niet bewust zijn van welke risico’s ze zelf meebrengen is er nog een grote kans dat het fout gaat. Zorg ook dat alle beleidsstukken en procedures op het gebied van informatiebeveiliging en privacy voor alle medewerkers beschikbaar zijn, en dat iedere medewerker zich bewust is van deze procedures en beleidsstukken.
5. 5. Zorg dat de systemen van jouw organisaties goed zijn beveiligd. Dit spreekt eigenlijk voor zich, maar zorg hierbij ook dat er regelmatig getest wordt of je bedrijf afdoende beveiligd is. Dit kan door audits, maar ook door middel van bijvoorbeeld pentesten.  

Wat te doen als er toch een datalek plaatsvindt?

Mocht er toch een datalek worden gesignaleerd binnen jouw bedrijf, dan is het noodzakelijk dat als eerste de verantwoordelijke medewerker op de hoogte wordt gesteld. Dit is meestal de Privacy of Security Officer. Vervolgens coördineert deze persoon een onderzoek naar de impact van het datalek, welke mogelijke maatregelen er op korte termijn kunnen worden genomen om de gevolgen van dit datalek te mitigeren, en of er een (voorlopige) melding moet worden gemaakt aan de Autoriteit Persoonsgegevens (hierna: AP) en/of de betrokkenen. Het is altijd verplicht een melding te maken van een datalek bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico voor de betrokkenen inhoudt. Denk hierbij aan publiekelijk beschikbare informatie, versleutelde informatie wat ondanks het lek nog steeds afdoende beveiligd is, of als informatie per ongeluk verwijderd is maar via een back-up te herstellen zijn. Een datalek moet worden gemeld aan de betrokkenen indien er waarschijnlijk een hoog risico is voor de betrokkenen. Van een hoog risico is sprake wanneer de verwachte nadelige gevolgen van het datalek zich met grote waarschijnlijkheid voordoen. Voorbeelden van nadelige gevolgen: identiteitsdiefstal, reputatieschade, financiële verliezen, ongewenste communicatie, enzovoorts. Na het onderzoeken van het datalek, het onderzoeken en mogelijk implementeren van mitigerende maatregelen en het mogelijke melden van betrokkenen zal de verantwoordelijke medewerker het datalek documenteren, en mogelijk bewijsmateriaal opslaan. Hierna kan het datalek, mits de oorzaken en gevolgen van dit datalek voldoende zijn gemitigeerd, worden afgesloten. Zorg wel dat er tijdens de afhandeling een verbeterplan wordt opgesteld, en dat er lering wordt getrokken uit dit incident, zodat het voorkomen van een vergelijkbaar lek in de toekomst uitgesloten kan worden.

Cas van de Ven 
Adviseur L2P

[1] https://nos.nl/artikel/2469510-datalek-nederlandse-bedrijven-steeds-groter-zeker-2-miljoen-klanten-getroffen
[2] https://nos.nl/artikel/2374024-datalek-bij-autobedrijven-treft-mogelijk-miljoenen-nederlanders 
[3] Datalekkenrapportage AP 2021.
[4] https://nos.nl/artikel/2469236-ns-waarschuwt-honderdduizenden-klanten-vanwege-datalek 
[5] https://nos.nl/artikel/2336416-lek-in-rivm-coronasite-gegevens-van-gebruikers-makkelijk-in-te-zien