5 Voorbeelden hoe gemakkelijk een datalek kan ontstaan

Nu we het derde jaar van de AVG zijn ingegaan, wordt het steeds duidelijker hoe het zit met onze informatiebeveiliging. In Nederland is er al in totaal €3.580.000 aan AVG-boetes uitgedeeld, waarvan de hoogste boete zelfs €725.000 bedroeg.
In januari 2021 bleek uit DLA Piper’s meest recente GDPR Data Breach Survey dat Nederland op de tweede plek staat. Duitsland staat nu bovenaan met 77.747 meldingen in de periode mei 2018 – januari 2021 vergeleken met 66.527 meldingen in Nederland.
Het zou inmiddels wel duidelijk moeten zijn wat de veiligheidsrisico’s voor organisaties zijn. Toch worden hier fouten in gemaakt en komt het vaak neer op één ding: opvattingen over de oorzaken van een datalek. Organisaties denken vaak dat ze veilig genoeg zijn of dat iets niet voor hen van toepassing is. Dat terwijl een datalek altijd en overal kan ontstaan.
5 Voorbeelden hoe eenvoudig datalekken kunnen ontstaan
Hierbij 5 voorbeelden die ook jouw organisatie kunnen overkomen zonder de juiste maatregelen:
-
Het versturen van gegevens naar de verkeerde persoon
Het blijft de grootste oorzaak van datalekken: het versturen van gevoelige gegevens naar de verkeerde persoon. (Lees hier over de Grootste oorzaak datalekken: Menselijke fouten)
- Het overkwam de gemeente Assen, toen een medewerker een bestand met persoonsgegevens van 530 personen naar het verkeerde e-mailadres had verstuurd. En dat is vervelend, want met standaard e-mail krijg je als verzender geen notificatie of waarschuwing als er gevoelige gegevens worden verwerkt.
Als de gebruiker vóór verzending had geweten dat het verkeerde e-mailadres was ingevoerd, had deze fout voorkomen kunnen worden. Een controle van de ontvangers kan menselijke fouten beperken.
- Het overkwam de gemeente Assen, toen een medewerker een bestand met persoonsgegevens van 530 personen naar het verkeerde e-mailadres had verstuurd. En dat is vervelend, want met standaard e-mail krijg je als verzender geen notificatie of waarschuwing als er gevoelige gegevens worden verwerkt.
-
E-mailadressen van alle ontvangers in de CC
Wie de adressen van alle ontvangers in de CC zet, maakt hiermee alle ontvangers in die groep openbaar.
-
Dit overkwam de gemeente Venray: een e-mail over de Tijdelijke Overbruggingsregeling Zelfstandig Ondernemers werd verstuurd, met alle 123 ontvangers in de CC. Hoewel een e-mailadres voor sommigen niet meteen als een persoonsgegeven wordt beschouwd, is dat het wel. In dit geval hadden de e-mailadressen voor iedereen afgeschermd moeten blijven. Eerder ging dit ook al fout, toen de Autoriteit Persoonsgegevens per ongeluk de cc-knop had gebruikt, in plaats van de bcc-knop.
Met een controle van de ontvangers kan er voorkomen worden dat gegevens met iedereen in de ontvangersgroep wordt gedeeld. Nog beter: de ontvangers controleren in het aan-, cc- of bcc-veld kan helpen om het bericht op de juiste manier te versturen.
-
-
Onbeveiligde servers voor het opslaan van data
Niet alleen het veilig versturen van gegevens is belangrijk: ook het veilig opslaan mag niet worden vergeten.- Vorig jaar waren o.a. kopieën van ID-bewijzen van 800 personen in te zien door derden, doordat deze werden opgeslagen op een onbeveiligde, publiekelijk toegankelijke server. En juist dit soort gegevens zijn interessant voor cybercriminelen: de financiële gevolgen van identiteitsfraude kunnen heel heftig zijn.
Door beveiligde servers te gebruiken kan je voorkomen dat gegevens zomaar zijn in te zien. Belangrijk is dat deze servers niet alleen zelf beveiligd zijn, maar dat deze de data ook versleuteld wordt opgeslagen.
Lees meer: Waar wordt mijn data opgeslagen en wie heeft hier toegang tot?
- Vorig jaar waren o.a. kopieën van ID-bewijzen van 800 personen in te zien door derden, doordat deze werden opgeslagen op een onbeveiligde, publiekelijk toegankelijke server. En juist dit soort gegevens zijn interessant voor cybercriminelen: de financiële gevolgen van identiteitsfraude kunnen heel heftig zijn.
-
Zwakke wachtwoorden
Het aanmaken van een sterk wachtwoord, dat voor hackers moeilijk te raden is, zorgt ervoor dat mensen niet zomaar toegang krijgen tot je gegevens.- In 2014 was het raak bij Ebay: hackers hadden via inloggegevens van 3 werknemers toegang gekregen tot databases vol met gevoelige gegevens.
We maken het cybercriminelen moeilijk als door onze wachtwoorden te versterken. Een sterk wachtwoord is belangrijk, maar dat is niet alles: het regelmatig veranderen van het wachtwoord is nog belangrijker. Maak het daarom een gewoonte om eens in de zoveel tijd jouw wachtwoorden te vernieuwen.
- In 2014 was het raak bij Ebay: hackers hadden via inloggegevens van 3 werknemers toegang gekregen tot databases vol met gevoelige gegevens.
-
Gebrek aan encryptie van data
- Ook Zoom lag onder vuur. Naast problemen met makkelijk te achterhalen wachtwoorden en het toevoegen van gebruikers van hetzelfde domein, waren er ook problemen met de encryptie. Juist dat is belangrijk, als er gegevens worden uitgewisseld. Zonder de juiste encryptie is er bij onderschepping direct toegang tot de data.
Versleuteling is één ding, maar het ook op de juiste manier toepassen is het tweede. Zero-knowledge end-to-end encryptie is een manier om ervoor te zorgen dat data afgeschermd blijft. Dit geldt zowel voor kwaadwillenden, als ook voor verwerkers van data.
- Ook Zoom lag onder vuur. Naast problemen met makkelijk te achterhalen wachtwoorden en het toevoegen van gebruikers van hetzelfde domein, waren er ook problemen met de encryptie. Juist dat is belangrijk, als er gegevens worden uitgewisseld. Zonder de juiste encryptie is er bij onderschepping direct toegang tot de data.