AP: gehackte bedrijven schatten privacyrisico's in 7 van 10 gevallen te laag in

De Autoriteit Persoonsgegevens zegt dat de privacyrisico's van cyberaanvallen vaak 'veel te laag' worden ingeschat door organisaties. Dat schrijft de toezichthouder bij een jaarlijks overzicht van datalekmeldingen. Er werden vorig jaar ruim 25.000 datalekken gemeld.

'Te veel organisaties' die in Nederland slachtoffer worden van een cyberaanval, laten het na om mensen te waarschuwen dat hun gegevens zijn gelekt, schrijft de Autoriteit Persoonsgegevens. "Met als gevolg dat de mensen van wie er persoonlijke gegevens zijn gelekt, zich niet kunnen wapenen tegen mogelijke oplichting of andere misdrijven van cybercriminelen."

Volgens de analyse van de privacytoezichthouder worden vooral cyberaanvallen waarbij een groot aantal e-mailadressen of telefoonnummers is gelekt als 'te laag' ingeschat. Hierbij schat 81 procent van de organisaties de risico's van de aanval voor slachtoffers namelijk te laag in, stelt de toezichthouder. Betrokkenen worden hierbij wel relatief vaak geïnformeerd, met 60 procent.

Slachtoffers worden het minst geïnformeerd als het om bijzondere persoonsgegevens gaat, namelijk in 38 procent van de gevallen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands ras of etnische afkomst, politieke opvattingen, gezondheidsinformatie of gegevens over religieuze opvattingen. Organisaties geven aan slachtoffers soms niet te informeren, omdat ze geen 'onnodige onrust' willen veroorzaken, of omdat het onduidelijk zou zijn welke data er is gestolen. Dat is opvallend, omdat uitgerekend bijzondere persoonsgegevens juist een aparte status zijn volgens de AVG. Voor zulke gegevens geldt dat bedrijven ze extra goed moeten beschermen, al geldt er geen aparte meldplicht voor.

In het jaaroverzicht gaat de Autoriteit Persoonsgegevens ook in op de cyberaanval op Nebu van maart 2023. Dit bedrijf levert software voor markt- en klanttevredenheidsonderzoeken en heeft in Nederland 190 klantorganisaties als klant. Die klantorganisaties zijn verantwoordelijk voor het inlichten van slachtoffers, niet Nebu. Toch waren er in ieder geval 34 klantorganisaties die niet zelf klanten informeerden of het datalek meldden bij de AP. De toezichthouder pleegde daarom interventies bij die klantorganisaties, waarna ze slachtoffers toch gingen informeren. Zo zijn 50.000 slachtoffers van de in totaal 2,5 miljoen slachtoffers alsnog geïnformeerd. "Alle 190 klantorganisaties hebben uiteindelijk aan hun meldplicht voldaan", schrijft de AP, die nog onderzoek doet naar Nebu.

Vorig jaar zijn er 25.694 datalekken gemeld bij de AP. Het grootste deel hiervan, bijna 10.000, ging om brieven die naar de verkeerde klant of burger werden verzonden. Bij 5895 datalekmeldingen stelde de toezichthouder verdiepend toezicht in en bij 27 datalekken is de Autoriteit een uitgebreider onderzoek gestart. Hierbij ging het 'voornamelijk om situaties waarbij een organisatie de slachtoffers van een cyberaanval niet informeerde, terwijl dat wel moest'.

Het aantal meldingen is daarmee flink gestegen. In 2022 daalde het aantal datalekmeldingen nog naar 21.151. Het nieuwe aantal datalekmeldingen is zelfs nog hoger dan in 2021, toen de AP 24.866 meldingen ontving.

Met de aanvallen zijn gegevens van in totaal zo'n 20 miljoen slachtoffers gestolen binnen en buiten Nederland. 82 procent hiervan komt van de tien grootste cyberaanvallen. Bij de grootste cyberaanval van vorig jaar zijn de gegevens van 9,8 miljoen mensen gestolen.

Door Hayte Hugo

Redacteur

Feedback • 10-04-2024 09:04
47 • submitter: wildhagen

10-04-2024 • 09:04

47

Submitter: wildhagen

Lees meer

AP kreeg vorig jaar veel meer datalekmeldingen door bulkmeldingen
AP kreeg vorig jaar veel meer datalekmeldingen door bulkmeldingen Nieuws van 21 maart 2025
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP Nieuws van 18 november 2024
Vinted krijgt privacyboete van bijna 2,4 miljoen euro wegens AVG-overtredingen
Vinted krijgt privacyboete van bijna 2,4 miljoen euro wegens AVG-overtredingen Nieuws van 3 juli 2024
AP: pakketpunten mogen QR-code op ID-kaart en paspoort niet uitlezen
AP: pakketpunten mogen QR-code op ID-kaart en paspoort niet uitlezen Nieuws van 13 mei 2024
Verizon: helft securityincidenten in Europa heeft interne oorzaak
Verizon: helft securityincidenten in Europa heeft interne oorzaak Nieuws van 2 mei 2024
Autoriteit Persoonsgegevens: bedrijven mogen internet vrijwel nooit scrapen
Autoriteit Persoonsgegevens: bedrijven mogen internet vrijwel nooit scrapen Nieuws van 1 mei 2024
OM eist 20 maanden cel tegen hacker die bij data honderdduizenden mensen kon
OM eist 20 maanden cel tegen hacker die bij data honderdduizenden mensen kon Nieuws van 23 april 2024
AP: wegbeheerders denken niet goed na over privacyrisico’s volgverkeerslichten
AP: wegbeheerders denken niet goed na over privacyrisico’s volgverkeerslichten Nieuws van 17 april 2024
Hostingbedrijf Leaseweb weigert informatie over cyberaanval te delen met AP
Hostingbedrijf Leaseweb weigert informatie over cyberaanval te delen met AP Nieuws van 6 april 2024
Autoriteit Persoonsgegevens: Booking.com meldt datalekken nu wel op tijd
Autoriteit Persoonsgegevens: Booking.com meldt datalekken nu wel op tijd Nieuws van 3 april 2024
Politie mag gezichtsherkenning gebruiken ondanks kritiek van AP, zegt Yeşilgöz
Politie mag gezichtsherkenning gebruiken ondanks kritiek van AP, zegt Yeşilgöz Nieuws van 12 maart 2024
RTL Nieuws: 5100 digitale Nederlandse identiteitsbewijzen uitgelekt op dark web
RTL Nieuws: 5100 digitale Nederlandse identiteitsbewijzen uitgelekt op dark web Nieuws van 6 maart 2024
AP krijgt steeds meer vragen over videodeurbellen, hekelt houding van politie
AP krijgt steeds meer vragen over videodeurbellen, hekelt houding van politie Nieuws van 23 februari 2024
Autoriteit Persoonsgegevens gaat in 2024 vaker controleren op cookiebanners
Autoriteit Persoonsgegevens gaat in 2024 vaker controleren op cookiebanners Nieuws van 6 februari 2024
Rechter vernietigt AVG-boete voor Enschedese wifitracking omdat AP te streng was
Rechter vernietigt AVG-boete voor Enschedese wifitracking omdat AP te streng was Nieuws van 2 februari 2024
AP geeft Uber recordboete van 10 miljoen euro voor slechte info inzageverzoek
AP geeft Uber recordboete van 10 miljoen euro voor slechte info inzageverzoek Nieuws van 31 januari 2024
'Interne privacytoezichthouders kunnen hun werk niet altijd goed genoeg doen'
'Interne privacytoezichthouders kunnen hun werk niet altijd goed genoeg doen' Nieuws van 24 januari 2024
AP behandelde minder privacyklachten door minder telefonisch bereikbaar te zijn
AP behandelde minder privacyklachten door minder telefonisch bereikbaar te zijn Nieuws van 17 mei 2023
Meer producten en artikelen
Beveiliging en antivirus Privacy Autoriteit Persoonsgegevens Cybercrime Datalek Hack Jaarcijfers Jaaroverzicht

Reacties (47)

-Moderatie-faq
47
45
31
0
0
13
Wijzig sortering

Sorteer op:

Weergave:
Orangelights23 10 april 2024 09:07
Definieer te laag.

Ik ben heel benieuwd hoe de AP inzage heeft gekregen in de risicomodellen van bedrijven. Of is het een simpele enquête geweest? En is het resultaat weer gekoppeld aan het daadwerkelijke aantal datalekken?
Floort
@Orangelights2310 april 2024 09:23
Het gaat hier om de risico-inschatting onder artikel 34(1) van de AVG die ook nader staat uitgewerkt in Guidelines 9/2022 van de EDPB. Maar het gaat hier om een risico-inschatting voor de rechten en vrijheden van natuurlijke personen, dat zal altijd grijs gebied en discussie opleveren. Ik denk dat ik uit ervaring wel kan stellen dat verwerkingsverantwoordelijken die er belang bij hebben om dat risico lager in te schatten dat ook vrij structureel doen.
TijsZonderH Nieuwscoördinator @Floort10 april 2024 09:42
Wat vind jij van het feit dat de AP zegt dat NAW-gegevens, of zelfs alleen e-mailadressen, altijd een hoog risico opleveren? Ik vond dat nogal een strenge interpretatie als ik eerlijk ben.
lenwar
@TijsZonderH10 april 2024 10:41
Ik ben het daar wel mee eens.
Je kunt met NAW-gegevens of een e-mail adres heel makkelijk doelgerichte phishing uitvoeren.

Of je nou een mailtje "van je bank" krijgt als:

"Beste ABN-AMRO klant,
We willen uw NAW-gegevens even controleren. Klik hier:"

of

"Beste TijsZonderH,
Wij willen onderstaande gegevens verifiëren:

Je echte adres 14
1234AB, Bolderdorp

Klik hier"


Als je het plat bekijkt, lijkt het mee te vallen, maar de bruikbaarheid/geloofwaardigheid wordt echt een heel stuk hoger voor kwaadwillenden.
Tintel
@lenwar10 april 2024 10:53
Dat was ook mijn idee. De combinatie van gegevens is funest. En dat terwijl dan juist mijn etnische afkomst niet zo belangrijk is (in dit voorbeeld).

Maar het vervelende is dat nu juist die combinatie bij zo'n beetje webshop wel bekend moet zijn als je daar iets wilt kopen/hebt gekocht...
lenwar
@Tintel10 april 2024 11:22
Ik denk inderdaad dat etniciteit voor andere zaken van groter belang is. Het ligt een beetje aan de aard van het 'criminele gedrag'. Heeft iemand als doel om jou geld afhandig te maken, dan zal het die persoon worst wezen, wat de tint van je huidskleur is, of waar je ouders zijn geboren.

Als men echter op zoek is om bepaalde bevolkingsgroepen te zieken/bedreigen, des te meer. (Zo schijnt het dat Russische staatsburgers of mensen met een "Joodse achternaam" het op het moment erg rottig hebben.)
Tintel
@lenwar10 april 2024 14:19
Zeker waar. En juist bij deze gegevens zoou de opslag daarvan nog strenger beoordeeld moeten worden. Welke instantie zou bij willen/moeten houden welk ras je bent? Of welke godsdienst [of niet] je aanhangt? Hoe is dat nuttig?

Dat is anders als het een vereniging betreft - als de gegevens van de leden van de katholieke kerk worden gestolen dan is ook de godsdienst bekend zou je kunnen stellen.
lenwar
@Tintel10 april 2024 15:20
Ik kan me om eerlijk te zijn ook niet herinneren wanneer ik dat voor het laatst heb moeten invullen ergens. Afkomst kan allicht handig zijn voor medische zaken. Bepaalde aandoeningen komen ten slotte meer of minder voor bij bepaalde bevolkingsgroepen. Als het goed is hebben mensen van Zuidoost-Aziatische afkomst relatief vaak lactose-intolerantie als ik me niet vergis. En zo zullen er nog een zwik zaken zijn.

Je religie, levensovertuiging of het ontbreken daarvan, zou ik overigens geen zinnig doel voor weten, anders dan statistische data voor gemeenten of marketingdoeleinden.
Misschien is het zinvol voor gemeenten om te weten? Dus dat als ze weten dat er in een bepaald gebied relatief veel Hindoestanen zijn, zodat de lokale overheid op de hoogte is van relatief veel feestende mensen op straat op bepaalde dagen?
Of als een supermarkt weet dat er relatief veel Moslims in de buurt wonen, dat ze dan meer halal spullen in huis hebben of meer spullen voor Eid-al-Fitr (Het Suikerfeest)?

Maar goed. Dat hoeft niet per se op de persoon geregistreerd te zijn. Dat kan gewoon zijn dat het in een bepaald clustertje straten een grotere groep mensen is.
Tintel
@lenwar10 april 2024 15:50
Een supermarkt wil alles weten dus voor hen is het vast nuttig maar nog steeds niet bedoeling/gewenst vanuit privacy overwegingen.

En voor de medische kant van het verhaal. Dat is tijdens de intiele diagnose misschien relevant maar het opslaan ervan is alweer discutabel.

De poltitie heeft wel de neiging dit altijd bij te houden omdat het voor herkenning wel handig is. Maar eigenlijk werkt het ook discriminatie in de hand.

