image

AP: 26.000 datalekmeldingen vorig jaar, maar slachtoffers vaak niet ingelicht

woensdag 10 april 2024, 08:12 door Redactie, 9 reacties

De Autoriteit Persoonsgegevens (AP) ontving vorig jaar zo'n 26.000 meldingen van datalekken, maar slachtoffers worden vaak niet ingelicht, zo laat de privacytoezichthouder in het vandaag gepubliceerde jaarverslag 2023 weten. Op basis van de ontvangen datalekmeldingen schat de AP dat vorig jaar twintig miljoen mensen slachtoffer van een datalek zijn geworden. Het gaat zowel om mensen in Nederland als in andere landen.

Een probleem is dat veel organisaties die door een cyberaanval worden getroffen het risico voor slachtoffers te laag inschatten. Op basis van een analyse stelt de AP dat 54 procent van de organisaties slachtoffers niet informeert. "Mensen die niet weten dat ze slachtoffer zijn van een datalek, kunnen verrast worden door een phishingaanval of het slachtoffer worden van oplichting of identiteitsfraude", aldus de AP. Vorig jaar deden ruim zevenduizend mensen melding van identiteitsfraude bij het Centraal Meldpunt Identiteitsfraude (CMI).

Van alle gerapporteerde datalekken vorig jaar ging het ruim dertienhonderd keer om een cyberaanval. "Cyberaanvallers richten hun digitale pijlen vaak op it-leveranciers. Organisaties huren it-leveranciers in om vaak grote hoeveelheden persoonsgegevens te beheren. Deze inhurende organisaties blijven doorgaans zelf verantwoordelijk als er iets gebeurt met deze gegevens", laat de toezichthouder weten. Volgens de AP leveren datalekken door cyberaanvallen over het algemeen hoge risico’s op voor de slachtoffers, zoals identiteitsfraude, phishing of oplichting. "Daarom moet dit soort datalekken vrijwel altijd gemeld worden aan de AP en aan de slachtoffers."

Meeste datalekken door verkeerd verzonden brief

De meeste datalekken die vorig jaar bij de AP werden gemeld waren veroorzaakt door een verkeerd verstuurde brief. Het ging om tienduizend meldingen. Een verkeerd verstuurde e-mail was bij 3300 datalekmeldingen de oorzaak. Zoals gezegd was dertienhonderd keer een cyberaanval zoals malware of phishing de reden, maar een zelfde aantal deed zich voor doordat klanten in een klantportaal van bedrijf of organisatie de gegevens van een andere klant te zien kregen.

De gezondheidssector was verantwoordelijk voor de meeste datalekmeldingen, negenduizend in totaal. Het openbaar bestuur volgt met 4300 meldingen en financiële dienstverleners rapporteerden bijna tweeduizend datalekken. "Mensen moeten erop kunnen vertrouwen dat organisaties goed met hun persoonsgegevens omgaan. Daar hoort ook bij dat een organisatie jou goed informeert als er helaas iets misgaat met jouw gegevens", zegt AP-voorzitter Aleid Wolfsen. "Digitalisering brengt kansen met zich mee, maar ook risico’s. Dat maakt het des te belangrijker om mensen goed te informeren."

Reacties (9)
10-04-2024, 10:12 door Anoniem
Mocht uitkomen wie mij niet heeft gewaarschuwd en ik lijd schade hierdoor, dan zal ik ze aansprakelijk stellen voor de schade!
10-04-2024, 11:25 door Anoniem
Als zogenoemde bijzondere persoonsgegevens werden buitgemaakt, bijvoorbeeld data over seksuele voorkeur of geloof, werden klanten in 62 procent van de gevallen niet geïnformeerd. Dat terwijl het in zo'n geval wettelijk verplicht is, waarschuwt de Autoriteit Persoonsgegevens. Als kopieën van paspoorten of creditcardgegevens werden gestolen, werden klanten vaker geïnformeerd, maar nog altijd gebeurde dat bij circa 40 procent van de gevallen niet.

https://nos.nl/artikel/2516190-privacywaakhond-bedrijven-melden-ernstige-cyberaanvallen-te-vaak-niet
10-04-2024, 11:45 door Anoniem
Effe eerst een leukie van jaren geleden. Ik had een paar servers. Ge-colocate. Dus ging er wat stuk, dan moest ik zelf naar het datacenter racen. Met afspraak. En met antistatische sokken aan. Met geluk kon ik dan ergens een monitor en een keyboard lenen. Terwijl er in de hoek een hele vergasinstallatie stond met halon gas. Voor als er brand uit zou breken. Er gaat iets kapot. Ik denk een koelvin of zo op de processor. Heel de nacht niet geslapen maar ik mocht al vroeg op het datacenter bij de amsix backbone komen. Met antistatische sokken. En dat ik begreep dat als de vergasinstallatie afging ik moest hollen naar de deur. De rest mijn probleem. Want dat heb je als je een gecolocate server hebt.

Het lukte allemaal, geboot en alles werkte weer. Halleluja voor voorlopig maar wel de hele dag monitoren van thuis af of het niet nog een keer kon gebeuren.

