Technologie25 mei '22 06:08Aangepast op 25 mei '22 14:33

Toezichthouder: explosieve stijging datalekken door cyberaanvallen

Auteur: BNR Webredactie

Het aantal gemelde datalekken door cyberaanvallen neemt explosief toe. De Autoriteit Persoonsgegevens kreeg vorig jaar 2210 meldingen dat gegevens van mensen waren buitgemaakt door een digitale aanval. Dat is 88 procent meer dan een jaar eerder. De stijging kan deels komen doordat gedupeerde organisaties sneller melden, maar de privacywaakhond maakt zich grote zorgen.

'Vorig jaar hebben we de noodklok geluid toen het aantal meldingen met 30 procent steeg. Het jaar ervoor was de toename 25 procent. Dit jaar komen we woorden tekort', zegt Dennis Davrados, coördinator datalekken van de toezichthouder voor privacy.

Volgens de autoriteit richten kwaadwillenden zich steeds vaker op IT-leveranciers. Dat zijn bedrijven die softwarediensten leveren aan kleine ondernemers, zodat die zulke programma's niet zelf hoeven te laten bouwen. Op zulke plekken komen veel persoonlijke gegevens van burgers samen, en die zijn voor criminelen goud waard. 'Deze gegevens zijn te vaak niet goed beveiligd. Daarbij speelt naïviteit een rol', zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. 'Ondernemers vertrouwen op de IT-leveranciers. Maar het is wel belangrijk om te checken of iemand echt specialist is. Vraag daar ook naar.'

Vorig jaren waren er 28 datalekken bij zulke IT-leveranciers. Dat leidde tot 1800 meldingen van getroffen gebruikers. 'Hierbij zijn naar schatting minimaal 7 miljoen slachtoffers getroffen. Omdat niet alle datalekken aan de AP worden gemeld, zijn dit er waarschijnlijk veel meer', aldus de toezichthouder.

Slachtoffers niet ingelicht

Na een datalek worden burgers vaak niet of pas heel laat geïnformeerd, constateert de autoriteit. In de tussentijd kunnen zij zich niet beschermen. 'Als een bedrijf wordt platgelegd, is het eerste gevoel: we moeten het bedrijf weer aan de praat krijgen.' Maar volgens Wolfsen kan er in die tussentijd al data gestolen zijn. 'Bijvoorbeeld als het gaat om wachtwoorden, dan is het belangrijk dat degenen van wie de gegevens gestolen zijn, snel worden geïnformeerd.' Dat gebeurt nu nog te vaak niet, merkt Wolfsen op.

Lees ook | 'Gemeenten leven privacywet belabberd na'

In totaal kreeg de toezichthouder vorig jaar bijna 25.000 meldingen van datalekken. Dat aantal is vergelijkbaar met de jaren ervoor. Bij die meldingen gaat het niet alleen om de aanvallen door criminelen, maar ook om instanties die zelf een fout maken, bijvoorbeeld door een brief aan een verkeerde persoon te sturen of door bij een massamail de adressen van de ontvangers niet goed af te schermen.

Met veel datalekken wordt niks gedaan

In de meeste gevallen blijft het bij de melding: 17.840 datalekken waren zo klein dat de Autoriteit Persoonsgegevens er verder niets mee deed. Iets meer dan 7000 gevallen zitten een stap hoger, daar houdt de Autoriteit 'verdiepend toezicht'. De dienst kijkt dan niet alleen wat er is gebeurd, maar ook wat een getroffen organisatie doet om herhaling te voorkomen. In 36 gevallen besloot de toezichthouder vorig jaar om een onderzoek te beginnen. Dat kan uiteindelijk leiden tot een boete of een andere straf. Hoeveel van die onderzoeken nu nog lopen maakt de organisatie niet bekend.

Lees ook | Kritiek op algoritmes door AP neemt toe

Aanpak

Bij de beslissing hoe een organisatie wordt aangepakt, speelt het verleden ook mee. 'Dat je een keer struikelt, oké, dat kan gebeuren. Dat je een tweede keer struikelt, dat kan ook nog. Maar bij de derde keer gaan we vragen of je wel goede schoenen aan hebt', aldus Özlem Sehirli-Kaya, hoofd van de onderzoeksafdeling van de autoriteit.

Gerelateerde artikelen