Datalekken in Nederland

Datalekken vieren hoogtij in Nederland. Ondanks een lichte daling in 2020 is het aantal meldingen in de afgelopen vijf jaar fors opgelopen. Nederland doet het in vergelijking met andere Europese landen beroerd, en nota bene de overheid is de grootste veroorzaker van datalekken in ons land. Het valt te bezien of de situatie snel zal verbeteren: de Autoriteit Persoonsgegevens kan door onderbemanning slechts een klein gedeelte van de meldingen verder onderzoek verrichten. De combinatie van onderzochte data schetst een zorgwekkend beeld over de digitale veiligheid van de inwoners van ons land.

Nederland bijna kampioen datalekken

Nederland is in vergelijking met een grote groep Europese landen bijna kampioen datalekken. Uit een overzicht van het internationale advocatenkantoor DLAPiper blijkt dat alleen Denemarken meer datalekken meldt dan Nederland. Het advocatenkantoor bekeek deze data vanaf het moment van invoering van de Europese GDPR (General Data Protection Regulation, Algemene Verordening Gegevensbescherming) op 25 mei 2018 tot 27 januari 2021. In ons land werden er ruwweg 150 datalekken per 100.000 inwoners gemeld. In Denemarken zijn dit 155.6 per 100.000 inwoners.

Aantal datalekken per 100.000 inwoners in de periode van 25 mei 2018 tot 27 januari 2021

*Waarden per hoofd van de bevolking zijn berekend door het aantal gemelde datalekken te delen door het aantal inwoners van een land, vermenigvuldigd met 100.000. Inwonertal is gebaseerd op censusdata van het CIA World Factbook (juli 2020)

Data van de Autoriteit Persoonsgegevens (AP), die in Nederland toezicht houdt op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving, laat zien dat het aantal meldingen van datalekken in de afgelopen vijf jaar flink is opgelopen.

Met name in de sector Gezondheid en welzijn kwamen datalekken vaak voor. Maar liefst 30% van de meldingen was afkomstig uit deze sector. Daarna volgen de sectoren Financiële dienstverlening en Openbaar bestuur (beide 22%).

In 2020 ontving de AP 1173 meldingen over hacking, malware en phishing. Dit is een stijging van 30% ten opzichte van 2019. Bij 41,5% van de meldingen werden meer dan 500 personen getroffen door het gemelde lek. Veel getroffen sectoren zijn naast Gezondheid en welzijn (13% van de meldingen) ook Onderwijs (11%), ICT-dienstverlening (9%) en Handel en autobranche (8%). Vooral grotere organisaties die veel persoonsgegevens verwerken, worden sneller doelwit van hacking, malware en phishing.

Gegevens niet veilig bij de overheid

Burgers mogen verwachten dat hun gegevens veilig zijn bij de overheid, blijkt ook uit de rapportage van het AP. Niets is minder waar. De overheid is juist debet aan het hoge aantal datalekken per 100.000 inwoners. De overheid stuurt regelmatig persoonsgegevens door of adresseert informatie verkeerd, waardoor deze bij de verkeerde ontvanger terecht komt.

Het versturen aan de verkeerde ontvanger was in 66% van de gevallen de oorzaak van het datalek. In 8% van de gevallen ging het om een brief of een postpakket met persoonsgegevens dat was kwijtgeraakt of geopend retour ging. In 5% van de meldingen gaat het om hacking, malware of phishing.

De moeizame digitalisering bij de overheid is de hoofdschuldige. Het risico op grote en ernstige datalekken is relatief hoog. De Autoriteit Persoonsgegevens riep eerder al op om extra aandacht te schenken aan de bescherming van persoonsgegevens en aan cybersecurity. Door een tekort aan personeel en budget bij deze instantie krijgen datalekken te weinig opvolging.

Van de 27.000 gemelde datalekken in 2019 leidde maar 0,3% tot daadwerkelijk onderzoek.

Datalekken in Nederland

In Nederland komen datalekken voor bij bedrijven en organisaties met een groot bereik. We zetten een aantal belangrijke datalekken op een rij:

RDC

Op 25 maart 2021 deed het bedrijf ‘RDC’ melding van een datalek. Bij dit datalek ging het om de gegevens van miljoenen Nederlanders die klant zijn van een autogarage. RDC slaat gegevens op die worden verkregen via de Rijksdienst voor Wegverkeer (RDW). Onder meer NAW-gegevens, e-mailadressen, kentekens, telefoonnummers en geboortedata werden op een populair hackersforum te koop aangeboden. Volgens de hacker gaat het om herleidbare gegevens van 7,3 miljoen personen. Het is niet bekend hoe de gegevens gestolen zijn. De gegevens werden aangeboden voor 35.000 dollar.

Nederlandse Aardolie Maatschappij

Op 9 maart 2021 meldde de Nederlandse Aardolie Maatschappij (NAM) een datalek. Hierbij konden derde partijen ongeoorloofd persoons- en adresgegevens van de schadeafhandeling rond de aardbevingen in Groningen inzien. Bij dit lek werden ongeveer 19.000 personen getroffen. De oorzaak van het lek werd gevonden in de software van de firma Accellion. Deze software wordt door de NAM gebruikt voor het beveiligd versturen van grote informatiebestanden. Getroffen groepen waren:

  • Alle huiseigenaren die tussen 2014 en 1 juli 2020 bij NAM een aanvraag hebben ingediend voor de ‘Regeling Waardedaling’;
  • Alle huiseigenaren die zijn aangesloten bij de ‘Stichting WAG’ en in de gerechtelijke procedure betrokken zijn. Hierbij zijn geen namen, maar wel adressen en woonplaatsen opgenomen;
  • Alle huiseigenaren die met betrekking tot waardedaling een individuele rechtszaak tegen NAM hebben lopen. 

GGD

Een van de meest omvangrijke en in het oog springende datalekken werd in januari 2021 bekend. Toen bleek dat de persoonsgegevens van miljoenen Nederlanders die een coronatest- of vaccinatieafspraak hadden geboekt, of benaderd waren in kader van een bron- en contactonderzoek, op straat lagen. De 26.000 GGD-medewerkers en het callcenterpersoneel van de afsprakenlijn hadden toegang tot CoronIT en HPZone Lite, twee administratiesystemen waarin de persoonsgegevens worden opgeslagen. 

Onbekend is hoeveel Nederlanders precies door dit datalek zijn getroffen. Het aantal personen in deze systemen loopt in de miljoenen. Uit onderzoek van RTL Nieuws bleek dat bestanden met de gegevens van vele tienduizenden personen op internet werden aangeboden. Deze bestanden bevatten onder meer het BSN, testresultaten, geboortedatum en adres van de slachtoffers. 

Donorregister

In 2020 vernietigde de Nederlandse overheid het papieren archief van het Donorregister. Op 10 maart 2020 meldde de overheid een datalek. Twee externe harde schijven ontbraken. Deze schijven bevatten een kopie van alle donorformulieren met registraties en wijzigingen in het Donorregister, gedaan in de periode tussen 1998 en 2020. Deze formulieren bevatten de volgende gegevens:

  • Voor- en achternaam van de donor;
  • Het geslacht;
  • De geboortedatum;
  • Adresgegevens;
  • Donorkeuze;
  • Handtekening;
  • Burgerservicenummer.

Bij dit lek werden 6 miljoen personen getroffen.

Persoonlijke digitale veiligheid

Individuele burgers hebben weinig mogelijkheden datalekken bij bedrijven en overheid te voorkomen. Wel kunnen ze organisaties steunen die strijden voor digitale veiligheid en privacy (bijvoorbeeld Bits of Freedom) en hun stem geven aan politieke partijen die een sterke digitale toekomstvisie hebben. Daarnaast zijn er in ieder geval voldoende manieren om eigen gegevens zo veilig mogelijk te houden. De belangrijkste online security tips die digitale experts in dit kader geven, zijn:

Verhoog jouw online veiligheid door gebruik te maken van een VPN, in dit artikel van Harry Hol lees je er meer over.

Categorieën: Onderzoek

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *