Nederlandse bedrijven hebben vermoedelijk 18.500 datalekken niet gemeld

Volgens onderzoek meldt maar een derde van de bedrijven met dertig of meer medewerkers datalekken. Zo'n 41 procent doet dat niet en 26 procent zegt niet te weten of het gedaan is. Volgens het onderzoek waren er vorig jaar zo'n 24.000 lekken, bij de AP zijn 5500 lekken gemeld.

Onderzoeksbureau Pb7 Research voerde het onderzoek uit bij 310 Nederlandse bedrijven, in opdracht van Kaspersky Lab. De respondenten gaven in het onderzoek aan hoe ze omgaan met datalekken. Meer dan de helft van de ondervraagden heeft te maken gehad met een of meerdere lekken. Volgens het bureau zijn er in Nederland ruim 23.000 bedrijven met dertig of meer medewerkers. Veel van de ondervraagde bedrijven hebben te maken gehad met meerdere datalekken en zodoende komt het onderzoeksbureau uit op een totaal van 24.000 datalekken.

Bedrijven die toegeven dat er een datalek niet is gemeld, zeggen veelal dat te doen omdat de impact van het lek beperkt of onduidelijk is. Op de tweede plaats komt angst voor reputatieschade. Ook zegt 15 procent geen melding te doen om verder misbruik van het datalek te willen voorkomen.

Het verlies van apparatuur zoals laptops, pc's of smartphones is de voornaamste oorzaak van datalekken. Verlies van informatiedragers zoals usb-sticks en cd-roms komt op de tweede plaats. Daarna komen diefstal van apparatuur en informatiedragers, en datadiefstal door eigen medewerkers. Datalekken komen volgens de bedrijven relatief weinig voort uit de gevolgen van een hack of besmetting met ransomware. In 13 procent van de gevallen worden die oorzaken opgegeven.

De Autoriteit Persoonsgegevens maakte eind december bekend dat er 5500 meldingen binnen zijn gekomen gedurende 2016. Voordat de meldplicht actief werd, maakte het ministerie van Veiligheid en Justitie nog een schatting dat er in een jaar tijd 60.000 meldingen werden verwacht, al is dat later om onduidelijke redenen bijgesteld naar 6000 meldingen.

Een woordvoerder van de Autoriteit Persoonsgegevens laat aan Tweakers weten dat het onderzoek het vermoeden dat organisaties datalekken niet melden, onderschrijft. Dat vermoeden sprak de autoriteit in mei vorig jaar voor het eerst uit.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 01-02-2017 17:1728

01-02-2017 • 17:17

28 Linkedin

Lees meer

Autoriteit Persoonsgegevens ontvangt 21.000 meldingen van datalekken in 2018 Nieuws van 29 januari 2019
Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken Nieuws van 29 maart 2018
Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS Nieuws van 19 juni 2017
Autoriteit Persoonsgegevens waarschuwt voor hogere boetes en strenger beleid Nieuws van 12 juni 2017
Google verwijdert vaak alsnog zoekresultaten na weigering Nederlandse verzoeken Nieuws van 12 mei 2017
Beveiliging persoonsgegevens gemeente Rotterdam schiet ernstig tekort Nieuws van 24 maart 2017
Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit Nieuws van 15 maart 2017
Honderden Brabanders zagen belastinggegevens enkel persoon in door ict-fout Nieuws van 20 februari 2017
Lek in Kamernet gaf toegang tot 1,3 miljoen privéberichten Nieuws van 6 februari 2017
'Helft datalekken gemeenten niet gemeld aan Autoriteit Persoonsgegevens' Nieuws van 28 januari 2017
Bijna 5500 datalekken gemeld bij Autoriteit Persoonsgegevens Nieuws van 28 december 2016
Autoriteit Persoonsgegevens vermoedt dat organisaties datalekken niet melden Nieuws van 13 mei 2016
Meer producten en artikelen
Bedrijfsnieuws Netwerk en systeembeheer ACM Datalek

Reacties (28)

-Moderatie-faq
28
27
15
2
0
11
Wijzig sortering
Biogi
1 februari 2017 17:30
Ik snap niet waarom dit niet gemeld wordt. Het enige wat vervelender is dan een lek hebben is dat deze misbruikt wordt. Neem gewoon tijdig actie en dicht het. Daarnaast zorg je als bedrijf toch dat je hardware beveiligd wordt op een dermate manier dat deze op afstand te wissen is.

