+31 544 20 00 02 Bellen [email protected]
Waar bent nu naar op zoek?
Meest gezocht op:

Een datalek

Datalekken komen geregeld voor en halen steeds vaker het nieuws. Zo was er recent een groot datalek bij een reserveringsysteem van dierentuin en pretparken maar ook bij de systemen van de GGD. Vorige week vond het grootste Nederlandse datalek ooit plaats bij een bedrijf dat ICT-diensten aanbiedt aan autobedrijven. Daarbij zijn privé-gegevens van miljoenen Nederlanders in handen gevallen van criminelen.

Wat is een datalek, hoe ontstaat het en welke maatregelen kunt u nemen?

Persoonsgegevens

Organisaties verwerken gegevens van personen, deze zijn soms vertrouwelijk of gevoelig. Persoonsgegevens zijn gegevens die te herleiden zijn naar een individu. Voorbeelden hiervan NAW-gegevens maar ook telefoonnummer, e-mailadres of zelfs een schoenmaat. Gevoelige gegevens zoals medische gegevens moeten extra beschermd worden.

Voor de Algemene verordening gegevensbescherming (AVG) dient een organisatie passende maatregelen te nemen om persoonlijke gegevens te beschermen en om datalekken te voorkomen. Beveiligen van persoonsgegevens kan door het nemen van twee soorten maatregelen, dit zijn technische en organisatorische maatregelen.

Hoe ontstaat een datalek?

De Autoriteit Persoonsgegevens (AP) definieert een datalek als volgt: Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Een datalek kan ontstaan door menselijke fouten of een beveiligingsprobleem, bijvoorbeeld door een hack of cyberaanval. Hierdoor kunnen cybercriminelen toegang krijgen tot zakelijke bestanden die persoonsgegevens bevatten of financiële documenten, bedrijfsgeheime informatie of bedrijfsgevoelige bestanden.

Voorbeelden van een datalek zijn:

  • Een gehackt systeem
  • Verlies of diefstal van een zakelijke laptop of opslagmedium zoals een USB-stick
  • Zakelijke e-mail met vertrouwelijke informatie die naar de verkeerde persoon worden gestuurd
  • Het per ongeluk verwijderen van patiënt- of persoonsgegevens
  • Verlies van documenten of dossiers door een brand

Een dreiging of een beveiligingslek die zou kunnen leiden tot een datalek, is nog geen datalek. Een voorbeeld hiervan is een server zonder wachtwoord. Dit is een potentiële dreiging waar nog geen misbruik van is gemaakt. 

Wachtwoordbeleid dwing sterk wachtwoord af

Grootste Nederlandse lek

Een recent voorbeeld van een datalek trof een bedrijf dat ICT-diensten aanbiedt aan autogarages. Het biedt autogarages de mogelijkheid om hun klanten automatisch te mailen als het weer tijd is voor de APK-keuring. Bij het datalek zijn de privé-gegevens van mogelijk miljoenen Nederlanders in handen zijn gevallen van criminelen. Hoe de data precies is gestolen is nog onduidelijk en wordt onderzocht. Behalve NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedatum. Deze gegevens worden inmiddels te koop aangeboden op hackforums.

Maar op welke manier zijn deze gegevens waardevol voor criminelen? Het doel zit er met name in, dat criminelen u met deze specifieke gegevens doelgerichter kunnen benaderen met spam, phishing of brievenbusfraude. Hoe meer informatie er over een persoon beschikbaar is hoe meer een phishing-aanval afgestemd kan worden op een individu en daarmee geloofwaardiger overkomt voor de ontvanger.

Voorbeelden van maatregelen

Verwerkt u persoonlijke gegevens dan moet u ervoor zorgen dat deze gegevens goed beveiligd worden. U kunt het risico verkleinen door uw gegevens in kaart te brengen met een privacy scan. Zo inventariseert u risico's en bepaalt u de juiste maatregelen. Passende maatregelen verschillen per organisatie en zijn afhankelijk van het type data dat er wordt verwerkt en de manier van werken. 

Voorbeelden van maatregelen kunnen zijn:

  • Encryptie: Maak gebruik van encryptie op harde schijven. Met bijvoorbeeld Bitlocker voor Windows wordt de volledige schijf versleuteld en is data bij verlies of diefstal beschermt. Het is ook mogelijk om databases met persoonsgegevens te versleutelen. 

  • Tweefactorauthenticatie: Inloggen gebeurt vaak met een gebruikersnaam en wachtwoord. Tweefactorauthenticatie voegt hier een extra beveiligingslaag aan toe. Er wordt naast het wachtwoord om een extra verificatie gevraagd. Deze beveiligingslaag geeft extra zekerheid dat de persoon die inlogt ook echt degene is die toegang mag krijgen tot het account

  • Herstelbaarheid: Maak regelmatig externe back-ups en voer ook regelmatig restore tests uit om er zeker van te zijn dat de back-ups compleet zijn en hersteld kunnen worden.

  • Voer updates uit:  Beperken van zwakheden door het uitvoeren van updates en patches binnen het besturingssysteem en applicaties. Een van de belangrijkste maatregelen om computers te beschermen tegen kwaadaardige software is het uitvoeren van de laatste updates. Hiermee worden gevaren zoals virussen, aanvallen of verminderd. Houd naast het besturingssysteem ook de software op servers up to date. Ook in firmware van apparatuur worden met enige regelmaat kwetsbaarheden gevonden en dienen dus regelmatig geüpdatet te worden.

  • Wachtwoordbeleid: Een eenvoudig wachtwoord zoals 123456, password of Welkom01 is sneller te kraken door hackers of kwaadwillende. Een wachtwoordbeleid legt eisen vast waar een wachtwoord aan moet voldoen, zoals het minimale aantal tekens, maximale duur van een wachtwoord of het aantal inlogpogingen. Een wachtwoordbeleid wordt ingesteld om te voorkomen dat er misbruik gemaakt kan worden van een online account.

Daarnaast is het belangrijk om alle medewerkers bewust te maken van het informatiebeveiligingsbeleid en de security awareness continu onder de aandacht te brengen door bijvoorbeeld het vergroten van de phishing awareness.

Meldplicht datalekken

Sinds het ingaan van de AVG (Algemene Verordening Gegevensbescherming) in 2018 zijn organisaties verplicht om een datalek in sommige situaties binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. 

Advies nodig?

Het voorkomen van een datalek is beter dan genezen. Hoe zorgt u ervoor dat uw organisatie niet getroffen wordt door een datalek? Onze IT security experts helpen u graag bij het in kaart brengen van de veiligheidsrisico's en bepalen van passende beveiligingsmaatregelen.

Wij denken met u mee en adviseren u graag. Neem geheel vrijblijvend contact op via +31 544 20 00 02 of vul hieronder uw telefoonnummer in dan bellen wij u terug.

Terug naar overzicht

Betere beveiliging voor uw ICT voorzieningen?

Onze IT security experts adviseren u graag