Al zouden mensen met huidskleur RAL9056234 de meeste winkeldiefstallen hebben gepleegd; opslaan van dat gegeven is onnodig/ongewenst.
Aldy @Tintel10 april 2024 16:52
De enige plek waar een ras belangrijk is, wat ik mij kan voorstellen, is een database op medisch gebied. Zo hebben mensen met een donkere huidskleur vaak een vitamine D-gebrek en als je belt met je huisarts en je klacht is bijvoorbeeld daaraan gerelateerd, dan kan ik mij voorstellen dat je huisarts sneller met een juiste diagnose komt.
Verder dan in de medische sector kan ik mij helemaal niets voorstellen dat zoiets belangrijk is. Misschien heeft iemand anders nog een idee?
FreezeXJ @Tintel10 april 2024 12:14
Van de andere kant was die informatie ooit gewoon publiek. Voor wie hem nog kent: het telefoonboek! Duizenden namen, adressen en zelfs telefoonnummers! En erger nog: er zaten heel weinig fakes tussen. Het was eigenlijk een ideale dataset voor phishing, spoofen en reclame-verzending, en dat gebeurde dan ook massaal (a 1 cent per folder).

Ik denk dat we ergens ook even moeten beseffen dat er veel gegevens van ons rondzwerven, en dat daar actief misbruik van gemaakt wordt. Wat we eens zouden moeten doen is actief misbruik maken van de misbruikers, door ze internationaal te gaan vervolgen. Echter hebben we nu 0 grip op scammers uit Tadzikistan, net zoals dat vroegah de postorder-bedrijven uit Duitsland ongrijpbaar waren.
Floort
@TijsZonderH10 april 2024 09:54
Ik kan niet vinden waar de AP dat zegt. Wat ik wel kan vinden op pagina 6 van de rapportage is het volgende:
Cyberaanvallen vrijwel altijd melden aan AP en slachtoffers
Datalekken door cyberaanvallen leveren over het algemeen
hoge risico’s op voor de slachtoffers, zoals identiteitsfraude,
phishing of oplichting.

(...)

Met NAW- en contactgegevens hebben criminelen voldoende informatie om een geloofwaardig phishingbericht op te stellen. Met een e-mail of SMS proberen criminelen – ogenschijnlijk uit naam van de getroffen organisatie – geld of informatie afhandig te maken, zoals inloggegevens.

(...)

Daarom moet dit soort datalekken vrijwel altijd gemeld worden aan de AP en aan de slachtoffers.
Ik vind dat de AP best wat beter mag uitleggen waarom en wat de kanttekening daarbij in de praktijk betekent. Wanneer mag je er vanuit gaan dat de "meestal" niet van toepassing is? Maar ik denk dat dit wel een redelijk standpunt is van de AP. Mensen onderschatten namelijk vaak wat risico's voor de rechten en vrijheden van natuurlijke personen zijn. Dat omvat niet alleen praktische schade. Het feit dat criminelen mijn persoonsgegevens onrechtmatig hebben gezien is al een feitelijke inbreuk op mijn rechten.
kodak
@TijsZonderH10 april 2024 12:30
Sinds kort is er een extra verduidelijkende wet over persoonsgegevens : het verbod om persoonlijke gegevens te delen met het doel tot intimideren. Die wet is er niet gekomen omdat het delen van persoonlijke gegevens, zoals een adres of emailadres, zo onschuldig is. Na het lekken heeft het slachtoffer en bedrijf er geen enkele controle meer over wie, wanneer en waarvoor een ontvanger de persoonlijke gegevens nog gebruikt. Terwijl zeer duidelijk was en is dat er een aanzienlijke kans is dat het dus verkeerd gebruikt zal worden. De wet mag dan nu een verduidelijkende grens stellen bij een specifieke combimatie van persoonlijke gegevens en intimidatie, maar het verkeerde gebruik met onacceptabele gevolgen is veel breder. En aangezien het per slachtoffer kan verschillen hoe deze het onacceptabele gebruik ervaart lijkt het me niet redelijk als we proberen te normaliseren dat een slachtoffer gevolgen maar zal accepteren als niet al te erg.

Als er beveiligingsproblemen in systemen blijken te bestaan dan bestaat daar al jaren een Common Vulnerability Scoring System (cvss) voor om de kenmerken en ernst onder verschillende omstandigheden een cijfer te geven. Een zelfde beveiligingsprobleem kan daarin onder verschillende omstandigheden voor een slachtoffer enorm hoog zijn of lager. Het doel is niet slechts het getal maar dat men toont hoe men tot de score komt en deze ook anders uit kan vallen bij andere omstandigheden. Bij lekken met persoonsgegevens mis ik duidelijkheid hoe de verantwoordelijken een inschatting maken en hoe ze werkelijk rekening houden met de belangen van de slachtoffers. Het doel lijkt er eerder op om zo vaag mogelijk te zijn, de eigen belangen voorop te stellen en vooral geen kritiek of discussie te willen over de inschatting.

[Reactie gewijzigd door kodak op 22 juli 2024 21:58]

CAPSLOCK2000
@Floort10 april 2024 12:11
Ik denk dat ik uit ervaring wel kan stellen dat verwerkingsverantwoordelijken die er belang bij hebben om dat risico lager in te schatten dat ook vrij structureel doen.
Als interne inspecteur/controleur zal je het altijd moeiijk hebben. Je wordt geacht een balans te zoeken tussen de belangen van de organisatie en van de klanten/gebruikers. Je krijgt al snel een sfeer van "komen we hier mee weg?".
Wettelijk gezien is het echter helemaal niet de taak om een balans te zoeken maar om te melden wat er is voorgevallen, aan de AP en de slachtoffers. Het gevaar is echter dat je eigen je organisatie je als de vijand gaat zien en dingen verbergt als je niet "meedenkt".

Misschien moeten we eens goed kijken hoe accountants hier mee omgaan, die hebben met vergelijkbare problemen te maken. Het is niet mijn wereld maar volgens mij is een belangrijk onderdeel van die sector dat je je werk regelmatig laat conroleren door een externe controleur. Het lijkt me wel erg lastig om informatie zo te verzamelen dat een externe controleur er iets mee kan. Een open Amazon bucket zie je niet terug op de kassabon.
wiseger @CAPSLOCK200010 april 2024 13:02
Ik werk in een sector waarbij de IT regelmatig gecontroleerd wordt door externe auditors. Wat ze doen is kijken naar het beleid, welke waarborgen heb je in de processen geïmplementeerd om de boel veilig te houden.

Om jouw voorbeeld erbij te pakken, er zou beleid moeten zijn hoe om te gaan met een Amazon S3 bucket. Amazon stelt zelf dat ze prompts en warnings geven wanneer er een Amazon S3 bucket open staat. Dat er tools zijn om te controleren zoals Bucket Finder, S3 Scanner, and S3 Inspector. Dan is het dus een beheerproces dat ingericht zou moeten zijn hoe om te gaan met deze prompts en warnings, hoe handel je ze af? Hoe controleer je regelmatig op open buckets? Hoe garandeer je dat er direct actie ondernomen wordt als er een signaal ontvangen wordt?

Voor de auditor is het dan niet zo lastig. Als ze constateren dat je gebruik maakt van AWS dan controleren ze of je gebruik maakt van buckets. Doe je dat, dan willen ze de beheerprocessen op detail niveau zien, soms zelfs gewoon live om te controleren of er veiligheidsrisico's zijn.
Orangelights23 @Floort10 april 2024 09:57
Ik ben bekend met de inhoud van de EDPB, daar ging mijn opmerking niet over. Het gaat erover dat, wat je ook aangeeft, bedrijven slecht zijn in risico management, zeker als het gaat om informatiebeveiliging. Uit mijn ervaring (honderden bedrijven binnen Europa) zijn risicomanagement, informatiebeveiliging en privacy altijd onderbelicht. Vandaar mijn vraag: wat is te laag? Er is geen standaard voor, ook niet vanuit de AP.
phjk @Orangelights2310 april 2024 09:57
Hoe ik het rapport lees; bedrijven hebben een datalek gemeld bij de AP. In die melding hebben deze bedrijven een risico inschatting van het datalek gemaakt en meegegeven. De AP rapporteert nu dat in 7/10 gevallen die inschatting te laag is.
Orangelights23 @phjk10 april 2024 09:58
Maar wat is te laag? Hoe weet het AP dat een risico-inschatting te laag is? Elk bedrijf heeft een eigen risico methodiek (helaas), waardoor het AP daar geen conclusies over kan trekken.
Kheos @Orangelights2310 april 2024 10:51
als die risico inschatting eindigt met ".. en dus moeten we de gebruikers niet inlichten" terwijl ze dat dus wel zouden moeten doen is het te laag geweest, toch?
Orangelights23 @Kheos10 april 2024 12:37
Zou heel goed kunnen. Maar dat zou ik graag willen weten, voordat ik enige waarde kan geven aan het artikel van de AP.
CAPSLOCK2000
@Kheos10 april 2024 12:50
Ik vind het een goed uitleg die toch niet kan kloppen, want het artikel zegt ook: "Betrokken worden hierbij wel relatief vaak geïnformeerd, met 60 procent."
Dus ondanks een te lage inschatting worden slachtoffers wel geinformeerd. Het moet dus om meer gaan dan alleen de beslissing of er geinformeerd wordt.
jeroen79 @Orangelights2310 april 2024 11:27
In hoeverre heeft de AP inzicht nodig in het risicomodel zelf?
Wat van belang is zijn de invoer (welke gegevens gelekt zijn) en de uitkomst (het ingeschatte risico).
Die invoer kan de AP in haar eigen risicomodel stoppen en dan de uitkomsten met elkaar vergelijken.
Orangelights23 @jeroen7910 april 2024 12:32
Omdat hierbij de factor subjectiviteit niet weggenomen wordt. Het is niet één taal die gesproken wordt, maar allerlei verschillende talen, met ook nog eens dialecten en accenten.