[Reactie gewijzigd door Biogi op 1 februari 2017 17:31]

BoringDay
@Biogi1 februari 2017 17:35
Misschien dat de overheid zelf eerst een goed voorbeeld moet geven
http://www.nu.nl/politiek...stig-beveiligingslek.html

Bovendien wat zijn de richtlijnen, wanneer is iets lek en wanneer is iets in gevaar.
densoN
@BoringDay1 februari 2017 18:17
De richtlijnen m.b.t. meldplicht en definitie datalek staan uitgebreid beschreven.

https://autoriteitpersoon...ldplicht_datalekken_0.pdf
bassiez1987
@densoN1 februari 2017 23:28
Dit zijn alleen meldingen onder de Wbp. Er zijn ook meldingsplichten opgenomen in bijvoorbeeld de Wft en de telecommunicatiewet.
Lennardnl
@Biogi1 februari 2017 17:39
Daar zijn tal van redenen voor:
- melding brengt reputatieschade met zich mee
- melding kan een boete van de AP ten gevolge hebben
- melding brengt veel kosten met zich mee (informeren van de klant, alle vragen n.a.v. het datalek beantwoorden kost een boel support-tijd)

Daar tegenover staat dat de kans op ontdekking van het niet-melden van een lek vaak klein is.
Hier een artikel uit het FD waarin het massale niet-melden enkele maanden terug al voorspeld werd:
https://fd.nl/economie-po...rime-is-vaak-verstandiger
tinzarian
@Lennardnl1 februari 2017 18:16
Allemaal onzin redenen.
- de melding is niet publiek
- niet melden kan een grotere boete opleveren
- het hoeft lang niet altijd aan de betrokkenen gemeld te worden
bassiez1987
@tinzarian1 februari 2017 23:43
Dat is wel wat stellig:
- dat de melding niet publiek is wil niet zeggen dat het datalek niet naar buiten komt. Bedrijven hebben zich ook vaak contractueel gebonden om dit soort meldingen aan één of meer derden te melden;
- dat is waar, maar bij heel veel datalekken is de kans op ontdekking door de AP zo klein, dat dit voor veel bedrijven een economisch rendabele gok is;
- dat klopt, maar het is niet langer in je eigen handen. bedrijven kunnen niet voorspellen wat de AP van hen zal verlangen.
tinzarian
@bassiez19871 februari 2017 23:52
Je eerste punt heeft niks te maken met de AP-melding, en alle drie punten zijn typisch gedrag van bedrijven waar je niks mee te maken moet willen hebben

Sowieso zou het goed zijn als Kaspersky de lijst van bedrijven die niet melden openbaar zou maken, zodat je als consument weet welke bedrijven je moet vermijden omdat ze hun eigen belang en imago belangrijker vinden dan (de persoonsgegevens van) hun klanten.
killerbie
@Biogi1 februari 2017 17:31
Ik vermoed dat vele bedrijven zolang er geen misbruik wordt gebruikt van hun lek de tijd nemen om het te herstellen. Indien ze het meteen zouden melden kan er wel eens misbruik optreden alvorens het hersteld is gok ik.
tinzarian
@killerbie1 februari 2017 18:15
Dat is een kulargument. De melding is niet publiek, anders dan de AP hoeft niemend te weten dat er een datalek geweest is. Behalve eventueel degenen van wie er gegevwens gelekt zijn
killerbie
@tinzarian1 februari 2017 19:09
Stel dat tussen degenen vanwie er data gestolen is ook maar 1 iemand zit met de vaardigheden om als tegenreactie nog meer gegevens te stelen.. Probleem dus. Ook al is de kans miniem.
tinzarian
@killerbie1 februari 2017 21:28
Het zal wel aan mij liggen maar ik heb geen flauw idee wat je probeert te zeggen en hoe dat relevant is.
rkeet
@tinzarian2 februari 2017 12:12
Privilege escalation als ik het zo lees. Bijv: ik heb mij toegang verleend tot systeem XX met gevonden DB gegevens, via de DB user weet ik mij toegang tot een server user te verschaffen, vanuit daar heb ik weer toegang tot alles op de server (want uiteraard is het de root user).

Bovenstaande ter groffe illustratie.

Maar gezien je actieve posts @tinzarian over dat men verplicht en altijd een lek moet melden. Heb je dan ook wat bronnen om mensen die jouw berichten lezen het leven gemakkelijker te maken, zoals misschien een (enkel!) centraal punt waar zo super duidelijk beschreven staat wat een lek is dat we er ook een echte definitie aan kunnen hangen? (Dus niet meer dan 1, zoals: wbp, wft, telecomwet, whatever else)

En als een lek gevonden wordt door devs (zeg een webbureau), die checkt voor gegevens misbruik, vind dat niet en dicht daarnaast het lek. Vind je dat het dan ook gemeld moet worden/had moeten zijn?

En als een lek wordt gevonden door een derde partij (laten we "white hat") aannemen. De bouwer/hoster/eigenaar wordt geinformeerd, lek wordt zonder misbruik gedicht, had dit dan ook weer gemeld moeten worden?

Ik vraag het vanwege je tal van reacties hierboven en ik nieuwsgierig ben waarom iemand zo strikt een praktijk van je medemens aangeven zou willen hanteren zonder hiervoor een duidelijke beredenering te geven anders dan "ja maar, dat moet"...
tinzarian
@rkeet2 februari 2017 18:09
Ik zeg helemaal nergens dat een lek "altijd verplicht" gemeld moet worden. Ik geef alleen maar aan dat de genoemde argumenten geen goede reden zijn om niet te melden.
En ik zie nog steeds niet hoe killerbies tekst en ook jouw voorbeeld ook maar iets te maken heeft met het wel of niet melden van een datalek bij de AP.

Wat een datalek is en wanneer er wel of niet gemeld moet worden staat keurig beschreven in de richtsnoeren waar densoN naar gelinkt heeft

[Reactie gewijzigd door tinzarian op 2 februari 2017 18:09]

niki_lauda
@killerbie1 februari 2017 21:47
Zoals ik vorige week al schreef.
niki_lauda in 'nieuws: 'Helft datalekken gemeenten niet gemeld aan Autoriteit...

Gaan we dit dan ook voor bedrijven doen? Want ik denk dat we van bedrijven nog veel minder datalekken horen omdat die nog meer onder de pet houden.

[Reactie gewijzigd door niki_lauda op 1 februari 2017 21:58]

Dograver
@Biogi1 februari 2017 18:21
Het hoeft niet zo zeer een lek te zijn waarbij data op straat kan komen te liggen. Verlies van data door Cryptolockers icm geen of slechte back-ups valt daar ook onder.

[Reactie gewijzigd door Dograver op 1 februari 2017 18:22]

jpsch
@Biogi1 februari 2017 18:31
Overheid geeft het slechte voorbeeld en juristen raden het af.

https://fd.nl/economie-po...rime-is-vaak-verstandiger
ArtGod
1 februari 2017 17:36
Als je een versleutelde USB stick verliest met veel persoonlijke gegevens er op moet je dit dan ook melden?
Soldaatje
@ArtGod1 februari 2017 17:44
Indien u passende technische beschermingsmaatregelen heeft genomen waardoor de
persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder
die geen recht heeft op kennisname van de gegevens, dan kunt u de melding aan de
betrokkene achterwege laten (artikel 34a, zesde lid, Wbp)
Dus je hoeft het niet direct te melden aan de personen die op de usb-stick staan, maar wel altijd aan de AP. Die kan dan vervolgens besluiten dat je alsnog melding moet doen aan de betrokkenen.

https://autoriteitpersoon...ldplicht_datalekken_0.pdf (pag. 33, 7.2)
Lennardnl
@ArtGod1 februari 2017 17:44
De meldplicht is terug te vinden in artikel 34a lid 1 Wet bescherming persoonsgegevens:

'De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.'

In art. 13 staat dat je de gegevens met 'passende technische en organisatorische maatregelen' moet beveiligen.

Wanneer je de gegevens goed hebt versleuteld, is er geen 'aanzienlijke kans op ernstige nadelige gevolgen' en lijkt het me heel goed pleitbaar dat een melding achterwege kan blijven.
Rubixd
1 februari 2017 17:33
''Het verlies van apparatuur zoals laptops, pc's of smartphones is de voornaamste oorzaak van datalekken. Verlies van informatiedragers zoals usb-sticks en cd-roms komt op de tweede plaats. Daarna komen diefstal van apparatuur en informatiedragers, en datadiefstal door eigen medewerkers. Datalekken komen volgens de bedrijven relatief weinig voort uit de gevolgen van een hack of besmetting met ransomware. In 13 procent van de gevallen worden die oorzaken opgegeven.''

Deze opsomming gaat vooral over offline lekken. Lees ik er nou overheen? Volgens mij gebeuren de meeste lekken van gegevens toch online. Iemand die dat weet?
Lennardnl
@Rubixd1 februari 2017 17:41
Volgens mij heeft de AP daar (nog) geen cijfers over openbaar gemaakt.
Wat ik wel weet is dat het begrip 'datalek' veel meer is dan het typische datalek (gehackte database) waar wij Tweakers al snel aan denken.

De AP definieert het als volgt:
'Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.'
Het kan dus zelfs gaan om de diefstal van papieren met gegevens bij een papiervernietigingsbedrijf, maar ook om e-mails die aan de verkeerde persoon zijn verstuurd, brieven met een foutieve adressering, enzovoorts.
Rubixd
@Lennardnl2 februari 2017 09:25
Oke duidelijk
Kasparov
1 februari 2017 18:23
Ik heb zelf vorig jaar een email met financiële gegevens naar een verkeerd persoon gestuurd.
Had van een klant telefonisch zijn emailadres een keer gehad, maar hij had een foutje gemaakt in het doorgeven en de email kwam dus bij iemand anders terecht.
Gelijk intern gemeld (zo iets moet namelijk binnen iets van 48 uur na ontdekking gemeld zijn) en juridische zaken heeft dit direct opgepakt door het te melden en natuurlijk door dit richting klant en verkeerde afzender op te pakken.

Het vraagt wel van de medewerkers dat ze dit melden, ik verwacht dat diverse van mijn collega's het namelijk niet gemeld zouden hebben puur omdat ze daar niet over na zouden denken.
starwars77
1 februari 2017 17:34
Black hat hacking is maar 13%, pfff we zijn veilig! ;)
nopcode
1 februari 2017 22:54
Dat gaat leuk worden wanneer GDPR in trede gaat :9
tinzarian
@nopcode2 februari 2017 23:51
Want? Zoveel verandert er onder de AVG niet met betrekking tot datalekken en het melden daarvan.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee