Veel meer datalekken door digitale aanvallen, privacywaakhond bezorgd
De Autoriteit Persoonsgegevens maakt zich grote zorgen over de stijging van het aantal meldingen van datalekken als gevolg van digitale aanvallen. Dat aantal steeg het afgelopen jaar met 88 procent, staat in een rapport van de toezichthouder.
"Vorig jaar luidden wij al de noodklok", zegt voorzitter Aleid Wolfsen in een toelichting. Toen was de groei 30 procent. "In onze meest recente meting ging het aantal van dit soort meldingen door het dak." Het gaat in totaal om 2210 meldingen. Volgens de waakhond komt de toename deels doordat er meer nadruk op de meldplicht is gelegd.
De toezichthouder vraagt daarnaast extra aandacht voor de rol van IT-leveranciers, op wie internetcriminelen zich steeds vaker richten. Dit zijn partijen die IT-infrastructuur uit handen nemen van allerlei soorten organisaties. Denk aan softwarepakketten, clouddiensten of werkplekken. Als die leverancier wordt getroffen door een aanval, hebben de organisaties daar ook mee te maken en daarmee ook hun klanten.
7 miljoen slachtoffers
Al met al is een relatief kleine groep leveranciers verantwoordelijk voor de grote hoeveelheid datalekken: 1800 organisaties maakten afgelopen jaar melding van een lek en dat bleek terug te voeren naar 28 leveranciers.
Naar schatting maakten die datalekken samen 7 miljoen slachtoffers. Hier kunnen dubbelingen tussen zitten en het gaat niet per definitie om Nederlanders. Maar het geeft tegelijkertijd wel de schaal van het probleem aan, zeker omdat de werkelijke omvang waarschijnlijk groter is.
In totaal kreeg de toezichthouder het afgelopen jaar bijna 25.000 meldingen binnen, een lichte stijging ten opzichte van een jaar eerder. Het grootste deel (18.000) werd na een eerste beoordeling niet verder bekeken, de andere werden aangemerkt als 'hoog risico'. Hiervan is bijvoorbeeld sprake als het veel slachtoffers of gevoelige persoonsgegevens betreft.
Naar 36 van die 7000 meldingen is daadwerkelijk onderzoek gedaan. "Het ging voornamelijk om situaties waarbij een verwerkingsverantwoordelijke de slachtoffers van een ransomware-aanval ten onrechte niet informeerde", schrijft de toezichthouder in het rapport. Veertien keer ging het om een IT-leverancier.
Scherp kiezen
Uit het lage aantal keren dat de AP daadwerkelijk onderzoek deed, blijkt dat de dienst zeer scherp moet kiezen. "Het is met ons budget en onze bezetting onmogelijk om iedere melding met een hoogrisicogrond te onderzoeken", zegt Wolfsen daarover. De toezichthouder vraagt al langer om meer budget, maar de extra toezeggingen in het coalitieakkoord zijn nog niet genoeg.
Het komt ook voor dat organisaties losgeld betalen na een digitale aanval met gijzelsoftware en vervolgens hun klanten niet informeren over het datalek. Er zijn dan bijvoorbeeld afspraken gemaakt met criminelen dat zij niks met de data gaan doen. De AP is hierover niet te spreken en geeft deze organisaties - die niet bij naam worden genoemd - een tik op de vingers.