Opnieuw duizenden meldingen van datalekken
Bedrijven doen steeds meer moeite om zich te beveiligen tegen het kwijtraken van gevoelige informatie. Terecht, want daardoor kan veel schade ontstaan. Toch blijft het probleem groot. En het heeft lang niet altijd met computers te maken.
Vorig jaar ging het op wel heel grote schaal mis. Van onder meer de NS en VodafoneZiggo kwamen miljoenen persoonlijke gegevens van klanten in handen van anderen. Het ging om namen, adressen, telefoonnummers en meer. Natuurlijk hebben de bedrijven daarna maatregelen genomen. Maar de risico’s blijven bestaan, blijkt uit onderzoek.
Bij een datalek verschaffen mensen zich toegang tot persoonlijke gegevens, zonder dat ze daar toestemming voor hebben. Dat kan min of meer per ongeluk, maar vaak is er sprake van opzet. Om hun doel te bereiken, omzeilen daders bijvoorbeeld de beveiliging van computersystemen.
Bankrekeningen
Daarna kunnen ze informatie vernietigen, wijzigen of doorsturen, met vaak grote gevolgen. Die variëren van het bemachtigen van adressen en telefoonnummers tot het leeghalen van bankrekeningen.
Datalekken gaat echter lang niet altijd digitaal. Het valt op dat een groot deel van het lekken van vertrouwelijke informatie op een andere wijze plaatsvindt. Soms op een heel knullige manier, liet het Centraal Bureau voor de Statistiek (CBS) woensdag weten.
Bij ruim 40 procent van de datalekmeldingen die bedrijven en organisaties doen bij de Autoriteit Persoonsgegevens gaat het om een incident met een brief of postpakket met persoonsgegevens, blijkt uit de cijfers over de eerste helft van dit jaar. Daarbij komt het vaak voor dat poststukken aan verkeerde ontvangers worden afgegeven. Iemand krijgt bijvoorbeeld een salarisstrook van de buurman op de mat en scheurt hem argeloos open.
In totaal kreeg de Autoriteit Persoonsgegevens tot eind juni dit jaar bijna 10.000 datalekmeldingen. Dat aantal is vergelijkbaar met dat in de eerste helft van 2023. Toen waren het er 10.500.
Domme fouten
Dat dit getal ondanks inspanningen van het bedrijfsleven en de overheid slechts licht is gedaald, heeft meerdere oorzaken. Nog steeds maken organisaties domme fouten, bijvoorbeeld door het versturen van foute mailings. Daarnaast neemt het aantal gevallen van computercriminaliteit toe. Niet alleen beveiligingssystemen, maar ook criminelen worden steeds slimmer en vindingrijker.
Datalekken kwamen het meest voor bij grote bedrijven, meldde het CBS. In 18 procent van de gevallen ging er iets mis met persoonsgegevens in een e-mail. Die werden bijvoorbeeld naar een verkeerde ontvanger gestuurd.
Bij 8 procent van de datalekmeldingen vond er een vorm van cybercrime plaats, computercriminaliteit waarbij er op pc’s wordt ingebroken, soms door gegevens te bemachtigen via nepmails.
Er zijn nog verschillende andere manieren waarop datalekken plaatsvinden. Zo komt het voor dat persoonsgegevens worden toegevoegd aan een verkeerd dossier, bijvoorbeeld als het gaat om medische informatie.
Ook worden persoonsgegevens van de klanten van bedrijven soms per ongeluk op een site getoond, terwijl dat niet de bedoeling is. En daarnaast raken er soms dingen kwijt, zoals USB-sticks en documenten met gevoelige informatie.
Boete
Bijna zeven op de tien datalekmeldingen werden gedaan door bedrijven en organisaties met meer dan 250 werknemers. Relatief vaak ging het daarbij om overheidsinstellingen en organisaties in de gezondheidszorg.
Het is verplicht om die meldingen te doen, al is dat met name bij kleinere ondernemingen niet altijd bekend. Volgens de Wet meldplicht datalekken kan een organisatie een flinke boete krijgen als bekend is dat er sprake is van datalekken en die geheim worden gehouden. Zo’n sanctie kan oplopen tot 10 procent van de jaaromzet van een bedrijf.