Affijn ik ben thuis, krijg ik een email van een boze gebruiker. Waarom hij geen email had gekregen dat mijn server uit de lucht was. Op zich was dat simpel, want de mailserver draaide onder die kapotte koelvin. Dus dat had al helemaal niet gekund tot de boel weer in de lucht was. Maar nog erger, alles was destijds al zo anoniem dat ik weliswaar een email adres voor ondersteuning had, maar helemaal nergens in een database email adressen van gebruikers. Omdat mijn principe toen al was, data die je niet nodig hebt wil je niet hebben, stel je voor dat het gepikt wordt. Wat je niet moet weten moet je niet willen weten.

Het was evenwel niet gemakkelijk antwoorden. Eerst zakt je broek af van zo een klacht, maar dan rustig door monitoren want je hebt nog duizenden andere gebruikers die blijkbaar heel blij waren dat alles weer in de lucht was, dat kon ik gelijk zien in mijn webalizer. Maar die ene is net zo belangrijk. Probeer dat dan maar eens in maximaal twee begrijpelijke zinnen uit te leggen. In je antistatische sokken van het KPN datacenter met vergasinstallatie.

Wat ik eigenlijk probeer te duiden, met teveel zinnen, je moet gewoon nooit data vastleggen die je niet nodig hebt. Dat zou de AP ook heel veel nodeloos werk schelen. Die ene die dan boos wordt, als je koelvin weer werkt, die krijg je dat ook nog wel uitgelegd in twee zinnen.

Het allerbelangrijkst op internet is vertrouwen. En eerlijk zijn dat er wel eens wat kapot kan gaan. Dan komen je gebruikers tien jaar later nog terug.
10-04-2024, 12:15 door Anoniem
Door Anoniem: Mocht uitkomen wie mij niet heeft gewaarschuwd en ik lijd schade hierdoor, dan zal ik ze aansprakelijk stellen voor de schade!
Moet je eerst kunnen aantonen, dat je werkelijk schade hebt ondervonden.
10-04-2024, 12:20 door Anoniem
En welke boetes heeft de AP nu opgelegd aan deze bedrijven?
Want als je dat niet doet, dan melden ze het de volgende keer weer niet.
10-04-2024, 12:27 door Anoniem
Bij de hack van Nebu, dat software levert voor markt- en klantonderzoek, zijn de gegevens van zo'n 2,5 miljoen Nederlanders gelekt, volgens de Autoriteit Persoonsgegevens. Eerder werd gedacht dat klantgegevens van 2 miljoen mensen waren gelekt. Nu schat de AP dat aantal dus nog een kwart hoger in: 2,5 miljoen mensen. Onder meer de Nederlandse Spoorwegen, VodafoneZiggo, zorgverzekeraar CZ en Heineken lieten klanten destijds weten dat er een datalek had plaatsgevonden. De AP heeft in erop aangedrongen dat de gedupeerden alsnog op de hoogte brengen.

https://www.rtl.nl/nieuws/tech/artikel/5444240/een-hack-data-van-25-miljoen-mensen-op-straat-nebu
10-04-2024, 12:56 door Anoniem
Waarom zouden bedrijven hun slachtoffers inlichten, wetende dat de autoriteit-zonder-autoriteit-persoonsgegevens in 99% van de gevallen sowieso nergens werk van maakt, en in de resterende 1% niet verder durft te gaan dan driewerf "foei!" en een aai over de bol? De reputatieschade van wél melden loopt al gauw in de miljoenen, kosten die je makkelijk kunt uitsparen terwijl de kans dat je slachtoffers daar ooit achter komen nagenoeg nul is. En dan heb je al die organisaties die gewoon helemaal niks melden - dus ook niet bij die ""autoriteit"" - nog niet eens in beeld.
10-04-2024, 17:19 door Anoniem
Door Anoniem: Waarom zouden bedrijven hun slachtoffers inlichten, wetende dat...
Omdat niet iedereen een gewetenloze opportunist is die alleen maar op de pakkans let. Ook niet onder ondernemers en managers. En onder de opportunisten zijn er die snugger genoeg zijn om te snappen dat ze een goede indruk op hun klanten maken als ze dit netjes en voortvarend afhandelen en mensen heel goed op de hoogte stellen en houden.
12-04-2024, 10:03 door karma4 - Bijgewerkt: 12-04-2024, 10:06
Door Anoniem:,,, De AP heeft in erop aangedrongen dat de gedupeerden alsnog op de hoogte brengen.
Ja zoals als ooit een telefoongids bedacht. Nu voor de AP een reden om heel nederland te informeren dat een telefoongids de aanleiding voor oplichting zou zijn. Ze zijn voor security ver van het padje af.

Volgens de AP leveren datalekken door cyberaanvallen over het algemeen hoge risico’s op voor de slachtoffers, zoals identiteitsfraude, phishing of oplichting.
Ze hebben bij de AP duidelijk niet door hoe belangrijk de juiste identificatie authenticatie voor de er bij horende persoon is.
Het blijft zo met die onkunde dweilen met de kraan open. Je moet niet gaan klagen dat er deuren bestaan, je moet kijken hoe de deuren voor de juiste persoon toegang geven. Een slot en sleutel is een praktische invulling maar daar zijn veel betere opties bij als het risico dat rechtvaardigt. Nu geven ze kwaadwillenden alle ruimte omdat sloten een privacyinbreuk zouden zijn .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.