Consensus is belangrijk, en dat ontbreekt hier. En ik heb genoeg ervaring om dat te kunnen stellen (jarenlang security consultant en CISO geweest bij allerlei bedrijven in Europa).
jochemd @Orangelights2310 april 2024 12:31
Ik ben heel benieuwd hoe de AP inzage heeft gekregen in de risicomodellen van bedrijven.
De risicomodellen van de bedrijven zijn niet relevant. Het gaat niet om het risico dat de bedrijven lopen, het gaat om het risico da de personen wiens gegevens zijn uitgelekt lopen. En het is natuurlijk hardstikke logisch dat bedrijven dit structureel onderschatten: bedrijven zullen een risico inschatting maken in de context van hun eigen diensten en veel minder kijken naar het risico dat mensen elders lopen. Bijvoorbeeld een UWV zal veel meer kijken of derden nu bijvoorbeeld kunnen inloggen op werk.nl en bijvoorbeld een rekeningnummer voor een uitkering kunnen aanpassen, en minder dat derden nu miscchien genoeg informatie hebben om een servicedesk van gemeente / CAK / DUO etc. te kunnen phishen.
the_shadow 10 april 2024 09:15
Een reden dat er vanuit de gezondheidssector veel gemeld wordt, is niet omdat hier ook daadwerkelijk het meeste aantal datalekken plaatsvind, maar onder andere omdat de men getraind is om fouten te melden. Dat zit gewoon in de manier waarop er in de medische wereld wordt omgegaan met fouten. Wat ik bijvoorbeeld een keer als datalekmelding heb gezien, was een brief die naar de verkeerde huisarts gestuurd wordt (zoon die de praktijk van zijn inmiddels gepensioneerde vader had overgenomen; zelfde achternaam, maar ander BIG). Risico voor de betrokkenen zeer laag, maar het wordt wel netjes als datalek gemeld, en interne procedures (controle op huisarts, incl. check AGB-register) worden strakgetrokken.

Ik vraag me af hoe deze grafieken eruit zouden zien als er niet met aantal, maar met volumes van meldingen/betrokkenen gerekend zou worden?
TijsZonderH Nieuwscoördinator @the_shadow10 april 2024 09:22
Ik zie idd ook heel veel datalekmeldingen van een handvol overheidsinstellingen komen: UWV, SVB, Belastingdienst... Want, zoals ook in het artikel staat en zoals je zegt, een verkeerde brief is al een datalek en wordt gemeld. Ik denk zeker dat hier survivorship bias meespeelt omdat die instellingen, en zoals jij zegt ook medische instellingen, inderdaad goede protocollen hebben. Tel daarbij op dat de AP notoir zwak optreedt tegen bedrijven die géén meldingen doen; ze doen daar nagenoeg nooit onderzoek naar en hebben daar ook beperkte middelen voor.
Floort
@TijsZonderH10 april 2024 10:03
Middelen zijn altijd beperkt, maar bedenk wel dat de AP in 2023 bij 5895+27 wel gemelde datalekken tijd heeft gestopt in extra toezichtshandelingen. Er is een keuze gemaakt om die tijd te stoppen in gemelde dataleken en niet in niet gemelde datalekken.
webhalla @Floort10 april 2024 16:30
Het probleem dat ik hier mee heb is dat de nette organisaties die een/elk klein lekje melden onder een vergrootglas van de AP komen. Werkt dit bij een risicoinschatting (zal een betrokkene een klacht indienen bij de AP?) juist het niet melden in de hand?

