Privacywaakhond: aantal hacks gericht op persoonsgegevens groeide met 30 procent

De Autoriteit Persoonsgegevens meldt dat het vorig jaar beduidend meer meldingen binnenkreeg van hacks gericht op het buitmaken van persoonsgegevens. Het gaat om een stijging van 30 procent ten opzichte van het jaar ervoor.

De privacytoezichthouder meldt in een rapport dat er in 2020 in totaal 1.173 meldingen binnenkwamen van incidenten die samenhangen met hacking, malware of phishing, met als doel het stelen van persoonsgegevens. Dit vormt een stijging van 30 procent en in 2019 was er ook al sprake van een stijging van 25 procent. De toezichthouder spreekt van een 'explosieve toename'.

Het totale aantal datalekmeldingen kwam vorig jaar uit op 23.976. Dat is een daling van zo'n 11 procent: in 2019 werden er 26.956 meldingen van datalekken gemaakt. In 2018 zat dat aantal op 20.881. De daling van 11 procent verklaart de AP door te wijzen op een aanpassing in de werkwijze van incassobureaus. Daardoor zijn er volgens de toezichthouder veel minder betalingsherinneringen bij verkeerde ontvangers beland, waardoor er ook minder datalekken zijn gemeld.

De instantie wijst er verder op dat datadiefstal in veel gevallen is te voorkomen door een betere beveiliging. 'Naar schatting zijn er in 2020 tussen de 600.000 en 2.000.000 personen getroffen door een datalek waar slechts één stap nodig was om in te loggen', schrijft de toezichthouder. Het toepassen van meerfactorauthenticatie zou volgens de organisatie dan ook een belangrijke stap zijn. "Meerfactorauthenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen", zegt AP-voorzitter Aleid Wolfsen.

De Autoriteit Persoonsgegevens erkent dat het slechts bij een beperkt deel van de gemelde datalekken in actie komt. Dat verklaart de toezichthouder door te wijzen op een tekort aan personeel en budget. Drie weken geleden sprak de Tweede Kamer nog de wens uit dat de AP in 2022 moet groeien naar 470 voltijdwerknemers. Momenteel zijn dat 184fte. Het Ministerie van Justitie en Veiligheid concludeerde al dat dat huidige aantal onvoldoende is om alle taken in de toekomst goed uit te kunnen voeren.

Door Joris Jansen

Redacteur

Feedback • 01-03-2021 08:53 21

01-03-2021 • 08:53

21

Lees meer

AP krijgt geen hoger budget, veiligheidsdiensten krijgen 15 miljoen extra
AP krijgt geen hoger budget, veiligheidsdiensten krijgen 15 miljoen extra Nieuws van 21 september 2021
Provincie Gelderland doet aangifte van hack
Provincie Gelderland doet aangifte van hack Nieuws van 21 augustus 2021
E-mail-spoofing was mogelijk bij domein Testen voor Toegang
E-mail-spoofing was mogelijk bij domein Testen voor Toegang Nieuws van 29 mei 2021
Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters
Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters Nieuws van 2 mei 2021
Banken: schade door phishing en telefoonnummerspoofing nam in 2020 sterk toe
Banken: schade door phishing en telefoonnummerspoofing nam in 2020 sterk toe Nieuws van 9 april 2021
Minister wil capaciteit Autoriteit Persoonsgegevens nog niet uitbreiden
Minister wil capaciteit Autoriteit Persoonsgegevens nog niet uitbreiden Nieuws van 2 april 2021
Persoonsgegevens van 18.000 inburgeraars met buitenlands diploma zijn gelekt
Persoonsgegevens van 18.000 inburgeraars met buitenlands diploma zijn gelekt Nieuws van 9 maart 2021
Manutan maakt melding van datalek na ransomware-infectie
Manutan maakt melding van datalek na ransomware-infectie Nieuws van 1 maart 2021
Datalek ticketverkoper dierentuinen en pretparken treft tot 1,8 miljoen klanten
Datalek ticketverkoper dierentuinen en pretparken treft tot 1,8 miljoen klanten Nieuws van 1 maart 2021
Tweede Kamer wil dat Autoriteit Persoonsgegevens ruim verdubbelt in werknemers
Tweede Kamer wil dat Autoriteit Persoonsgegevens ruim verdubbelt in werknemers Nieuws van 9 februari 2021
Autoriteit Persoonsgegevens ontving bijna 27.000 datalekmeldingen in 2019
Autoriteit Persoonsgegevens ontving bijna 27.000 datalekmeldingen in 2019 Nieuws van 6 februari 2020
Autoriteit Persoonsgegevens krijgt meer meldingen van gemeentelijke datalekken
Autoriteit Persoonsgegevens krijgt meer meldingen van gemeentelijke datalekken Nieuws van 10 mei 2017
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Hack

Reacties (21)

-Moderatie-faq
21
21
10
0
0
7
Wijzig sortering
BytePhantomX 1 maart 2021 09:33
Dit is wel een opvallend statement aangezien de AP de enige organisatie is die hier goed inzicht in heeft:
De criminelen gebruiken deze tijd om het netwerk van de organisatie te verkennen en in kaart te brengen. Ze proberen om meer bevoegdheden te krijgen in het netwerk, bijvoorbeeld door ‘systeembeheerders-rechten’ te verwerven, waarna persoonsgegevens gestolen worden of er een ransomware-aanval wordt uitgevoerd.
En daarna:
In 2020 ontving de AP maar liefst 1.173 meldingen van dergelijke datalekken, waarbij hacking, malware of phishing werd ingezet om persoonsgegevens te stelen.
Een simpele conclusie is dus dat er minimaal 1.173 ransomware aanvallen zijn uitgevoerd in Nederland. Toch wel een schrikbarend aantal.
Overigens zijn meldingen niet echt datalekken in de categorie dat er direct gegevens op straat liggen. Het versleutelen van data is ook een datalek, omdat je als organisatie controle verliest of je data. Het ligt dan zeker niet op straat, maar je bent wel verplicht het te melden. En dat doen veel organisaties dan ook.

En bijzonder dat ze MFA er ook specifiek uitlichten als maatregel.
“Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meerfactorauthenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”
Het lijkt er op dat MFA hiermee een heilige graal is, en dat is toch wel echt te kort door de bocht. Maar wel prima dat ook de AP hier aandacht aan geeft.
the_shadow @BytePhantomX1 maart 2021 10:00
[...]

Een simpele conclusie is dus dat er minimaal 1.173 ransomware aanvallen zijn uitgevoerd in Nederland. Toch wel een schrikbarend aantal.
Het is gegarandeerd meer. Vergeet niet dat een aanval niet noodzakelijk gericht hoeft te zijn. Je ziet toch dat er voornamelijk met hagel geschoten wordt (phishing/malware d.m.v. rotzooi mailtjes die verzonden worden aan opgekochte lijsten met gelekte mailadressen). Als je enkele miljoenen van dit soort mailtjes verstuurt, en 1.000 man trapt er in, dan heb je alsnog beet (als aanvaller zijnde).
n3z @BytePhantomX1 maart 2021 10:06
MFA helpt al vrij veel. Het is niet perfect natuurlijk, maar als het bijvoorbeeld 50% reduceert is dat al mooi meegenomen.

Ik begrijp wel de AP dit naar voren schuift want het vrij makkelijk en snel te regelen voor al je accounts.
Floort
@BytePhantomX1 maart 2021 10:22
Onderschat niet hoe breed de categorie "hacking, malware of phishing" is. Daar valt veel meer onder dan alleen ransomware.
TheProf82 @BytePhantomX1 maart 2021 10:47
De beschrijving van de AP (hacking, malware, phishing) treft vaak ook individuen. Een datalek natuurlijk, maar geen groot organisatorisch probleem wat we bijvoorbeeld zien bij de NWO, Universiteit Maastricht, etc.
kodak
@BytePhantomX1 maart 2021 12:12
Je lijkt te beweren dat er met hacking, malware en phishing er alleen maar ransomware kan zijn, wat niet zo is. Phishing kan al persoonsgegevens lekken zonder ransomware. Hacking kan al persoonsgegevens lekken zonder ransomware, malware kan al persoonsgegevens lekken zonder ransomware.
copyer 1 maart 2021 09:17
Dan ook maar gevangenis straf aan de boetes hangen, totdat ze de ernst van de zaak zien..
the_shadow @copyer1 maart 2021 10:02
Je bedoelt Wetboek van Strafrecht, Boek II, Titel V, Artikel 138ab?
1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij
a. daarbij enige beveiliging doorbreekt of
b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.
2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen in een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, overneemt en voor zichzelf of een ander vastlegt.
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zich wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.
3e categorie is max 8.700 euro, 4e categorie is 21.750. Punt is gewoon heel simpel: zie ze maar te vinden en te pakken.
kodak
@copyer1 maart 2021 13:09
Zolang de AP zelfs al geen boetes lijkt uit te delen voor het onterecht niet melden van datalekken (wat ze zelf kennelijk ook toegeven in het rapport) en alleen maar brieven en gesprekken voeren alsof dat genoeg is zal het weinig zin hebben om de straffen te verhogen. Ze doen er in de praktijk nauwelijks iets mee.
copyer @kodak1 maart 2021 13:48
En dat is dan helemaal schandalig, aangezien je leven voor de helft in de digitale wereld afspeelt..
Simon Weel 1 maart 2021 11:59
De instantie wijst er verder op dat datadiefstal in veel gevallen is te voorkomen door een betere beveiliging.
Zou het? Als het om beveiligen gaat is de mens de zwakste schakel. Zoals de GGD-affaire illustreert zijn lang niet alle mensen met toegang tot persoonsgegevens te vertrouwen. Daar helpt geen enkel soort beveiliging tegen. Als je kijkt welke overheden en organisaties allemaal over je persoonsgegevens kunnen beschikken, dan vraag ik me bij het grootste deel af waarom? Het zou beter zijn als in elk geval niet je BSN bij Jan en Alleman bekend zou zijn. Of dat op zijn minste, net als bij een credit-card, een verificatiecode nodig is als iemand je BSN denkt te moeten gebruiken.
kodak
@Simon Weel1 maart 2021 12:20
Beveiliging is ook medewerkers hebben die te vertrouwen zijn, weten wie wanneer toegang had tot welke gegevens, inzage in gegevens beperken, medewerkers aanspreken op gedrag enz. Dat iemand crimineel kan worden of vast wel een manier kan vinden om alsnog gegevens te kopieren wil niet zeggen dat beveiligen niet helpt of je het niet zou moeten verbeteren.
Cyclonic 1 maart 2021 08:56
Waarom nog hacken als door de GGD al bijna iedereen zijn gegevens op straat liggen? Inclusief BSN.
JurGor @Cyclonic1 maart 2021 11:55
Op straat? Ik zou vermoeden dat die gelekte data niet zozeer op straat ligt, maar in een digitale illegale marktkraam. Dat je daar alleen na het betalen van een bedrag aan kan komen.

Als je zelf hackt, kan je die marktkraam en de daarbij gemoeide kosten vermijden.

Daarnaast is het uitlekken van die GGD dataset bekend. Dus die dataset is waarschijnlijk al in handen van opsporingsambtenaren. Da's niet per se de veiligste vijver om in te vissen.

Cybercriminelen zijn net echte criminelen. Ze houden liever alles in eigen hand, willen liever niet gepakt worden, en een andere crimineel vertrouwen doen ze niet graag.
AmigaWolf @JurGor1 maart 2021 19:44
Het is heel simpel, als de criminelen niets meer kunnen stelen uit winkels en bij mensen thuis, omdat heel veel mensen thuis zitten, gaan ze het anders aanpakken, nu gaan ze lekker hacken, en op die manier zo veel geld binnen harken/stelen.

Criminelen gaan echt niet de goede pad op als ze niet meer kunnen inbreken, dan verzinnen ze wel een andere manier, en dat is dus ook gebeurd.
Pret @Cyclonic1 maart 2021 09:32
Helemaal mee eens. Beetje jammer dat de overheid een systeem opzet waarbij een jaar lang gegevens massaal ingekeken konden worden en mogelijk verkocht werden. Zitten we inmiddels niet op 10 arrestaties?

Ken genoeg mensen die juist hierdoor terughoudend geworden zijn met testen.
Dostar @Cyclonic1 maart 2021 11:41
Van mij mag jij een +3 krijgen, want de GGD (not so much a) hack gaf meer prijs dan alleen NAW + geboortedatum. Een BSN nummer is toch bijna als je pincode. Je kan er namelijk enorm veel schade mee aanrichten.
De hacks kan ik ergens nog inkomen dat het niet altijd 100% de schuld van een bedrijf is, tenzij ze gegevens onbeveiligd hebben opgeslagen, maar een systeem helemaal open leggen voor een callcenter...? Dat mag wel goed aangepakt worden.
Anoniem: 225440 1 maart 2021 09:22
De meeste datalekmeldingen kwamen in 2020 uit de sector gezondheid en welzijn (30%), gevolgd door financiële dienstverlening en openbaar bestuur (beide 22%). Vergeleken met 2019 is het aantal meldingen vanuit de zorg gedaald met 4%, vanuit de financiële sector gedaald met 34% en vanuit de overheid gestegen met 13%.
mjtdevries @Anoniem: 2254401 maart 2021 13:27
Dat zegt niks, als je niet weet waardoor dat komt.
Zo weet ik dat veel gemeenten elk wissewasje melden bij de AP. Zaken die volgens de regels van de AP helemaal niet gemeld hoeven te worden omdat er geen schade voor betrokkenen verwacht word.

En de financiele sector 34% minder? Tenzij daar een goede verklaring achter ligt, vermoed ik dan eerder dat ze minder melden, dan dat er werkelijk zoveel minder lekken zijn.

En nog belangrijker is wat voor soort lek het is. Als iemand actief een bedrijf aangevallen heeft en daarbij data buit gemaakt, dan is de kans op schade veel groter dan als er iets per ongeluk gelekt is.
kodak
1 maart 2021 13:21
De Autoriteit Persoonsgegevens erkent dat het slechts bij een beperkt deel van de gemelde datalekken in actie komt. Dat verklaart de toezichthouder door te wijzen op een tekort aan personeel en budget.
In actie komen kan veel betekenen. Wat het meest opvallende is, is het nog steeds weinig in actie komen om organisaties boetes op te leggen. En dat zijn toch echt keuzes die de AP zelf maakt. Het lijkt bij de AP al jaren belangrijker dat ze zo min mogelijk boetes opleggen, terwijl het aantal meldingen niet afneemt. De wetgever heeft niet voor niets de bevoegdheid gegeven om boetes uit te delen in plaats van zo min mogelijk gevolgen te laten ondervinden. Het begint inmiddels gewoon te zijn dat zelfs als je geen melding doet je er met een brief of wat praten vanaf komt.
webhalla @kodak1 maart 2021 15:24
Lijkt er idd op dat in andere landen de autoriteiten een deel van de werkzaamheden financieren met de boetes. Onze AP lijkt meer te polderen door in overleg te gaan. Lijstje van GDPR boetes per land: https://finbold.com/gdpr-fines-2020/ Dan heeft Nederland ook nog de nodige High Tech bedrijven. Het aangaan van een overleg zal natuurlijk ook minder juridisch "inspannend" zijn als het opleggen van een boete die bij de rechter kan worden aangevochten.

Vanaf volgend jaar mag de AP met 286 fte groeien: nieuws: Tweede Kamer wil dat Autoriteit Persoonsgegevens ruim verdubbelt in w... wellicht kunnen ze dan meer cases afronden met een juridisch onderlegde boete.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq