Sterke toename datalekken door cyberaanvallen

By Jernst van Waal

Het aantal gemelde datalekken als gevolg van cyberaanvallen neemt explosief toe. Vorig jaar ontving de Autoriteit Persoonsgegevens (AP) 2.210 meldingen dat er gegevens van mensen waren gestolen door een digitale aanval. Dat is 88 procent meer dan een jaar eerder. De stijging is misschien deels te wijten aan het feit dat getroffen organisaties sneller rapporteren, maar de privacywaakhond maakt zich grote zorgen.

“Vorig jaar luidden we de noodklok toen het aantal meldingen met 30 procent steeg. Het jaar daarvoor was de stijging 25 procent. Dit jaar komen we woorden tekort”, zegt Dennis Davrados, coördinator datalekken bij de privacytoezichthouder.

Volgens de Autoriteit richten kwaadwillenden zich steeds vaker op IT-leveranciers. Dit zijn bedrijven die softwarediensten leveren aan kleine ondernemers zodat ze zelf dergelijke programma’s niet hoeven te bouwen. Binnen die bedrijven komen veel persoonsgegevens van burgers samen en zijn die voor criminelen goud waard. Vorig jaar waren er 28 datalekken bij dergelijke IT-leveranciers. Dat leidde tot 1.800 meldingen van getroffen gebruikers. “Naar schatting zijn er zeker 7 miljoen slachtoffers getroffen. Omdat niet alle datalekken bij de AP worden gemeld, zijn het er waarschijnlijk nog veel meer”, aldus de toezichthouder.

Burgers worden na een datalek vaak niet of pas zeer laat geïnformeerd, stelt de autoriteit. Ondertussen kunnen ze zichzelf niet beschermen.

In totaal ontving de toezichthouder vorig jaar bijna 25.000 meldingen van datalekken. Dat aantal is vergelijkbaar met voorgaande jaren. Deze meldingen gaan niet alleen over aanvallen door criminelen, maar ook over organisaties die zelf een fout maken, bijvoorbeeld door een brief aan de verkeerde persoon te sturen of door de adressen van de ontvangers niet goed af te schermen in een massale e-mail.

De meeste gevallen kwamen niet verder dan een melding bij de AP. 17.840 datalekken waren zo klein dat de Autoriteit Persoonsgegevens er verder niets mee deed. Iets meer dan 7.000 zaken zijn een trede hoger, waar de overheid ‘verdiepend toezicht’ houdt. De dienst kijkt dan niet alleen wat er is gebeurd, maar ook wat een getroffen organisatie doet om herhaling te voorkomen. In 36 gevallen besloot de toezichthouder vorig jaar een onderzoek te starten. Dit kan uiteindelijk leiden tot een boete of andere straf. De organisatie heeft niet bekendgemaakt hoeveel van die onderzoeken nog lopen.

Ook het verleden speelt een rol bij de keuze voor de aanpak van een organisatie. “Dat je een keer struikelt, oké, dat kan gebeuren. Dat je een tweede keer struikelt, dat kan ook. Maar bij de derde keer vragen we of je goede schoenen draagt”, zegt Özlem Sehirli-Kaya, hoofd van de recherche. afdeling van de autoriteit.