Ik hoor nog steeds niet dat de AP eens willekeurig bedrijven preventief gaat auditen op de verplichte registraties en beveiligingsbeleid ter voorkoming en vermindering van inbreuken op de integriteit van persoonsgegevens.
Centurion183 @the_shadow10 april 2024 09:44
Wat ik zie bij GGZ instellingen is dat er veel aandacht geschonken wordt aan veiligheid van (cliënt) gegevens. Er is veel awareness voor en mijns inziens wordt er ook steeds meer aandacht besteed aan veiligheid.
Ook hebben deze instellingen vaak een security officer die toeziet op dit soort zaken. Dus als er een hack is geweest zal dit dan ook sneller gemeld worden, ook richting de klanten bij zorg instellingen.
CAPSLOCK2000
10 april 2024 11:54
Woninginbraak: 50.000 per jaar
Fietsdiefstal: 500.000 per jaar
Verkeersboete: 10 miljoen per jaar
Datalek: 20 miljoen per jaar

Wanneer moet de minister van Justitie uitleg komen geven in de kamer?

Datalekken zijn misschien niet de ergste manier om de wet te breken, maar het zijn er wel heel erg veel en het aantal groeit snel. En dan zien we waarschijnlijk alleen nog maar het topje van de ijsberg.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 21:58]

Neocortex-re @CAPSLOCK200010 april 2024 15:56
Een datalek is een ongeluk(je) wat mogelijk misbruik tot gevolg zou kunnen hebben. De andere zaken die je noemt zijn criminele acties of overtredingen die daadwerkelijk plaatsvinden. Je vergelijking gaat dus mank.
WillySis
10 april 2024 09:50
Gezien het aantal datalekken en vooral het aantal niet gemelde datalekken zal de AP veel meer actief moeten gaan controleren. Echter met 183 FTE (2022) is dat niet te doen. De internationale onderzoeken naar grotere bedrijven kosten bovendien veel arbeidstijd. Het opleggen van boetes geeft ook meer werk door de juridische procedures die dat oplevert. De AP heeft daar simpelweg niet voldoende personeel voor.

De getallen moeten vooral gezien worden als een schreeuw naar de politiek dat de AP onvoldoende mogelijkheden (vooral personeel) heeft om hun handhavende taak goed uit te voeren.
swhnld 10 april 2024 10:01
Datalekken horen gemeld te worden, maar ik denk wel dat de overheid moet overwegen om de AP een uitbreiding van taken te geven, namelijk burgers voorlichten. Want eerlijk is eerlijk, internet is internationaal, en niet alle landen kennen dezelfde regels, en niet iedereen meld de lekken netjes. En die het wel melden, dan weten veel mensen alsnog niet wat te doen.

Ik weet niet of het ooit onderzocht is, maar verwacht dat van de normale persoonsgegevens, de informatie van 80 procent van de bevolking ooit al een keer gelekt is geweest. Of het nu een kleine webwinkel is geweest die het geld niet had het goed te regelen, een buitenlandse partij, of een social media scraper die API's misbruikte. Dat naast de bekende datalekken die wel gemeld zijn.

Dus opleiden van mensen om malafide acties te herkennen is ook belangrijk.
Exploited 10 april 2024 10:34
Zolang de AP niet of nauwelijks boetes uitdeelt voor het niet voldoende melden van datalekken denken de meeste bedrijven en organisaties dat het ook allemaal wel los zal lopen.

Een datalek zou ook gewoon in het wetboek van strafrecht moeten komen zodat er eventueel vervolgt kan worden mocht een organisatie écht een zooitje maken van hun beveiliging.
webhalla @Exploited10 april 2024 16:39
De Zwitsers (een adequaat verklaard en Schengen land) hebben recent hun privacywetgeving aangescherpt. C-level wordt daar nu als verwerkingsverantwoordelijke persoonlijk berecht, gestraft (strafblad) en beboet. De overheid kan c-level functionarissen zelfs (tijdelijk) op non-actief stellen. De verantwoordelijkheid kan niet op een Ciso/fg/dpo of andere functionaris worden afgeschoven.
FrostyPeet 10 april 2024 11:11
Als bedrijf/instelling/club X veel geld moet investeren in IT beveiliging en opleiding van personeel, er zelf nauwelijks last van heeft bij een privacy incident omdat het niet hun eigen gegevens betreft, dan lijkt er inderdaad een neiging om te zeggen dat het wel mee valt.

