De grootste oorzaak van datalekken is het versturen van gevoelige gegevens naar de verkeerde persoon. Je stuurt bijvoorbeeld een e-mail naar iemand met dezelfde naam als je bedoelde ontvanger.
Net als in de afgelopen jaren worden de meeste datalekken veroorzaakt doordat persoonsgegevens naar een verkeerde ontvanger gaan. De stijging van het aantal meldingen vanuit de overheid komt hoofdzakelijk door dit type datalek. In 2020 ontving de AP 1.173 meldingen over hacking, malware1 of phishing2-incidenten.
Net als in 2017 was in 2018 het meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (63% van de meldingen). Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend.
Voorbeelden datalekken
Voorbeelden van datalekken zijn: het verlies van een USB-stick met niet-versleutelde persoonsgegevens; een cyberaanval waarbij persoonsgegevens zijn buitgemaakt; een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Have I been Pwned van beveiligings-onderzoeker Troy Hunt is de bekendste site voor het doorzoeken van gelekte gebruikersnamen en wachtwoorden. Na het invullen en verifiëren van je e-mailadres doorzoekt de website de inmiddels enorme database om je te laten zien of je slachtoffer bent geworden van datadiefstal.
Wanneer een ernstig datalek grote schade of impact heeft, kan de AP maatregelen en/of boetes opleggen. Denk hierbij aan het versterken van de beveiligingsmaatregelen. Daarnaast gaat de AP achterhalen hoe het datalek is ontstaan en of het datalek voorkomen had kunnen worden door de AVG na te leven.
We spreken over een datalek als er persoonsgegevens gedeeld, verloren, gewijzigd of vernietigd zijn zonder dat dat de bedoeling was. Dit kan gebeuren door een slechte beveiliging, menselijke fouten of (digitale) inbraak. Hierbij is niet altijd zeker of de gegevens ook daadwerkelijk zijn gelekt naar derden.
Wil je weten of je überhaupt wel eens in een datalek voorbij bent gekomen? Kijk dan op de website haveibeenpwned.com wanneer jouw gegevens zijn gelekt. Je moet hiervoor wel je e-mailadres invullen, dus als je meerdere e-mailadressen gebruikt, kun je het beste voor elk e-mailadres een aparte zoekopdracht doen.
Voorbeelden: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick. Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen op zichzelf nog geen datalek.
Organisaties die persoonsgegevens verwerken zijn verplicht een datalek te melden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen moeten ook de betrokkenen (de personen van wie gegevens worden gelekt) op de hoogte worden gebracht.
Inbreuk op de integriteit: de gegevens zijn onbevoegd of onopzettelijk gewijzigd. Inbreuk op de vertrouwelijkheid: persoonsgegevens zijn onbevoegd of onopzettelijk openbaar gemaakt, of onbevoegden hebben onopzettelijk toegang gekregen.
De AP kreeg in 2021 in totaal 24.866 meldingen van datalekken. Dat is een stijging van 4% ten opzichte van 2020. De AP maakt zich zorgen over de exponentiële stijging van het aantal gemelde cyberaanvallen, dat met 88% is gestegen ten opzichte van 2020.
In 63% van de gevallen betreft het datalek namelijk het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger.
Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd. Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is.
Alle gebruikers kunnen op Have I Been Pwned nu zoeken op een telefoonnummer. Dat werkt net zoals met e-mailadressen. Als het nummer onderdeel uitmaakt van een datalek, wordt dat aangegeven, zonder verdere informatie bekend te maken.
Er is sprake van een datalek wanneer een hacker toegang krijgt tot de database van een service of bedrijf, die privégegevens van gebruikers bevat. Deze gegevens kunnen variëren van gebruikersnamen en wachtwoorden tot burgerservicenummers, adressen en zelfs betalingsgegevens.
Het tonen van honderden e-mailadressen in cc komt neer op het – zonder toestemming – delen van persoonsgegevens, en kan daarmee volgens de AVG-regels kwalificeren als een datalek, aldus algemene informatie op de website van de Autoriteit Persoonsgegevens (AP).
Controleer zo of uw accountgegevens gelekt zijn: Ga naar de site haveibeenpwned.com. Klik op Email or phone (international format). Vul uw mailadres in.
Hoe weet ik of ik gehackt ben? Controleer op https://haveibeenpwned.com/ of je e-mailadres of eventuele andere gegevens zijn buitgemaakt door hackers na een datalek.
De hackers kunnen zich met de gegevens die ze hebben makkelijk voordoen als een werknemer van de woningcorporatie. Mensen drukken volgens Poot namelijk sneller op een link die afkomstig is van een organisatie die ze kennen. Geven de huurders via de mail nog meer gegevens weg, dan hebben ze een groot probleem.
Voorbeelden van persoonsgegevens:
e‑mailadres zoals [email protected]; nummer van identiteitskaart; locatiegegevens (bijvoorbeeld de locatiegegevens op een mobiele telefoon)*; internetprotocoladres (IP-adres);
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.