AP: ‘7 miljoen Nederlanders slachtoffer van datalek’

Hangslot met ketting vastgemaakt aan blauwe folders

In 2021 ontving de Autoriteit Persoonsgegevens 24.866 datalekmeldingen. Dat is een stijging van 3,7 procent ten opzichte van het jaar ervoor, toen de teller op 23.976 meldingen stond. Het aantal meldingen door hacking, malware of phishing steeg in een jaar tijd met 88 procent.

Dat schrijft de toezichthouder in zijn Datalekkenrapportage 2021 (PDF), dat woensdag is gepubliceerd.

IT-leveranciers vaker het doelwit van hackers

De Autoriteit Persoonsgegevens (AP) spreekt van “een explosieve toename” en maakt zich grote zorgen. “Vorig jaar luidden wij de noodklok al toen het aantal datalekken door datadiefstal met 30 procent was toegenomen. Maar in onze meest recente meting ging het aantal van dit soort meldingen door het dak en steeg met 88 procent, dus bijna het dubbele”, zo vertelt Aleid Wolfsen, bestuursvoorzitter van de AP.

Wolfsen ziet dat hackers hun pijlen steeds vaker richten op ICT-dienstverleners. Dan moet je denken aan partijen als SolarWinds en Kaseya. Hackers wisten hun systemen te infiltreren en hadden zodoende toegang tot klantgegevens en andere data van hun cliënten. Ook hier in Nederland vallen er op deze manier slachtoffers. Toen The Sourcing Company uit Woerden getroffen werd door een ransomware-aanval, belandden klantgegevens van meerdere woningcorporaties op het internet.

Volgens Wolfsen is dat geen vreemde trend. “Die [IT-leveranciers, red.] leveren bijvoorbeeld op maat gemaakte software, digitale werkplekken of opslagruimte aan organisaties. Er zijn bij die leveranciers heel veel persoonsgegevens van meerdere organisaties op één plek, waardoor zij een gewild doelwit zijn.”

Nadruk op herstellen systemen

Dergelijke grootschalige cyberaanvallen hebben een grote impact op de bedrijfsvoering van organisaties. Als door een aanval het productieproces komt stil te liggen, kost dat vaak bakken met geld. Dat het ook voor burgers nadelig kan uitpakken, bewijst de ransomware-aanval op transportbedrijf Bakker Logistiek wel. Door de aanval stonden z’n 250 vrachtwagens stil en kampte de Albert Heijn met lege kaasschappen.

Volgens de toezichthouders focussen getroffen organisaties zich allereerst op het herstellen van alle systemen. Pas veel later brengen zij mensen op de hoogte waarvan persoonsgegevens zijn gestolen. Omdat gedupeerden pas een stuk later hierover worden geïnformeerd, kunnen zij zich minder goed beschermen tegen eventuele gevolgen.

Wolfsen: ‘Het betalen van losgeld biedt geen enkele garantie’

Sommige bedrijven en instanties kiezen ervoor om na een ransomware-aanval losgeld te betalen. Zo hopen ze alle buitgemaakte data terug te krijgen en de bedrijfsvoering weer snel op het oude niveau terug te brengen. Slachtoffers worden dan vaak niet eens op de hoogte gebracht van het datalek.

Het betalen van losgeld is volgens Wolfsen sowieso geen goed idee. “Het betalen van losgeld biedt geen enkele garantie dat de hackers de gegevens ook daadwerkelijk verwijderen en nooit doorverkopen. Daarom moeten organisaties datalekken door ransomware vrijwel altijd melden aan de AP en aan de slachtoffers”, zo zegt de bestuursvoorzitter.

7 miljoen Nederlanders slachtoffer van datalek in 2021

Wolfsen vermoedt dat in 2021 minimaal 7 miljoen Nederlanders het slachtoffer zijn geworden van een datalek. Het klinkt misschien onschuldig als een hacker of cybercrimineel je e-mailadres in handen weet te krijgen, maar het kan wel degelijk grote gevolgen hebben. Zeker als deze data gecombineerd wordt met gestolen gegevens van datalekken die eerder bij andere bedrijven plaatsvonden. Daardoor is het mogelijk om bijvoorbeeld toegang te krijgen tot de account van een ander.

“Dit soort gegevens kunnen criminelen ook misbruiken om heel gericht nieuwe spam- en phishingaanvallen uit te voeren. Waarna zij makkelijk spullen op iemands naam en rekening kunnen bestellen of spaarrekeningen kunnen leeghalen”, waarschuwt Wolfsen.

AP onderzoekt slechts handjevol datalekken

Waar de bestuursvoorzitter zich aan stoort, is dat veel partijen data vaak te lang bewaren. Hij doet daarom een beroep op het bedrijfsleven om kritisch te kijken naar de hoeveelheid persoonsgegevens die ze bijhouden. “Wat je niet opslaat, kan ook niet worden gestolen. Veel schade kun je zo gemakkelijk voorkomen.”

Van de bijna 25.000 datalekmeldingen van afgelopen jaar, zijn er zo’n 7.000 bestempeld als een hoog risico. Naar 36 incidenten heeft de Autoriteit Persoonsgegevens een onderzoek ingesteld. Dat komt neer op 0,5 procent van alle datalekken met een hoog risico. 14 daarvan waren gericht op ICT-dienstverleners.

‘Genoodzaakt om keuzes te maken’

Wolfsen grijpt de gelegenheid aan om te benadrukken dat de toezichthouder te weinig middelen heeft om alles te onderzoeken. “Het is met ons budget en onze bezetting onmogelijk om iedere melding met een hoog risico grondig te onderzoeken. We zijn genoodzaakt om keuzes te maken.”

De bestuursvoorzitter vraagt het kabinet al jaren om meer geld. Daar geeft de overheid gehoor aan. Dit jaar krijgt de privacywaakhond er 2 miljoen euro extra bij, bovenop de huidige 25 miljoen euro. In 2023 en 2024 wordt het budget van de Autoriteit Persoonsgegevens met respectievelijk 4 en 6 miljoen euro verhoogd. Vanaf 2025 krijgt de toezichthouder er structureel 8 miljoen euro bij.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen