Het hebben van goede databeveiliging is belangrijk. Dat weet elke CISO. En als je kijkt naar de boetes die vanuit de AVG kunnen worden opgelegd, is het logisch dat steeds meer bedrijven en organisaties de AVG steeds serieuzer nemen. Niemand wil namelijk deel uitmaken van de € 13,754,500 aan AVG-boetes die de laatste jaren in Nederland zijn opgelegd.
Nederland tweede op Europese ranglijst datalekken
Nederland staat bovenaan de lijst als het land met de meeste gemelde gegevensinbreuken. Sinds de AVG verplicht werd, hebben ze 117.434 gegevensinbreuken gemeld. Duitsland staat op de tweede plaats (met 76.967 gemelde gegevensinbreuken), met het Verenigd Koninkrijk (met 49.213 gemelde gegevensinbreuken) als derde.
De boetes die opgelegd kunnen worden zijn flink als je de regels van de AVG niet goed naleeft, de AVG niet serieus neemt of gewoon niet doorhebt dat iets een datalek is. Zo is het al als datalek als je de toegang tot persoonlijke gegevens verliest of gegevens kwijtraakt.
Elk datalek, hoe schijnbaar onschuldig ook, moet gemeld worden bij de Autoriteit Persoonsgegevens. Die kijken onder andere naar de ernst en de impact van het datalek en wat jij of je organisatie hebben gedaan om het te proberen te voorkomen.
Bij ernstige of herhaaldelijke schending kan de Autoriteit Persoonsgegevens een boete opleggen. Om je een idee te geven van wat voor soort datalekken er allemaal zijn, hebben 5 waargebeurde voorbeelden voor je verzameld. Die laten je zien hoe snel een schijnbaar onschuldig foutje een datalek is.
5 voorbeelden hoe eenvoudig datalekken kunnen ontstaan
Hoe snel iets een datalek is, zie je aan de onderstaande 5 voorbeelden. Dit zijn verschillende vormen van een datalek die jou ook kunnen overkomen als je niet de juiste maatregelen hebt genomen.
5 voorbeelden van veelvoorkomende datalekken
1) Het versturen van gegevens naar de verkeerde persoon
De grootste oorzaak van datalekken is het versturen van gevoelige gegevens naar de verkeerde persoon. Je stuurt bijvoorbeeld een e-mail naar iemand met dezelfde naam als je bedoelde ontvanger. Of je tikt een verkeerde initiaal in een e-mailadres of selecteert per ongeluk (of uit haast) de verkeerde persoon in je adresboek.
-
- Het overkwam een medewerker van de gemeente Assen. Die verstuurde een bestand met persoonsgegevens van 530 personen naar het verkeerde e-mailadres. Als je een standaard e-mailprogramma gebruikt krijg je als verzender geen notificatie of waarschuwing als er gevoelige gegevens worden verwerkt.
Als deze medewerker vóór verzending een melding had gekregen dat het e-mailadres niet correct leek, dan had deze fout voorkomen kunnen worden. Een simpele controle op de e-mailadressen van ontvangers kan deze menselijke fout beperken of voorkomen.
2) E-mailadressen van alle ontvangers in de CC
Iedereen die je op CC zet in een email kan alle e-mailadressen zien die in het CC-veld staan. Hiermee maak je dus alle ontvangers in die groep openbaar.
-
-
Dit overkwam de gemeente Venray: een e-mail over de Tijdelijke Overbruggingsregeling Zelfstandig Ondernemers werd verstuurd, met alle 123 ontvangers in de CC. Hoewel een e-mailadres voor sommigen niet meteen als een persoonsgegeven wordt beschouwd, is dat het wel. In dit geval hadden de e-mailadressen voor iedereen afgeschermd moeten blijven.
Dat deze fout zelfs de beste kan overkomen, blijkt wel uit het feit dat zelfs de Autoriteit Persoonsgegevens per ongeluk de cc-knop had gebruikt in plaats van de bcc-knop bij een mailtje aan een groep journalisten.
Leuk detail: de Autoriteit Persoonsgegevens heeft toen bij zichzelf melding gemaakt van dit datalek.
Met een automatische controle van alle ontvangers kun je voorkomen dat gegevens met iedereen in de ontvangersgroep wordt gedeeld. Nog beter: de ontvangers controleren in het aan-, cc- of bcc-veld kan helpen om het bericht op de juiste manier te versturen.
3) Onbeveiligde servers voor het opslaan van data
Cybersecurity houdt niet op bij het veilig versturen on ontvangen van bestanden en gegevens. Alle bestanden en persoonsinformatie moet je ook veilig opslaan.
4) Zwakke wachtwoorden
Online gaan er talloze lijsten rond met veelgebruikte wachtwoorden. Die wachtwoorden worden buitgemaakt bij hacks of door simpelweg heel veel verschillende combinaties te proberen. Met een brute force attack kunnen hackers korte wachtwoorden binnen luttele seconden raden. Hoe langer en ingewikkelder, hoe moeilijker je het ze maakt. Het aanmaken van een sterk wachtwoord is essentieel om jouw gegevens en dat van veilig te houden.
-
- In 2014 was het raak bij Ebay: hackers hadden via inloggegevens van slecht 3 (!) werknemers toegang gekregen tot databases vol met gevoelige gegevens van miljoenen klanten. Daarin stonden onder andere persoonsgegevens en (versleutelde) wachtwoorden. Miljoenen gebruikers van Ebay moesten na ontdekking van dit datalek hun wachtwoorden aanpassen.
Een sterk wachtwoord is enorm belangrijk. Maar nog beter is het als je voor elk account dat je hebt je een uniek sterk wachtwoord gebruikt. Is er ergens een datalek en wordt jouw wachtwoord buitgemaakt? Dan hoef je alleen dat wachtwoord te veranderen. Maar ja, hoe ga je al die unieke wachtwoorden onthouden? Gelukkig zijn daar hele goede wachtwoordmanagers voor.
Naast een wachtwoordmanager is het ook belangrijk om gebruik te maken van 2-factorauthentificatie (2FA) als dat beschikbaar is. 2FA is een extra beveiliging waarmee je verzekert dat jij degene bent die met dat wachtwoord inlogt.
5) Gebrek aan encryptie van data
-
- Wist je dat Nasa zich ook schuldig heeft gemaakt aan gebrek aan encryptie? Bij een audit begin 2022 kwamen ze erachter dat NASA-werknemers onversleutelde e-mails verstuurden met daarin onder andere gevoelige data, persoonlijke identificeerbare informatie en zelfs gegevens van de Internationale Wapenhandelregeling!
Die laatste informatie was zelfs zo waardevol dat die nationale veiligheid van de VS in gevaar zou kunnen brengen. De oorzaak voor deze pijnlijke blunder was dat alleen informatie die een officiële classificatie had gekregen versleuteld werd. Bijna al het andere kon onversleuteld worden verstuurd.
Versleuteling is één ding, maar het ook op de juiste manier toepassen is het tweede. Zero-knowledge end-to-end encryptie is een manier om ervoor te zorgen dat data afgeschermd blijft. Dit geldt zowel voor kwaadwillenden, als ook voor verwerkers van data.