Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken

De Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens begon vorig jaar aan 635 onderzoeken naar datalekken bij bedrijven en overheden. Dat blijkt uit cijfers van de toezichthouder. Het aantal meldingen lag veel hoger.

De AP begon veel van die onderzoeken naar aanleiding van een melding, maar soms begon de toezichthouder ook zaken te onderzoeken die de betrokken bedrijven of overheidsinstanties zelf niet hadden gemeld, zegt de AP.

In totaal kwamen er in 2017 10.009 meldingen binnen van datalekken. Het aantal meldingen nam toe met zeventig procent, want in 2016 ging het om 5849 meldingen. De AP vermeldt geen oorzaak van de forse stijging.

Bij 47 procent van de vermeldingen gaat het om gegevens die naar een verkeerde ontvanger zijn gestuurd. Verloren of gestolen hardware, zoals laptops en usb-sticks, vormde 15 procent van de meldingen. De meeste meldingen kwamen van organisaties uit de zorgsector.

Sinds een paar jaar zijn bedrijven en organisaties verplicht om een melding te doen als zij te maken krijgen met een datalek. Die meldplicht datalekken geldt vanaf dit voorjaar niet alleen in Nederland, maar door nieuwe regels in de hele Europese Unie.

Door Arnoud Wokke

Redacteur mobile

29-03-2018 • 13:06

24 Linkedin Google+

Reacties (24)

Wijzig sortering
De oorzaak van de stijging is duidelijk volgens mij: alle grote bedrijven maken zich klaar voor de nieuwe GDPR wetgeving en hebben daardoor nu voor het eerst interne procedures voor het melden van incidenten ipv ze onder het kleed schuiven.

Elk groot bedrijf heeft ongeveer 1 groot incident per maand (laptop medewerker gestolen, autorisatie fout in de gebruikte software, et cetera). Als je een leverancier hebt die nooit iets meldt, weet je straks zeker dat hij liegt.

[Reactie gewijzigd door BCC op 29 maart 2018 13:42]

Een groot incident? Als je een gestolen laptop een groot incident noemt... De meeste grote bedrijven hebben wekelijks (zo niet dagelijks) te maken met gestolen laptops. Als het goed is zijn deze beveiligd dmv Bitlocker oid dus zou het niet zo spannend moeten zijn. Grote incidenten ontstaan vaak door medewerkers die papieren en USB-sticks met gevoelige bedrijfs/persoonsdata in hun auto achterlaten. Dan heb je pas echt een probleem.
USB sticks moeten standaard ook versleuteld worden, liefst met Truecrypt.
Seriously, USB stick? Al 5 jaar niet aangeraakt...
Als die gestolen laptop volledig geëncrypteerd is, moet je dat dan ook melden?
Ja, bij de toezichthouder wel. Je hoeft de slachtoffers niet te informeren als er adequate encryptie is gebruikt.
Je hoeft niet altijd bij de AP (toezichthouder) een datalek te melden.

Alleen als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming
van persoonsgegevens dan dient dit gemeld te worden. Dit is aan de organisatie zelf om te bepalen of dit zo is.

Stonden er gevoelige persoonsgegevens op de laptop?
Kunnen deze persoonsgegevens leiden tot nadelige gevolgen voor de betrokkene?

Als je op 1 van deze 2 vragen 'Ja' als antwoord kunt geven, dan dien je dit als datalek te melden bij de AP.
Dat klopt, maar mijn punt was dat het daarbij niet uitmaakt of de persoonsgegevens encrypted zijn. Ook dan moet het gemeld worden als aan de overige eisen is voldaan. En onder de AVG Is het criterium iets lager: melden tenzij het onwaarschijnlijk is dat er énig risico zal optreden (artikel 33 lid 1 AVG).
In ieder geval het incident registeren. Of je moet melden is afhankelijk van je plek in de keten en je eigen inschatting. Waarschijnlijk wil je het wel melden aan je klant, als er bijvoorbeeld gecrypte klantdata op stond van die klant. Je klant moet dan zelf de inschatting maken of hij/zij melding doet bij het AP.

[Reactie gewijzigd door BCC op 29 maart 2018 13:39]

GDPR heeft veel nieuwe eisen, maar verandert niets aan de meldplicht datalekken die al in de WBP zat.
De boetes worden hoger, maar waren al vrij hoog... het kijkt er eerder op dat er meer media aandacht voor is, waardoor dit soort berichten meer exposure krijgen...

[Reactie gewijzigd door RobbieB op 29 maart 2018 13:56]

Het aantal datalekken is dan ook enorm toegenomen de laatste jaren. De GDPR heeft er aan bijgedragen dat er meer aandacht voor is en gelukkig ook een stukje bewustwording bij personeel als er iets gelekt wordt.

Daarnaast wordt er natuurlijk veel meer data gedeeld waardoor de kans ook toeneemt dat iets fout gaat. Denk ook aan prive smartphones of prive computers met bedrijfsdata erop. Een soort tikkende tijdbom.
Ook toeval. Tref vandaag een geval van datalek aan.. Hoe en wat moet ik ergens melden met offline data lekken (papieren archief)? Heb een container besteld bij een container bedrijf echter zat er nog inhoud in van het vorige gebruiker/bedrijf... Redelijk groot archief met gevoelige info. Bedrijf die het erin doet is al fout dat hoort niet in bouwafval containers te worden gestort (die gaat er nu vanuit dat er niet meer is)...

[Reactie gewijzigd door RobbyTown op 29 maart 2018 14:17]

Jij moet daar niets mee. Je mág het doorgeven aan het containerbedrijf zodat zij daarna wettelijk verplicht worden dit te melden. Je mag ook de AP bellen, maar met zo'n "signaal" hoeven zij niets te doen. De meldplicht geldt alleen voor verantwoordelijke partijen.
Bij 'datalekken' denk ik aan een grote database met persoonlijke informatie die geheel inzichtelijk was, maar wanneer is iets eigenlijk een 'ernstige datalek'?

Ik heb bij meerdere klantenservices gewerkt voor verscheidene grote bedrijven en meer dan eens meegemaakt dan per ongeluk een factuur naar de verkeerd persoon werd gestuurd. In deze factuur staat dan oa de persoonsgegevens en rekeninggegevens van een andere klant. Ook gaat er wel eens iets missen met het inloggen in een account (dat een klant in een account van een andere klant terechtkomt).

Bovenstaande is een datalek, maar wel een datalek waarbij één klant de gegevens kan inzien van één andere klant. Dit is iets anders dan het verliezen van een hardeschijf met een volledige database.

Worden de datalekken zoals ik heb beschreven ook meegeteld?
Als een datalek gemeld wordt, dan wordt deze meegeteld.
Een bedrijf kan zelf beslissen of jouw beschreven situatie erg genoeg is om extern door te melden.
Bij 47 procent van de vermeldingen gaat het om gegevens die naar een verkeerde ontvanger zijn gestuurd.
We hebben zo ontzettend hard goede encryptie voor e-mail en bestanden nodig dat het niet meer leuk is. Bijna de helft(!) van de lekken zou kunnen worden voorkomen met één verbetering.

Technisch gezien is er best wel wat mogelijk, zoals PGP, S/MIME en nog wat andere standaarden en initiatieven, maar in praktijk worden die nauwelijks gebruikt. Deel van het probleem is dat er een enorm ecosysteem rond e-mail is dat het moeilijk maakt om dingen al te veel te veranderen. Wie een oplossing bedenkt die makkelijk is uit te voeren en voldoende backwardscompatible is om met bestaande systemen te werken kan de wereld een stuk mooier maken.

[Reactie gewijzigd door CAPSLOCK2000 op 29 maart 2018 14:17]

Tja, als je een tikfout maakt in een mailadres is kan het een data-lek zijn, want verkeerde ontvangen. Los je dat op met jouw oplossing?
Ja, want door de data te versleutelen kan de foutieve ontvanger deze niet lezen.
Niet per definitie.
Als je een mail naar 2 personen stuurt (kan ook een cc zijn), en je maakt een fout in 1 van de twee adressen, dan heb je al een datalek, want je stuurt het mailadres van persoon 1 per ongeluk door naar het foutieve adres.
Sinds een paar jaar zijn bedrijven en organisaties verplicht om een melding te doen als zij te maken krijgen met een datalek. Die meldplicht datalekken geldt vanaf dit voorjaar niet alleen in Nederland, maar door nieuwe regels in de hele Europese Unie.
Vanaf 25 mei 2018 om precies te zijn. In België bijvoorbeeld is het momenteel enkel wettelijk verplicht om gegevenslekken in de telecomsector te melden. Vanaf datum verandert er trouwens heel veel omtrent privacy (GDPR).
En wat heeft het opgeleverd?
Alleen wat nummertjes?

[Reactie gewijzigd door sjhgvr op 29 maart 2018 13:13]

Misschien nu nog niet, maar met de aankomende AVG (die op 25 mei van kracht wordt) mag de AP zelf ook hoge boetes opleggen, bijvoorbeeld zoveel procent van de jaaromzet. Met bijvoorbeeld 10.000 euro per dag dat er iets niet gedaan wordt wat wel is opgelegd. Bron: iemand van AP waarmee ik aan de telefoon heb gezeten.

[Reactie gewijzigd door AnonymousWP op 29 maart 2018 13:34]

Inzicht? Meer aandacht bij de bedrijven (ook die niet melden)?
Er zijn al meer dan 1 miljoen zzp'ers.

Dus dat aantal is niet eens druppel op gloeiende plaat.

Maar goed niet gek lang geleden hadden ze maar 2 auditors... "het gaat de goede kant op"

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True