Datadiefstal was vorig jaar het grootste probleem en zal dat dit jaar waarschijnlijk ook zijn. De Autoriteit Persoonsgegevens (AP) meet een explosieve toename van datadiefstal. Met name het aantal hacks gericht op buitmaken van persoonsgegevens is een groot probleem. Dat blijkt uit de ‘Rapportage Datalekken 2020’ die AP-voorzitter Aleid Wolfsen vandaag naar de Tweede Kamer stuurde.
Het aantal meldingen steeg in 2020 met maar liefst 30% ten opzichte van vorig jaar. Datadiefstal is vaak te voorkomen door een betere beveiliging. Daar roept de Autoriteit dan ook voor op.
De meldingen van hacking, phishing of malware zorgen dat persoonsgegevens steeds vaker het doelwit zijn van criminelen. Het AP noemt dat zeer verontrustend. Want door diefstal van persoonlijke, en vaak gevoelige, informatie kunnen mensen veel schade ondervinden. Bijvoorbeeld als criminelen de persoonsgegevens gebruiken voor identiteitsfraude of oplichting. Dergelijke oplichting kan mensen jarenlang achtervolgen en de schade kan tot in de duizenden euro’s lopen.
Hackers
Criminelen gaan zeer geraffineerd te werk. Ze hebben vooral organisaties die veel persoonsgegevens verwerken in het vizier. Steeds vaker ontstaat daar een datalek doordat criminele hackers al langere tijd in een netwerk aanwezig zijn voordat ze toeslaan. De criminelen gebruiken deze tijd om het netwerk van de organisatie te verkennen en in kaart te brengen. Ze proberen om meer bevoegdheden te krijgen in het netwerk, bijvoorbeeld door ‘systeembeheerders-rechten’ te verwerven. Daarna stelen ze persoonsgegevens of voert men een ransomware-aanval uit.
In 2020 ontving de AP maar liefst 1.173 meldingen van datadiefstal waarbij hacking, malware of phishing werd ingezet om persoonsgegevens te stelen. Dit is een stijging van 30% ten opzichte van 2019. Opnieuw een stijging, want in 2019 namen dit soort meldingen ook al met 25% toe. Door tekort aan personeel en budget kan de AP slechts bij een beperkt deel van de gemelde datalekken in actie komen.
Meerfactorauthenticatie
Naar schatting zijn er in 2020 tussen de 600.000 en 2.000.000 personen getroffen door een datalek waar slechts één stap nodig was om in te loggen. Vaak zijn complete systemen beveiligd met slechts één wachtwoord. Vooral bij datalekken door hacking, malware of phishing had ‘meerfactorauthenticatie’ de schade vaak kunnen beperken of voorkomen. Bij meerfactorauthenticatie moet een persoon of systeem op minimaal twee verschillende soorten inloggen om toegang te krijgen. Bijvoorbeeld met een wachtwoord én met een code die je per sms ontvangt.
Wolfsen: “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meerfactorauthenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”
Werkwijze verbeterd
Behalve de explosieve groei van het aantal datadiefstallen bij datalekken, is het totaal aantal datalekmeldingen (24.000) gedaald ten opzichte van 2019 (27.000). Dit aantal bestaat vooral uit incidenten zonder kwade opzet. De daling (11%) komt doordat incassobureaus hun werkwijze hebben verbeterd, waardoor er minder betalingsherinneringen bij verkeerde ontvangers terechtgekomen.
Lees ook:
- Registratiesysteem GGD snel vervangen geeft minder zicht op virus
- We moeten heroverwegen hoe we IT consumeren
