Wannacry als datalek

Gepubliceerd door Helma op

Laatste update op 17 oktober 2017

Als bedrijven en instellingen data met privacygevoelige gegevens kwijtraken, bijvoorbeeld via een gestolen telefoon, een verloren USB-stick of een gehackte database, dan moeten ze dit melden bij de privacytoezichthouder, de Autoriteit Persoonsgegevens. Vorig jaar werden er in totaal zo’n 5.500 datalekken gemeld.

Maar alleen al in het eerste kwartaal van dit jaar zijn ruim 2.300 datalekken gemeld. Nu kun je concluderen dat het aantal datalekken hoger wordt, maar waarschijnlijk hebben organisaties beter in de gaten hebben dat er een datalek was of zijn ze er transparanter over geworden. En dat laatste is goed nieuws.

Erkenning probleem

Dat zijn dus ruim 25 datalekken per dag, waarvan gemeenten er ruim drie per dag voor hun rekening nemen. Voor het geval je twijfelt of het eigenlijk wel zo erg is: de meeste datalekken (27%) zijn gemeld in de sector Gezondheid & Welzijn. De gegevens die ze daar over iemand bewaren, willen de meeste mensen niet graag aan de grote klok hangen. En gegevens die gemeenten kunnen lekken zijn vaak gevoelig voor identiteitsfraude. Het is dus goed dat we hier transparant over zijn. Als je erkent dat er werk aan de winkel is, kun je er immers ook mee aan de slag gaan. Voor de liefhebber: hier vind je een PDF met een helder overzicht van de datalekken in het eerste kwartaal van 2017.

Een versleuteld bestand als datalek

Het zal je niet zijn ontgaan dat er sinds halverwege mei ransomware onder de naam WannaCry rondwaart in de wereld. Geïnfecteerde computers laten een tekst zien waarin staat dat de bestanden zijn versleuteld en dat deze alleen tegen betaling worden ontsleuteld (overigens hebben hackers ondertussen een remedie gemaakt, genaamd #WannaKiwi).

Wat velen niet de gaten hebben, maar wat terecht door de privacytoezichthouder wordt opgemerkt: als digitale bestanden kunnen worden versleuteld, kan er iemand bij die data. Als die data persoonsgegevens bevatten, dan is er sprake van een datalek. En zo’n lek moet worden gemeld.

Beveiliging: if you can’t pay it, don’t connect it

Zoals security-expert @ArjenKamphuis naar mijn mening terecht zegt: het probleem is niet zozeer dat er losgeld wordt gevraagd voor versleutelde bestanden. Het probleem is dat de beveiliging van systemen is gecompromitteerd en dat daardoor data kon worden gestolen en/of versleuteld.

Als personeel goed wordt getraind en bedrijven ook voldoende geld uittrekken voor beveiliging van hun systemen, is een boel ellende te voorkomen. Hoe dan ook, het is belangrijk te erkennen dat er een probleem is als je onverhoopt toch met een datalek te maken krijgt. Dat is de eerste stap naar de oplossing.

Categorieën: nieuws
Tags:

Gerelateerde berichten

gegevensbescherming voor de individu
nieuws

De dagelijkse praktijk van de privacyfunctionaris

Iedereen is ondertussen wel bekend met het bestaan van de Algemene Verordening Gegevensbescherming (AVG). Maar voor veel mensen is het onduidelijk wat nu de werkzaamheden zijn die verband houden met gegevensbescherming. Wat is zijn nu Lees meer…

HackerHotel 2020 - talk Helma
nieuws

Talk at HackerHotel 2020

Very to happy to talk about privacy at HackerHotel 2020. ‘Privacy adventures in vocational education – and how techy’s may help’ Download my presentation: Website HackerHotel

InfoSecurity (Gran knows why) - Arjen Kamphuis
nieuws

Boeklancering Arjen Kamphuis – 24 januari

Laatste update op 22 januari 2020In augustus 2018 raakte Arjen Kamphuis, cybersecurity en infosec-expert vermist in Noorwegen. Misschien ken je hem of heb je het meegekregen in het nieuws. Ik werkte met hem samen en Lees meer…