Het is maar een e-mail adres. De wachtwoorden zijn salted en encrypted. We hebben onze medewerkers 10 jaar geleden een foldertje gegeven dus we deden ons best. Het was een geavanceerde hack - we konden er dus niets aan doen. Het was de schuld van een externe IT aanbieder (oef, wat een opluchting dat wij er goed mee wegkomen). We vinden het heel erg, hebben aangifte gedaan. We hebben een onderzoeksbedrijf ingehuurd, we zullen de data dieven aanklagen. Enfin, de bekende kreten.

Totdat de prive gegevens van de CEO/Manager op straat dreigen te komen. Dan kan het ineens wel.
jorisvergeerTBA 10 april 2024 11:25
Niet om het goed te praten.

Maar is het probleem tegenwoordig niet al zover dat uitgelekte gegevens ondertussen al de norm zijn?

Mijn eigen gegevens zijn in de afgelopen 15 jaar al zeker 15x uitgelukt. En dat is dan alleen al de bekende volgens have I been pwned.

Iedereens gegevens komen ondertussen wel voor in datasets hier en daar. Laat nog staan naast de datasets die wonderbaarlijk legaal commercieel worden bijgehouden door databrokers.

Iedereen moet zich tegenwoordig wapenen tegen misbruik van gegevens. En daar gaat een melding van gehackte WordPress website van de lokale visverenig echt niks aan bijdragen.

As we speak: er staan momenteel 3 ongelezen phishing mails van schijnbaar de politie, KvK en Rabobank in mijn mailbox. Je gegevens kan je altijd maar beter als openbaar beschouwen en een gezonde kritische blik houden op al je digitale verkeer.
CAPSLOCK2000
@jorisvergeerTBA10 april 2024 12:56
Ik pleit voor een totaal verbod op persoonlijke reclame en aanbiedingen op grond van vooraf verzamelde informatie*. Het vrijwel onmogelijk om te voorkomen dat onze data lekt en dat die in vage databases terecht komt. We kunnen wel iets aan de voorkant doen als iemand er geld mee probeert te verdienen.

Daarnaast wil ik ook vermogensbelasting gaan heffen over dit soort data. Laat bedrijven maar betalen voor ieder stukje persoonsdata dat ze bijhouden zodat er financiele druk is om zo min mogelijk te bewaren.


* Het is iets anders als je zelf de winkel in stapt en vraagt of je korting kan krijgen als je 10 bruine broden tegelijk koopt, dan breng je zelf de informatie mee.
webhalla @jorisvergeerTBA10 april 2024 16:54
Het aantal phishing mails hangt ook af van Uw provider. Er zijn steeds meer providers die mails van (opzettelijk) verkeerd geconfigureerde mailservers stilzwijgend dumpen om (phishing)aanvallen van criminele organisaties te stoppen.

Hiervoor gebruiken zij https://www.rfc-editor.org/rfc/rfc5321#section-2.3.5 waarin vereist wordt dat een mailserver met een volledig gekwalificeerde hostname als A of MX record in DNS moet voorkomen.

Dit scheelt ook mails van de ING bank. 8)7 Is dit het resultaat van de eerste paragraaf?
bw_van_manen 10 april 2024 11:50
De AP klaagt dat bedrijven de risico's van een datalek laag inschatten, maar geeft ondertussen op haar eigen website nagenoeg geen informatie over wanneer een datalek als hoog risico ingeschat moet worden. Er zijn een paar situaties beschreven die een 'hoger' risico geven, maar nergens staat wanneer je tot de conclusie moet komen dat het risico hoog is. Het enige voorbeeld voor niet melden dat genoemd wordt is wanneer alle gegevens versleuteld zijn. Zonder meer voorbeelden is het toch niet gek dat organisaties moeite hebben om een goede inschatting te maken?

De EDPB heeft iets wel meer voorbeelden uitgewerkt, maar zelfs daarmee is het nog lastig om situaties in te schatten. Een lijst met zaken die altijd hoog risico zijn, een tabel met situaties en risico-inschattingen, of gewoonweg een overzicht met beoordeelde situaties uit het verleden en de overwegingen daarbij zou al enorm helpen. Helaas doet de AP op dat vlak heel weinig.
locke960 10 april 2024 12:26
Entiteit X heeft er belang bij dat waarde Y zo laag mogelijk is.
Entiteit X mag waarde Y zelf schatten.

Is er iemand die verbaast is dat de schattingen van waarde Y te laag uitvallen?
Daar heb je zelfs geen kwade opzet voor nodig, het is de menselijke natuur om (onbewust) naar zichzelf toe te rekenen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq