Banner

Datalekken, wat leren we ervan?

14 maart 2019

In 2018 zijn 20.881 datalekken aan de Autoriteit Persoonsgegevens gemeld. Vooral vanuit de sectoren gezondheid en welzijn, financiële en zakelijke dienstverlening, IT en openbaar bestuur. Wat kunnen we ervan leren?

Dit artikel is op 6 maart gepubliceerd door SRA, netwerkorganisatie van 370 zelfstandige accountantskantoren.


De meest voorkomende type datalekken betroffen:

Phishing en malware

Bij phishing kan het gaan om organisaties die worden bestookt met nepmails die afkomstig lijken van een betrouwbare partij, zoals een zakelijke relatie.

Wanneer een medewerker van de organisatie klikt op een link in de nepmail of een bijlage in de nepmail opent, kan daardoor een virus worden geïnstalleerd. Ook kan worden gevraagd om het wachtwoord van een account te wijzigen, waarna je wordt doorgeleid naar een nepwebsite die de ingevoerde gegevens onderschept.

Ransomware is een type malware dat alle gegevens op het systeem versleutelt en ervoor zorgt dat deze gegevens niet meer toegankelijk zijn. Vaak wordt daarna betaling geëist om de persoonsgegevens weer vrij te geven, bijvoorbeeld via prepaidkaarten of bitcoins.

Gegevens datalek

De soorten persoonsgegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens (naam, adres, woonplaats), BSN- en medische gegevens.

Waarschuwing Autoriteit Persoonsgegevens

In 2018 heeft de Autoriteit Persoonsgegevens (AP) in veel gevallen organisaties uitleg gegeven over te nemen beveiligingsmaatregelen. Alfa is toen ook ingegaan op wat de gevolgen van de privacywet voor jou kunnen zijn. Daarnaast heeft de AP waarschuwingen uitgedeeld en organisaties aangestuurd op het beëindiging van de overtreding. 

In 2019 gaat de AP vooral aandacht schenken aan het ten onrechte niet melden van datalekken aan betrokkenen of aan de AP en aan het te laat melden van een datalek. Niet alle meldplichtige datalekken worden door bedrijven en organisaties gemeld. Dat wordt bijvoorbeeld duidelijk als betrokkenen melding maken van een datalek, terwijl dat door de organisatie zelf niet is gedaan. Het is dus belangrijk hier aandacht voor te hebben.

Boete Uber

In november 2018 heeft de AP vervoersdienst Uber een boete van € 600.000 opgelegd voor het willens en wetens te laat melden van een datalek. Het ging om het te laat melden aan zowel de AP als aan de betrokkenen.

Wat kun je zelf doen?

Belangrijke zaken die je binnen je eigen bedrijf moet oppakken zijn:

Wat schrijft de AVG voor?

De AVG schrijft voor dat je bedrijf bepaalde inbreuken in verband met de verwerking van persoonsgegevens, zogenaamde datalekken, moet melden bij de AP. In sommige situaties moet je ook de betrokkenen (bijvoorbeeld de klanten of werknemers) bij het datalek informeren.

Wat is een datalek?

Een datalek wordt omschreven als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Wat moet je doen bij een datalek?

Roept dit vragen bij je op? Neem contact op met één van onze specialisten van een vestiging bij jou in de buurt. Met meer dan 30 vestigingen is Alfa overal dichtbij.