Laatste update op 17 oktober 2017

Als bedrijven en instellingen data met privacygevoelige gegevens kwijtraken, bijvoorbeeld via een gestolen telefoon, een verloren USB-stick of een gehackte database, dan moeten ze dit melden bij de privacytoezichthouder, de Autoriteit Persoonsgegevens. Vorig jaar werden er in totaal zo’n 5.500 datalekken gemeld.

Maar alleen al in het eerste kwartaal van dit jaar zijn ruim 2.300 datalekken gemeld. Nu kun je concluderen dat het aantal datalekken hoger wordt, maar waarschijnlijk hebben organisaties beter in de gaten hebben dat er een datalek was of zijn ze er transparanter over geworden. En dat laatste is goed nieuws.

Erkenning probleem

Dat zijn dus ruim 25 datalekken per dag, waarvan gemeenten er ruim drie per dag voor hun rekening nemen. Voor het geval je twijfelt of het eigenlijk wel zo erg is: de meeste datalekken (27%) zijn gemeld in de sector Gezondheid & Welzijn. De gegevens die ze daar over iemand bewaren, willen de meeste mensen niet graag aan de grote klok hangen. En gegevens die gemeenten kunnen lekken zijn vaak gevoelig voor identiteitsfraude. Het is dus goed dat we hier transparant over zijn. Als je erkent dat er werk aan de winkel is, kun je er immers ook mee aan de slag gaan. Voor de liefhebber: hier vind je een PDF met een helder overzicht van de datalekken in het eerste kwartaal van 2017.

Een versleuteld bestand als datalek

Het zal je niet zijn ontgaan dat er sinds halverwege mei ransomware onder de naam WannaCry rondwaart in de wereld. Geïnfecteerde computers laten een tekst zien waarin staat dat de bestanden zijn versleuteld en dat deze alleen tegen betaling worden ontsleuteld (overigens hebben hackers ondertussen een remedie gemaakt, genaamd #WannaKiwi).

Wat velen niet de gaten hebben, maar wat terecht door de privacytoezichthouder wordt opgemerkt: als digitale bestanden kunnen worden versleuteld, kan er iemand bij die data. Als die data persoonsgegevens bevatten, dan is er sprake van een datalek. En zo’n lek moet worden gemeld.

Beveiliging: if you can’t pay it, don’t connect it

Zoals security-expert @ArjenKamphuis naar mijn mening terecht zegt: het probleem is niet zozeer dat er losgeld wordt gevraagd voor versleutelde bestanden. Het probleem is dat de beveiliging van systemen is gecompromitteerd en dat daardoor data kon worden gestolen en/of versleuteld.

Als personeel goed wordt getraind en bedrijven ook voldoende geld uittrekken voor beveiliging van hun systemen, is een boel ellende te voorkomen. Hoe dan ook, het is belangrijk te erkennen dat er een probleem is als je onverhoopt toch met een datalek te maken krijgt. Dat is de eerste stap naar de oplossing.

Categorieën: nieuws