Datalekken in Nederland: Hoe datalek te voorkomen
Nederland doet het in vergelijking met andere Europese landen beroerd, en de overheid blijkt zelfs de grootste veroorzaker van datalekken in ons land. Het valt te bezien of de situatie snel zal verbeteren: de Autoriteit Persoonsgegevens kan door onderbemanning slechts een klein gedeelte van de meldingen verder onderzoek verrichten. De cijfers schetsen een zorgwekkend beeld over de digitale veiligheid van de inwoners van ons land.
Inhoudsopgave
Wat is een datalek?
Wat is een datalek eigenlijk? De Autoriteit Persoonsgegevens heeft zelf een definitie opgesteld. Een datalek gaat om ‘persoonsgegevens die gedeeld, verloren, gewijzigd of vernietigd worden, zonder dat de betrokken organisatie dit wil, omdat de beveiliging van die persoonsgegevens gecompromitteerd werd’. Dat kan bijvoorbeeld doordat ze niet goed genoeg werden beschermd, doordat ze kwijt zijn geraakt of doordat ze op een onrechtmatige manier werden verwerkt.
Ook bijvoorbeeld het doorsturen van de gegevens naar een verkeerde ontvanger wordt als een datalek aangezien.
Hoe krijg je een datalek? Hoe ontstaan ze?
Datalekken zijn over het algemeen in twee grote categorieën onder te brengen. De meeste zijn het gevolg van menselijke handelingen. Denk bijvoorbeeld aan het verliezen van een usb-stick vol persoonlijke data. Of een laptop die achterblijft in een trein.
Een tweede grote bron van datalekken zijn securityproblemen in de IT-omgeving, bijvoorbeeld door een hack of een cyberaanval. Op die manier krijgen cybercriminelen onbedoeld toegang tot bijvoorbeeld persoonlijke gegevens, kritieke bedrijfsinformatie of financiële documenten.
Gevolgen van datalekken (Add this to existing article)
Datalekken hebben allerlei gevolgen, van financiële verliezen tot reputatieschade. Bedrijven die het slachtoffer zijn van datalekken kunnen het vertrouwen van hun klanten kwijtraken door de verkeerde behandeling van hun persoonlijke informatie.
Gegevensinbreuken kunnen ook ernstige financiële gevolgen hebben voor bedrijven, aangezien zij aansprakelijk zijn voor alle kosten die ermee verband houden. Denk dan aan juridische kosten en eventuele boetes die door gegevensbeschermingsautoriteiten worden opgelegd, als ook de kosten die nodig zijn om de systemen beter te beveiligen.
Voor individuen kan een datalek leiden tot onder meer identiteitsdiefstal en creditcardfraude, aangezien hackers dat met de gestolen gegevens kunnen bewerkstelligen.
Identiteitsdiefstal doet zich voor wanneer criminelen toegang krijgen tot persoonlijke informatie zoals je naam, adres, geboortedatum, e-mailadres, telefoonnummer – en die informatie gebruiken om fraude, diefstal of andere misdrijven te plegen.
Datalek voorkomen als bedrijf
Voorkomen is altijd beter dan genezen. Dat geldt evengoed voor datalekken. En gelukkig zijn er ook wel wat zaken die je kunt aanpassen of in de gaten houden om de kans op een datalek zo klein mogelijk te houden.
Een datalek kan bij bedrijven grote financiële en juridische gevolgen hebben. De volgende stappen zijn sowieso belangrijk:
- Inventariseer welke data beschermd moet worden
- Zorg dat deze voldoende beveiligd is
- Wees kritisch op wie er toegang heeft tot de data
- Maak een plan voor het geval het tóch misgaat
Voor het bedrijven is het in de eerste plaats belangrijk dat ze hun data inventariseren en classificeren. Waar staan alle data? Dat kan op heel wat verschillende plaatsen zijn: eigen servers, usb-sticks, laptops van het personeel, clouddiensten en ga zo maar door. Hierbij geldt: hoe gevoeliger, hoe beter je de gegevens beveiligt.
Ga daarbij ook na wie er allemaal bij de data kan en hoe deze beschikbaar is. Het is bijvoorbeeld niet zo’n sterk idee om bedrijfsgeheimen op een obscure clouddienst te zetten, net zo min dat het nodig is dat iedereen binnen de organisatie er zomaar bij kan.
Denk er ook aan dat personeel komt en gaat. Voortdurend bijhouden wie bij welke gegevens kan en de nodige permissies geven en intrekken, is dus vaak geen triviale klus. Gelukkig bestaat er ook gespecialiseerde software die dit allemaal automatisch kan regelen.
Een vaak onderschat groot deel van dataveiligheid komt ook neer op het onderhouden van een goede bedrijfscultuur. Een heel informele cultuur waarbij voortdurend wachtwoorden uitgewisseld worden op post it-briefjes is natuurlijk vragen om problemen. Een eerste stap om dit aan te pakken is om personeel bewust te maken van de risico’s. Vaak weet men niet hoe groot het probleem van datalekken is of welke consequenties ze kunnen hebben.
Tot slot is het zeker ook een goed idee om voorbereid te zijn op het ergste. Als er data lekt, moeten organisaties snel en adequaat kunnen handelen. Er is dan geen tijd meer om nog snel te improviseren. Wie bepaalt wanneer bijvoorbeeld de bedrijfsnetwerken platgelegd worden? In welke volgorde gebeurt dat? Wie wordt er allemaal ingelicht? Welke communicatie wordt er opgesteld naar het personeel, de overheid, de pers en andere stakeholders?
Daar op voorhand even over nadenken, kan je in het geval het ergste gebeurt, veel ellende besparen. Ook omdat bedrijven in Nederland verplicht zijn datalekken te melden bij zowel hun klanten als de de Autoriteit Persoonsgegevens.
Slachtoffer van een datalek, wat nu?!
De ontdekking van een datalek is voor veel bedrijven een haast traumatische ervaring. Toch is het belangrijk om het hoofd koel te houden en enkele elementaire eerste stappen te zetten. De AP lijst ze zelf mooi op.
- Breng in beeld wat er gelekt is en hoe
- Beperk de schade
- Ga na of je het lek moet melden bij de Autoriteit Persoonsgegevens
- Doe dit binnen 72 uur
- Registreer het lek in je datalekregister
Zorg eerst en vooral voor overzicht op de situatie. Wat is er gelekt? Hoeveel data is er gelekt? Wat is de oorzaak? Hoe lang is het lek er al? Heb je een idee waar de data zich nu bevinden?
Natuurlijk probeer je meteen zo veel mogelijk de schade te beperken, bijvoorbeeld door laptops of smartphones op afstand te wissen of te versleutelen, bestanden offline te halen en de toegang tot accounts of clouddiensten te blokkeren.
Binnen 72 uur moet je het datalek melden aan de AP. Tenzij het niet waarschijnlijk is dat er een risico is. De betrokken personen informeer je alleen als er sprake is van een hoog risico. Om dit in te schatten heeft de AP een handig overzicht gemaakt van de gevallen die je wél en niet moet melden.
Ten slotte registreer je het lek in je eigen datalekregister. Elke organisatie die verwerkingsverantwoordelijke is, moet daar wettelijk gezien over beschikken. Dat register bevat niet alleen de lekken die aan het AP werden doorgespeeld, ook de minder ernstige lekken worden hier bijgehouden.
Datalek melden: zó doe je dat
Een datalek melden, kan via een online meldformulier bij het AP. De vragen uit het online meldformulier datalekken staan in de Vragenlijst meldformulier datalekken. Aan de hand van dit document kunnen bedrijven de benodigde informatie alvast op voorhand verzamelen.
Datalek voorkomen als particulier
Voor zowel privépersonen als bedrijven zijn er enkele basale voorzorgsmaatregelen die kunnen helpen om de schade van een datalek zo veel mogelijk te beperken. We sommen er een paar op en gaan er dan dieper op in:
- Zorg ervoor dat je data versleutelt
- Schakel tweestapsverificatie (2FA) in
- Laat een wachtwoordmanager sterke wachtwoorden verzinnen en onthouden
- Maak regelmatig een back-up van je data
Zo is het een goed idee om data te versleutelen met sterke encryptietechnologieën. Vallen de gegevens dan in verkeerde handen, dan kan de dief er niks mee.
Schakel op elk systeem waar mensen kunnen op inloggen met wachtwoord en gebruikersnaam ook tweefactorauthenticatie in. Dat betekent dat er een extra code gevraagd wordt bovenop het wachtwoord, bijvoorbeeld een steeds wisselende code die per SMS wordt toegestuurd. Of een code die met speciale software op je smartphone wordt gegeneerd. Zelfs als iemand het wachtwoord en de login kent, kan hij niet inloggen zonder deze bijkomende informatie.
Dat wachtwoord zelf maak je natuurlijk zo moeilijk mogelijk te raden. “1234”, je geboortedatum, de naam van je hond of je favoriete voetbalploeg zijn géén goede wachtwoorden omdat ze heel gemakkelijk te raden zijn. Gebruik zelfs geen willekeurig bestaand woord, want dat valt evengoed gemakkelijk te kraken via bijvoorbeeld woordenlijsten die automatisch ingegeven worden.
Wel een goed idee is een willekeurige rij cijfers, letters en lettertekens waar geen touw aan vast te knopen is, zoals ‘24LsPç459!*’. Gebruik hiervoor bijvoorbeeld onze wachtwoordgenerator.
Natuurlijk gebruik je voor elk account ook een ander wachtwoord, anders loop je het risico dat bij het onverhoopt uitlekken van één wachtwoord, toch heel je digitale privacy naar de vaantjes is. Het is uiteraard bijna onmogelijk om al die wachtwoorden te onthouden, maar daarvoor kan je dan weer beroep doen op een wachtwoordmanager; software diw alle wachtwoorden versleuteld opslaat en zelfs automatisch invult.
Bekende namen zijn onder meer NordPass, Dashlane, 1Password, LastPass en Keepass.
Maak tenslotte back-ups en stel een goede back up-strategie op: wat ga je back-uppen? Hoe vaak? Waar? Op hoeveel verschillende locaties? Hoe ga je deze beveiligen? En denk er aan: je gegevens automatisch synchroniseren naar iCloud of Google Drive is géén back-up. Als je data wist op je computer, zijn die ook daar niet meer terug te halen.
Meer weten? Lees dan ook onze artikel vol online security-tips.
VPN’s tegen datalekken
Ben je met internet verbonden, dan wissel je voortdurend data uit tussen jouw apparaten en de websites die je bezoekt. Om deze informatie af te schermen, kun je een VPN inzetten. Die versleutelt de verbinding, zodat niemand meer mee kan kijken. Zo voorkom je dat deze data in verkeerde handen terecht komt. In feite dus ook een vorm van datalek-bescherming.
Hoewel bedrijven verplicht zijn om datalekken te melden, doen ze dit lang niet altijd of pas heel laat. Hierdoor weet je vaak zelf niet eens dat je gegevens op straat liggen. Telkens meer VPN’s bieden dan ook een functie aan die datalekken voor je monitort. Duiken in zo’n lek jouw gegevens op, dan krijg je een seintje zodat je bij de getroffen accounts actie kunt ondernemen. Wachtwoordmanagers kunnen dit trouwens vaak ook, waaronder NordPass.
We stellen enkele VPN’s aan je voor die een dergelijke feature aan boord hebben:
NordVPN: Dark Web Monitor
Beste keuze
NordVPN is betrouwbaar, betaalbaar, snel, zit boordevol extra functies. Uitermate geschikt voor het beschermen van je privacy online.
- Snelle servers
- Uitstekende software en apps
- Erg goede prijs
- Betrouwbare en snelle klantenservice
❌ Geen router-app
Bij NordVPN heet de functie Dark Web Monitor en het grote voordeel is dat je er niets extra voor hoeft te betalen. De functie ziet bij de standaard abonnementsprijs inbegrepen.
Een beperking is dat alleen het e-mailadres wordt gecontroleerd waarmee je een NordVPN-account hebt aangemaakt. Het is niet mogelijk om ook andere e-mailadressen in de gaten te houden.
Surfshark: Alert
Surfshark is een zeer betaalbare VPN die ideaal is voor wie veel apparaten heeft die vaak gelijktijdig VPN willen gebruiken.
- Goedkoop en betrouwbaar
- Supersnelle servers
- Onbeperkt aantal apparaten
Surfshark heeft een soortgelijke feature onder de naam Surfshark Alert. Hiermee kun je wel meerdere e-mailadressen laten monitoren.
Een nadeel is dat Alert meestal niet bij de standaard VPN-prijs zit inbegrepen. Het maakt namelijk deel uit van de betaalde extra Surfshark One, waarmee je ook toegang krijgt tot de antivirusfunctie en een privacyvriendelijke zoekmachine, Surfshark Search.
Atlas VPN: Data Breach Monitor
Atlas VPN is een snel groeiende VPN-dienst met een interessante gratis versie en lage abonnementsprijzen. Ook zeer geschikt voor streaming.
- Gratis versie beschikbaar
- Op onbeperkt aantal apparaten te installeren
- Zeer betaalbaar
Bij Atlas VPN kom je de functie tegen onder de naam Data Breach Monitor. Bij de gratis versie van Atlas VPN is alleen het e-mailadres te monitoren waarmee je bent ingelogd op de VPN, vergelijkbaar met NordVPN.
Wil je meerdere adressen laten controleren, dan kan dat met een Atlas VPN Premium-abonnement.
Onderzoek: Nederland bijna kampioen datalekken
Nederland is in vergelijking met een grote groep Europese landen bijna kampioen datalekken. Uit een overzicht van het internationale advocatenkantoor DLAPiper blijkt dat alleen Denemarken meer datalekken meldt dan Nederland. Het advocatenkantoor bekeek deze data vanaf het moment van invoering van de Europese GDPR (General Data Protection Regulation, Algemene Verordening Gegevensbescherming) op 25 mei 2018 tot 27 januari 2021. In ons land werden er ruwweg 150 datalekken per 100.000 inwoners gemeld. In Denemarken zijn dit 155.6 per 100.000 inwoners.
Aantal datalekken per 100.000 inwoners in de periode van 25 mei 2018 tot 27 januari 2021
*Waarden per hoofd van de bevolking zijn berekend door het aantal gemelde datalekken te delen door het aantal inwoners van een land, vermenigvuldigd met 100.000. Inwonertal is gebaseerd op censusdata van het CIA World Factbook (juli 2020)
Data van de Autoriteit Persoonsgegevens (AP), die in Nederland toezicht houdt op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving, laat zien dat het aantal meldingen van datalekken in de afgelopen vijf jaar flink is opgelopen.
Met name in de sector Gezondheid en welzijn kwamen datalekken vaak voor. Maar liefst 30% van de meldingen was afkomstig uit deze sector. Daarna volgen de sectoren Financiële dienstverlening en Openbaar bestuur (beide 22%).
In 2020 ontving de AP 1173 meldingen over hacking, malware en phishing. Dit is een stijging van 30% ten opzichte van 2019. Bij 41,5% van de meldingen werden meer dan 500 personen getroffen door het gemelde lek. Veel getroffen sectoren zijn naast Gezondheid en welzijn (13% van de meldingen) ook Onderwijs (11%), ICT-dienstverlening (9%) en Handel en autobranche (8%). Vooral grotere organisaties die veel persoonsgegevens verwerken, worden sneller doelwit van hacking, malware en phishing.
Gegevens niet veilig bij de overheid
Burgers mogen verwachten dat hun gegevens veilig zijn bij de overheid, blijkt ook uit de rapportage van het AP. Niets is minder waar. De overheid is juist debet aan het hoge aantal datalekken per 100.000 inwoners. De overheid stuurt regelmatig persoonsgegevens door of adresseert informatie verkeerd, waardoor deze bij de verkeerde ontvanger terecht komt.
Het versturen aan de verkeerde ontvanger was in 66% van de gevallen de oorzaak van het datalek. In 8% van de gevallen ging het om een brief of een postpakket met persoonsgegevens dat was kwijtgeraakt of geopend retour ging. In 5% van de meldingen gaat het om hacking, malware of phishing.
De moeizame digitalisering bij de overheid is de hoofdschuldige. Het risico op grote en ernstige datalekken is relatief hoog. De Autoriteit Persoonsgegevens riep eerder al op om extra aandacht te schenken aan de bescherming van persoonsgegevens en aan cybersecurity. Door een tekort aan personeel en budget bij deze instantie krijgen datalekken te weinig opvolging.
Datalekken in Nederland
In Nederland komen datalekken voor bij bedrijven en organisaties met een groot bereik. We zetten een aantal belangrijke datalekken op een rij:
RDC
Op 25 maart 2021 deed het bedrijf ‘RDC’ melding van een datalek. Bij dit datalek ging het om de gegevens van miljoenen Nederlanders die klant zijn van een autogarage. RDC slaat gegevens op die worden verkregen via de Rijksdienst voor Wegverkeer (RDW). Onder meer NAW-gegevens, e-mailadressen, kentekens, telefoonnummers en geboortedata werden op een populair hackersforum te koop aangeboden. Volgens de hacker gaat het om herleidbare gegevens van 7,3 miljoen personen. Het is niet bekend hoe de gegevens gestolen zijn. De gegevens werden aangeboden voor 35.000 dollar.
Nederlandse Aardolie Maatschappij
Op 9 maart 2021 meldde de Nederlandse Aardolie Maatschappij (NAM) een datalek. Hierbij konden derde partijen ongeoorloofd persoons- en adresgegevens van de schadeafhandeling rond de aardbevingen in Groningen inzien. Bij dit lek werden ongeveer 19.000 personen getroffen. De oorzaak van het lek werd gevonden in de software van de firma Accellion. Deze software wordt door de NAM gebruikt voor het beveiligd versturen van grote informatiebestanden. Getroffen groepen waren:
- Alle huiseigenaren die tussen 2014 en 1 juli 2020 bij NAM een aanvraag hebben ingediend voor de ‘Regeling Waardedaling’;
- Alle huiseigenaren die zijn aangesloten bij de ‘Stichting WAG’ en in de gerechtelijke procedure betrokken zijn. Hierbij zijn geen namen, maar wel adressen en woonplaatsen opgenomen;
- Alle huiseigenaren die met betrekking tot waardedaling een individuele rechtszaak tegen NAM hebben lopen.
GGD
Een van de meest omvangrijke en in het oog springende datalekken werd in januari 2021 bekend. Toen bleek dat de persoonsgegevens van miljoenen Nederlanders die een coronatest- of vaccinatieafspraak hadden geboekt, of benaderd waren in kader van een bron- en contactonderzoek, op straat lagen. De 26.000 GGD-medewerkers en het callcenterpersoneel van de afsprakenlijn hadden toegang tot CoronIT en HPZone Lite, twee administratiesystemen waarin de persoonsgegevens worden opgeslagen.
Onbekend is hoeveel Nederlanders precies door dit datalek zijn getroffen. Het aantal personen in deze systemen loopt in de miljoenen. Uit onderzoek van RTL Nieuws bleek dat bestanden met de gegevens van vele tienduizenden personen op internet werden aangeboden. Deze bestanden bevatten onder meer het BSN, testresultaten, geboortedatum en adres van de slachtoffers.
Donorregister
In 2020 vernietigde de Nederlandse overheid het papieren archief van het Donorregister. Op 10 maart 2020 meldde de overheid een datalek. Twee externe harde schijven ontbraken. Deze schijven bevatten een kopie van alle donorformulieren met registraties en wijzigingen in het Donorregister, gedaan in de periode tussen 1998 en 2020. Deze formulieren bevatten de volgende gegevens:
- Voor- en achternaam van de donor;
- Het geslacht;
- De geboortedatum;
- Adresgegevens;
- Donorkeuze;
- Handtekening;
- Burgerservicenummer.
Bij dit lek werden 6 miljoen personen getroffen.
Veelgestelde vragen
Datalekken ontstaan zowel door menselijke fouten (een usb-stick die je kwijtraakt) als door aanvallen van cybercriminelen, bijvoorbeeld door hacking of phishing.
Datalekken gaan over de toegang tot, de vernietiging van, de wijziging van of het vrijkomen van persoonsgegevens, zonder dat dit de bedoeling was van de betrokken organisatie.
Het is belangrijk dat je als slachtoffer weet dat je gegevens gelekt zijn bij een datalek. Zulke gegevens kunnen immers ingezet worden voor heel vervelende zaken zoals bijvoorbeeld een identiteitsdiefstal of om je geld afhandig te maken.
Als bedrijven je zelf niet op de hoogte stellen van een lek, kan het soms jaren duren voordat je hier achter komt, als het al gebeurt. Een alternatieve route is het checken van speciale websites zoals bijvoorbeeld Have I Been Pwned? Deze site houdt alle grote hacks bij, als je hier je mailadres invult, wordt er gecontroleerd of het bij een lek betrokken was.
Een min of meer identieke werkwijze is de ‘data leak monitor function’ die sommige VPN-diensten aanbieden. Als je VPN-provider dit heeft, kan je ook hier dus een controle uitvoeren.
Check wat er gelekt is, hoeveel, wanneer en hoe lang dit al gaande is. Misschien is het ook al mogelijk om te controleren waar de data naar toe is (al is dit lang niet altijd zo).
Wis smartphones en laptops op afstand of blokkeer ze. Doe hetzelfde met betrokken clouddiensten.
Controleer of je het lek moet melden aan het AP. Indien dit zo is, doe dit dan binnen 72 uur.
Als bedrijf registreer je het lek in je datalekregister.
Datalekken kunnen voor bedrijven ongelooflijk duur zijn, met veel gevolgen op korte en lange termijn. Het meest directe gevolg zijn de financiële kosten van de aanpak van een datalek, omdat vaak een team van advocaten, IT-professionals en andere specialisten moet worden ingehuurd om de inbreuk te onderzoeken en de systemen weer operationeel te maken. In sommige gevallen kan je ook hoge boetes krijgen van toezichthouders voor gegevensbescherming. Daarnaast kun je klanten kwijtraken die het vertrouwen in je zijn verloren.
Om te beginnen moet je bestaande zwakke punten in de beveiliging beoordelen en een robuust beveiligingsplan ontwikkelen met sterke wachtwoorden, authenticatie met twee factoren, encryptieprotocollen en regelmatige beveiligingstests. Daarnaast moet je zorgen voor scholing van werknemers over het beleid en de procedures voor gegevensbescherming, zodat alle medewerkers op de hoogte zijn van hun verantwoordelijkheden.
De Algemene Verordening Gegevensbescherming (AVG) is een reeks verordeningen die bedoeld zijn om de persoonsgegevens en privacy van personen in de Europese Unie te beschermen. Ze werd aangenomen op 14 april 2016 en trad in werking op 25 mei 2018.
Onder de AVG (GDPR in het Engels) zijn organisaties verplicht om alle noodzakelijke maatregelen te nemen om persoonlijke gegevens te beschermen. Dit houdt in dat er passende technische en organisatorische maatregelen worden genomen om ongeoorloofde toegang tot of uitlekken van persoonsgegevens te voorkomen, op te sporen en te melden.
Als een organisatie te maken krijgt met een datalek, moet zij dit binnen 72 uur melden aan de bevoegde autoriteiten en aan de getroffen personen (als het risico op schade aanzienlijk is). Wordt dit niet gedaan, dan kunnen boetes volgen.
