In de eerste helft van 2024 ontving de Autoriteit Persoonsgegevens al ruim 9,8 duizend keer een melding van een datalek. Het overgrote deel van de meldingen betrof verkeerde adressering van post of e-mail. Maar in 8% van de gevallen was er sprake van cybercrime.[1] De cijfers van de tweede helft van 2024 volgen nog. In dit blogartikel nemen we je mee in een aantal (grote) datalekken uit 2024. Wat zijn nu de risico’s bij zo’n lek en wat kun je daaraan doen?

Gemeente Den Haag
Een datalek ontstaat niet altijd uit een inbraak op een systeem. Ook menselijke fouten kunnen zorgen voor datalekken. De gemeente Den Haag verzond een e-mail rond met daarin de NAW gegevens, geboortedata en telefoonnummers van kinderen die op de wachtlijst voor zwemles staan. Daarnaast kregen 177 mensen gevoelige gegevens over kinderen meegestuurd.

GGD West-Brabant
Een datalek kan ook ontstaan door het aannemen van een persoon met onjuiste kwalificaties. Bij GGD West-Brabant was vier jaar lang een ‘nep-arts’ actief die geen BIG-registratie had maar wel 1.900 kinderen heeft behandeld. Hij heeft daarmee honderden dossiers ingezien terwijl hij geen bevoegdheid had. In dit geval miste de arts de juiste kwalificaties. Daardoor werden onterecht autorisaties toegewezen om dossiers te kunnen zien. Het kan ook voorkomen dat organisaties te brede autorisaties toewijzen aan medewerkers, waardoor ze meer kunnen zien dan noodzakelijk. Dit kan ook al leiden tot een datalek.

Ticketmaster
Een groep hackers heeft persoonsgegevens van 560 miljoen klanten van Ticketmaster buit gemaakt. De gegevens bestaan uit namen, adressen, mailadressen, telefoonnummers, ticketaankopen en creditcardgegevens.

Benieuwd wat voor datalekken er nog meer hebben plaatsgevonden? Op datalek.nl kun je zien waar in Nederland afgelopen jaren een cyberincident en datalek is geweest via de interactieve landkaart.

Veel mensen gebruiken online een combinatie van dezelfde gebruikersnaam/e-mailadres en wachtwoord. Het risico van slachtoffers bij een datalek is dat meerdere accounts gehackt kunnen worden. Daarnaast kan een gelekt e-mailadres grote hoeveelheden spam en phishingmails ontvangen. Dit verhoogt het risico om gehackt te worden.

Als er meer gegevens over een persoon worden buitgemaakt bestaat er een hoger risico op identiteitsfraude. 

Daarnaast hangt het risico af van het type gegevens die worden buitgemaakt. Gegevens over je medische dossier of personeelsdossier kunnen leiden tot een inbreuk op iemands persoonlijke levenssfeer, discriminatie of reputatieschade. Het lekken van financiële gegevens zoals creditcard-gegevens kan leiden tot financiële schade. Iemand kan op jouw kosten online gaan winkelen.

Voor gebruikers:

• Gebruik nooit hetzelfde wachtwoord voor je verschillende accounts en zet Multi-Factor Authenticatie aan.
• Gebruik een lang wachtwoord, hoe langer het wachtwoord, hoe langer het duurt om het te kraken.
• Bang dat je al je wachtwoorden gaat vergeten? Maak gebruik van een password manager.
• Wil jij weten of jouw gegevens een keer zijn buitgemaakt? Check: haveibeenpwnd. Heb je een Google One account? Je kan via de functie Dark Web Controle checken of gegevens van jouw Google-account is gelekt. Je kan hier ook andere adressen toevoegen zoals @outlook.com of type persoonsgegevens zoals woonadres en telefoonnummer.

Voor organisaties:

• Besteed aandacht aan een stuk bewustwording in je organisatie en investeer in awareness trainingen voor medewerkers met betrekking tot Privacy & Security.
• Dwing Multi-Factor Authenticatie af voor je medewerkers en/of klanten.
• Overweeg om een ‘veilig mailen’-module aan te schaffen, hiermee worden e-mailberichten (standaard) versleuteld en kunnen ze worden ingetrokken indien er een e-mail naar onjuiste personen wordt verstuurd.
• Bescherm je systemen en informatie goed. Laat bijvoorbeeld periodiek een pentest uitvoeren om te checken of je organisatie weerbaar genoeg is tegen een aanval van hackers.
• Richt autorisaties van de medewerkers goed in. Beschrijf functies, rollen en rechten, stel een autorisatiematrix op en controleer deze periodiek.
• Herkennen je medewerkers een phisingmail? Laat periodiek een nep-phishing actie uitvoeren om medewerkers te testen.
• In het geval van een datalek: weet hoe je een datalek moet melden en waar. En evengoed belangrijk: weet ook wanneer je betrokkenen moet informeren zodra er een datalek heeft plaatsgevonden bij jouw organisatie.

Verwerkt jouw organisatie veel persoonsgegevens? Ben je benieuwd of deze voldoende goed zijn beschermd? Of wil je gewoon eens even sparren met ervaren privacy of security experts? Ons team heeft uitgebreide ervaring met het ondersteunen van security en privacy onderwerpen in uiteenlopende sectoren en bij landelijk opererende organisaties. We helpen je graag!

Neem vandaag nog contact op met Wilfred Hanekamp, Sanne Eppinga of Floris Meijer voor een persoonlijk adviesgesprek. Je kunt ons bereiken via 0592 – 53 09 53 of via info@afier.com.

---

[1] Bijna 10 duizend meldingen van een datalek | CBS