Driekwart van Alle Organisaties Verwacht een Datalek in 2022

Bij een datalek komen persoonlijke gegevens van doorgaans grote groepen mensen in verkeerde handen. Vaak gaat het om een gerichte aanval van cybercriminelen die een kwetsbaarheid hebben gevonden in de digitale beveiliging van organisaties. In andere gevallen kan het datalek ook intern ontstaan, omdat een medewerker onzorgvuldig omging met de beveiliging van deze gegevens. Wat de oorzaak ook is, organisaties zijn sinds 2016 verplicht om melding te maken van een datalek.

Meldingen

In 2016 trad de AVG ofwel Algemene Verordening Gegevensbescherming in werking. Deze wet schrijft voor dat organisaties alle nodige maatregelen moeten treffen om de gegevens van klanten, medewerkers en leveranciers te beschermen. Deze verplichting geldt voor de hele Europese Unie, al wordt er in Europees verband gesproken van de GDPR. Alle organisaties zijn dus verplicht om hun digitale beveiliging te optimaliseren om te voorkomen dat persoonlijke gegevens in onbevoegde handen vallen.

Nog voordat de AVG van kracht werd, bestond er al een meldplicht datalekken. In geval van een datalek moeten organisaties daarvan melding maken bij de Autoriteit Persoonsgegevens (AP). In het eerste jaar ontving de AP bijna 5.500 meldingen. Vooral organisaties binnen de financiële dienstverlening, de sector gezondheidszorg en gemeenten bleken gevoelig voor datalekken. In 2021 is het totale aantal meldingen gestegen naar 25.000. Bij 9% van de datalekken ging het om een cyberaanval. Opvallend is dat de aandacht van cybercriminelen verschoven is naar IT-leveranciers.

Verwachtingen

Veruit de meeste organisaties krijgen dus vroeg of laat wel een keer te maken met een datalek. Ondanks het nemen van preventieve maatregelen, verwacht 76% van alle organisaties wereldwijd dat ze er dit jaar nog mee te maken zullen krijgen. Een derde van de respondenten gaf aan dat ze in de afgelopen 12 maanden gemiddeld zeven keer slachtoffer zijn geworden van een geslaagde cyberaanval. De meest voorkomende methodes die cybercriminelen gebruiken, zijn phishing, malware, ransomware, botnets en DDoS-aanvallen.

Voorbeelden

De kans is dus erg groot dat ook jouw persoonlijke gegevens al betrokken zijn geweest bij een datalek. Heb je ooit online een kaartje gekocht voor bijvoorbeeld de dierentuin of een pretpark? Dan ben je misschien één van de anderhalf tot twee miljoen mensen van wie de persoonsgegevens in handen zijn gekomen van cybercriminelen. Een medewerker van het online reserveringssysteem Ticketcounter heeft de gegevens van deze mensen per abuis op een onbeveiligde server bewaard. Een hacker heeft deze gegevens uiteindelijk gestolen en gedreigd ze op het dark web te verkopen. Ticketcounter zou dit alleen kunnen voorkomen door een grote som losgeld te betalen en dat heeft het bedrijf geweigerd.

Ook bij de GGD ontstond nog niet zo lang geleden een datalek. Duizenden medewerkers hadden toegang tot onder meer de BSN-nummers en medische gegevens van iedereen die zich had laten testen of benaderd was voor een bron- en contactonderzoek. Van 1.250 mensen werden deze gegevens zelfs doorverkocht. Ook autobezitters bleven niet gespaard door het immense datalek bij RDC. En de gegevens van duizenden sollicitanten konden relatief eenvoudig gekopieerd worden door hackers als gevolg van een datalek bij softwarebedrijf Homerun.

Maatregelen

Je kunt weinig controle uitoefenen op hoe organisaties met hun digitale beveiliging omgaan. Maar dat neemt niet weg dat je zelf ook stappen kunt ondernemen om je online privacy en veiligheid te beschermen. Het inschakelen van een VPN is dan een goed begin omdat je daarmee een veilige en versleutelde internetverbinding tot stand brengt. Met NordVPN kun je erop vertrouwen dat niemand je online activiteiten kan volgen, dankzij de zero-log policy. Verder is het cruciaal om voor al je accounts een sterk en uniek wachtwoord te kiezen. Gebruik bij voorkeur multifactorauthenticatie om in te loggen. Update regelmatig je antivirussoftware en klik nooit zomaar op een downloadlink.