Vorig jaar in de zomer schreef ik in mijn artikel “Ojee een datalek! Wat nu?” dat naast fysieke datalekken ook digitale datalekken een steeds groter gevaar voor organisaties vormen. Bij fysieke datalekken moet je bijvoorbeeld denken aan het kwijtraken van een laptop, tablet, telefoon, USB-stick en dergelijke met daarop allerlei persoonsgegevens. Maar ook het versturen van e-mails of post aan (een) verkeerde geadresseerde(n) of per abuis – bij het versturen van een uitnodiging voor bijvoorbeeld een cursus – alle cursisten in kopie (CC) in plaats van blinde kopie (BCC) mee te nemen. Dat zijn de échte klassiekers. Uiteraard zijn er nog veel meer voorbeelden van fysieke datalekken te noemen. Fysieke datalekken komen nog steeds het meest voor, maar de bedreiging door digitale datalekken voor organisaties neemt flink toe. Dat blijkt ook uit een interessant rapport van de Autoriteit Persoonsgegevens (AP) dat zij onlangs op haar website heeft gepubliceerd. Dat ga ik hierna kort bespreken.

Exponentiële stijging met 88%

Uit dat jaarlijkse rapport volgt dat het aantal meldingen van datalekken door cyberaanvallen in 2021 met 88% is gestegen. Dat is een forse stijging ten opzichte van 2020, terwijl er ook in 2020 en 2019 al een stijging van 25-30% was ten opzichte van 2018. Het totale aantal datalekmeldingen bedroeg in 2021 24.866, waarvan 9% datalekken door cyberaanvallen. In 2020 was dat maar 5%.

Ik roep in herinnering dat op basis van de AVG in beginsel elk datalek aan de AP dient te worden gemeld, tenzij het onwaarschijnlijk is dat het datalek een risico voor de rechten en vrijheden van de betrokken personen oplevert. Maar let op: neem niet te snel aan dat er geen risico is en wees er snel bij! In sommige gevallen moet het datalek ook aan de betrokken personen worden gemeld. De AP kan het onterecht niet melden van een datalek sanctioneren met een boete. Neem bij een datalek zo snel mogelijk contact op met jouw functionaris gegevensbescherming of een andere privacy deskundige om de benodigde stappen correct te doorlopen.

De AP geeft in haar rapport aan dat zij zich zorgen maakt over de blijvende stijging van het aantal gemelde cyberaanvallen, waarbij vooral IT-leveranciers het doelwit van de criminelen lijken te zijn. Tegenwoordig is het merendeel van de bedrijfsprocessen gedigitaliseerd en schakelen organisaties daarvoor vaak externe IT-leveranciers in. IT-leveranciers leveren bijvoorbeeld softwarediensten (denk o.a. aan digitale patiënt- en personeelsdossiers), digitale werkplekken of opslagruimte aan organisaties. IT-leveranciers verwerken daarom vaak persoonsgegevens van een grote hoeveelheid mensen van veel verschillende organisaties op één plek. Dat maakt hen tot een gewild doelwit voor criminelen.

Hacking, malware, phishing: 7 miljoen slachtoffers in 2021

Bij cyberaanvallen gaat het kort gezegd om aanvallen met kwaadaardige software die bijvoorbeeld een computer blokkeert en/of bestanden versleutelt en ontoegankelijk maakt. De AP ziet vooral de volgende drie soorten cyberaanvallen: hacking-, malware- en phishingaanvallen. Ransomware is een bekend voorbeeld van kwaadaardige software (malware). Ransomware versleutelt data van gebruikers en maakt deze voor de organisatie ontoegankelijk. Vaak kopiëren criminelen de versleutelde data naar een door hen beheerde plek, buiten de omgeving van de getroffen organisatie, zodat zij er niet meer bij kan. De criminelen eisen dan vaak losgeld van de organisatie in ruil voor de sleutel om de data te ontsleutelen.

De AP zag afgelopen jaar dat criminelen de organisaties die het losgeld niet betalen extra onder druk hebben gezet door een deel van de gestolen data te koop aan te bieden op het dark web. Daarbij ging het vaak om zeer gevoelige informatie, zoals paspoortkopieën.

Dergelijke cyberaanvallen hebben een grote impact op de bedrijfsvoering van organisaties: zij worden als het ware plat gelegd. Dat kan vaak weken duren, hetgeen zeer schadelijke gevolgen heeft. Niet alleen voor de getroffen organisatie zelf, maar ook voor haar klanten en/of werknemers, wiens persoonsgegevens mogelijk buitgemaakt zijn. Dat geldt ook in het geval er enkel namen en e-mailadressen worden gelekt. Gestolen persoonsgegevens kunnen namelijk in combinatie met eerdere gelekte informatie worden gebruikt om toegang te krijgen tot gebruikersaccounts bij bijvoorbeeld banken of webshops. Maar ook identiteitsfraude of spoofing liggen op de loer.

Op basis van de datalekmeldingen schat de AP dat cyberaanvallen bij IT-leveranciers het afgelopen jaar minimaal 7 miljoen slachtoffers hebben gemaakt.

Schade bij cyberaanvallen beperken

• Informeer je mensen en maak – indien nodig – melding van het datalek

De AP constateert dat de getroffen organisaties na een cyberaanval vaak eerst hun systemen herstellen en pas veel later de mensen achter de persoonsgegevens op de hoogte brengen. Dit kan zeer schadelijke gevolgen voor deze personen hebben aangezien zij zich in die periode niet kunnen beschermen tegen de gevolgen.

Daarnaast ziet de AP dat organisaties die losgeld hebben betaald om hun data na een dergelijke cyberaanval terug te krijgen, slachtoffers vaak niet informeren over het datalek: de hackers hebben immers toezeggingen gedaan dat zij de data niet verder zullen verspreiden. Volgens de AP is dit geen correcte redenering. Het betalen van losgeld biedt namelijk geen enkele garanties dat de hackers de gegevens ook daadwerkelijk zullen verwijderen. Het gaat hen immers om het geld. Daarom is het niet uitgesloten dat zij de persoonsgegevens alsnog zullen doorverkopen.

Volgens de AP moeten organisaties daarom datalekken door ransomware vrijwel altijd melden aan de AP en aan de slachtoffers. De criminelen kunnen met de gestolen persoonsgegevens immers gerichte phishingaanvallen op de slachtoffers plegen door hen – ogenschijnlijk uit naam van de getroffen organisatie – e-mails te sturen om geld of (nog) meer informatie van hen te krijgen. De gestolen persoonsgegevens kunnen ook worden toegevoegd aan bestaande datasets die in het dark web worden aangeboden.

Het melden van het datalek kan de schade voor de slachtoffers mogelijk beperken omdat zij dan weten dat zij extra voorzichtig moeten zijn door bijvoorbeeld hun wachtwoorden te veranderen en extra alert te zijn op phishingmails.

• Data is niet “nice to have”

Het valt de AP op dat bij cyberaanvallen nog vaak data buitgemaakt wordt die organisaties onnodig verzameld of te lang bewaard hebben. Zorg er daarom voor dat jouw organisatie niet het principe hanteert dat data “nice to have” is, maar dat data “a must have” is. Als organisatie mag je immers uitsluitend data verwerken die noodzakelijk is voor jouw verwerkingsdoel, bijvoorbeeld voor het uitvoeren van een overeenkomst met jouw klant. Data die je daarvoor niet nodig hebt, mag je niet hebben.

Kijk ook kritisch naar de bewaartermijnen van de data die je van je klanten of je personeel hebt verzameld. Een organisatie mag deze niet langer bewaren dan “noodzakelijk”. Indien de persoonsgegevens niet meer noodzakelijk zijn, bijvoorbeeld omdat deze niet meer nodig zijn voor de uitvoering van de overeenkomst met de klant of omdat de wettelijke bewaartermijnen verstreken zijn, moeten zij worden verwijderd. Het wettelijke uitgangspunt is dat persoonsgegevens zo kort mogelijk worden bewaard.

Door deze uitgangspunten in acht te nemen en consequent persoonsgegevens te verwijderen die niet langer bewaard hoeven te worden, kan het risico op schade bij een cyberaanval worden beperkt.

• Maatregelen voor organisaties

Ten slotte som ik hier nog de zes aanbevelingen op die de AP in haar rapport organisaties meegeeft:

1. Schakel alleen IT-leveranciers in die genoeg garanties geven voor passende technische en organisatorische beveiligingsmaatregelen. Als verwerkingsverantwoordelijke blijf jij volgens de AVG namelijk verantwoordelijk voor de beveiliging van persoonsgegevens, ook als je de beveiliging volledig aan de IT-leverancier hebt uitbesteed.
2. Pas dataminimalisatie toe en controleer de naleving (zie ook hiervoor).
3. Leg in de verwerkersovereenkomst concrete afspraken vast over de hulp die de IT-leverancier geeft bij naleving van de meldplicht datalekken. In de verwerkersovereenkomst maak je afspraken over de verwerking en beveiliging van de persoonsgegevens.
4. Controleer periodiek of de IT-leverancier de verwerkersovereenkomst naleeft.
5. Maak een actieplan melding datalekken om de termijnen na te leven. De AVG vereist snel handelen. De IT-leverancier moet zijn opdrachtgever (jou, de verwerkingsverantwoordelijke) zo snel mogelijk informeren over een datalek. Als verwerkingsverantwoordelijke moet je binnen 72 uur nadat je van het datalek op de hoogte bent gebracht melding doen bij de AP. De slachtoffers moet je direct informeren.
6. Zorg voor een zorgvuldig opgesteld en goed bijgehouden verwerkingsregister, zowel bij uzelf als bij de verwerker. Een verwerkingsregister geeft je een beter overzicht over de persoonsgegevens die worden verwerkt en die door het datalek worden geraakt. Zo wordt het eenvoudiger om de gevolgen voor de slachtoffers in kaart te brengen.

Deze bijdrage werd geschreven door Kim Deckers. Meer weten over hoe als organisatie om te gaan met datalekken in het algemeen? Lees dan (nog) eens haar eerder artikel met een stappenplan bij datalek of bel (043 328 4162) of mail haar (k.deckers@paulussen.nl). Dat kan uiteraard ook indien je nog andere vragen hebt naar aanleiding van dit artikel.

Nieuws Overzicht