5 Voorbeelden hoe gemakkelijk een datalek kan ontstaan

Nu we het derde jaar van de AVG zijn ingegaan, wordt het steeds duidelijker hoe het is gesteld met onze informatiebeveiliging. In Nederland is er al in totaal €3.000.000 aan AVG-boetes uitgedeeld, waarvan de hoogste boete zelfs €725.000 bedroeg.

Het zou inmiddels wel duidelijk zijn wat de veiligheidsrisico’s voor organisaties zijn. Toch worden hier vaak fouten in gemaakt en komt het vaak uit op één ding: perceptie van de oorzaken van een datalek. Veelal betekent dit dat organisaties vaak denken genoeg veiligheid te hebben toegepast of dat iets niet voor hen van toepassing is. Dat terwijl een datalek altijd en overal kan ontstaan.

Ontdek hoe u datalekken buiten de deur kunt houden. Download onze whitepaper “Houd datalekken buiten de deur” en leer welke best practices daarbij zullen helpen.

5 Voorbeelden hoe eenvoudig datalekken kunnen ontstaan

Hierbij 5 voorbeelden die ook uw organisatie zouden kunnen overkomen zonder de juiste maatregelen:

• Het verzenden van gegevens naar de verkeerde persoon
  

  Het blijft de grootste oorzaak van datalekken: het verzenden van gevoelige gegevens naar de verkeerde persoon.
  Het overkwam de gemeente Assen, toen een medewerker een bestand met persoonsgegevens van 530 personen naar het verkeerde e-mailadres had verstuurd. En dat is vervelend, want met standaard e-mail krijgt u als verzender geen notificatie of een waarschuwing als er gevoelige gegevens worden verwerkt.
  
  Als de gebruiker vóór verzending had geweten dat het verkeerde e-mailadres was ingevoerd, dan had deze fout voorkomen kunnen worden. Een check op ontvangers is dan ook een functionaliteit die dit risico op de menselijke fout kan beperken. 

• E-mailadressen van alle ontvangers in de CC

  Wie alle adressen van ontvangers in de CC zet, maakt hiermee alle ontvangers in die groep openbaar. Dit overkwam de gemeente Venray onlangs: een e-mail over de Tijdelijke Overbruggingsregeling Zelfstandig Ondernemers werd verstuurd, met alle 123 ontvangers in de CC. Hoewel een e-mailadres voor sommigen niet direct als een persoonsgegeven klinkt, is dat het toch wel. In dit geval hadden de e-mailadressen voor iedereen afgeschermd moeten blijven. Eerder ging dit ook al fout, toen de Autoriteit Persoonsgegevens per ongeluk de cc-knop had gebruikt, in plaats van de bcc-knop.
  
  Met een check op ontvangers kan er voorkomen worden dat gegevens met iedereen in de ontvangersgroep wordt gedeeld. Beter nog: een check op ontvangers in het aan-, cc- of bcc-veld zou de verzender kunnen helpen om het bericht op de juiste manier te verzenden. 

• Onbeveiligde servers voor het opslaan van data
  

  Niet alleen het veilig verzenden van gegevens is belangrijk: ook het veilig opslaan mag niet worden vergeten. Onlangs waren o.a. kopieën van ID-bewijzen van 800 personen in te zien door derden, doordat deze werden opgeslagen op een onbeveiligde een publiek toegankelijke server. En juist dit soort gegeven is interessant voor cybercriminelen: identiteitsfraude zet namelijk deuren open waardoor de financiële gevolgen voor de gedupeerden soms niet meer te overzien kunnen zijn.
  
  Door gebruik te maken van beveiligde servers kunt u voorkomen dat gegevens zomaar zijn in te zien. Belangrijk daarbij is dat deze servers niet alleen zelf beveiligd zijn, maar dat deze de data ook versleuteld opslaan.

• Zwakke wachtwoorden

  Wat geeft toegang tot beveiligde gegevens? De gegevens die nodig zijn om voorbij deze beveiliging te komen. Het creëren van een sterk wachtwoord, wat voor hackers moeilijk te raden is, zorgt ervoor dat toegang niet zomaar kan worden verkregen. In 2014 was het raak bij Ebay: hackers hebben via inloggegevens van 3 werknemers toegang gekregen tot databases vol met gevoelige gegevens.
  
  We maken het kwaadwillenden al moeilijk door onze inlog gegevens niet eenvoudig te laten. Een sterk wachtwoord is belangrijk. Maar, dat is niet alles: het regelmatig veranderen van het wachtwoord is hierbij nog sterker. Maak het daarom een gewoonte om eens in de zoveel tijd uw wachtwoorden te vernieuwen.

• Gebrek aan encryptie van data
  

  Ook Zoom, een videocall-applicatie lag onlangs nog onder vuur. Naast problemen met makkelijk te achterhalen wachtwoorden en het toevoegen van gebruikers van hetzelfde domein, waren er ook problemen met de encryptie. Juist dat is belangrijk, wanneer er gegevens worden uitgewisseld. Het gebrek van de juiste encryptie zorgt er namelijk voor dat er bij onderschepping direct toegang is tot de data.
  
  Versleuteling is één ding, maar het ook op de juiste manier toepassen is het tweede. Zero-knowledge end-to-end encryptie is een manier om ervoor te zorgen dat data afgeschermd blijft. Dit geldt zowel voor kwaadwillenden, als ook voor verwerkers van data.