Inloggen
Open menu
Digitale weerbaarheid
Artikel

Hoe de AP verzwegen datalekken ontdekt

Man in wit overhemd houdt bord met open slot waaruit data lekken achter zijn rug
Een datalek niet melden, in de hoop er makkelijk vanaf te komen, lijkt soms aantrekkelijk. | Beeld: Bureau Oma
4 november 2024

Jaarlijks komen er meer dan 20.000 gemelde datalekken binnen bij de Autoriteit Persoonsgegevens (AP). De toezichthouder zet zich in om te zorgen dat ieder slachtoffer wordt geïnformeerd, maar soms worden datalekken bewust of onbewust verzwegen. Is meer proactief toezicht nodig?

Wie te maken krijgt met een datalek moet zich volgens de Algemene Verordening Gegevensbescherming (AVG) binnen 72 uur melden bij de AP. Doe je dat volgens de regels, dan moet je een reeks vragen beantwoorden om de AP in staat te stellen om het lek en de gevolgen ervan goed in beeld te krijgen. Mogelijk volgen daarna nog meer vragen. Een datalek melden vergt in sommige gevallen veel van organisaties. Er kunnen diverse maatregelen worden opgelegd, waaronder een verplichte externe audit met een flink prijskaartje. Een datalek niet melden, in de hoop er makkelijk vanaf te komen, wordt daardoor aantrekkelijker. Hoe ontdekt de AP deze ‘verborgen’ datalekken?

De kans dat een organisatie helemaal wegkomt met een datalek is zeer klein, vertelt Dennis Davrados, Teamleider Datalekken bij de AP. “We houden toezicht aan de hand van de datalekmeldingen. Momenteel krijgen we tot 23.000 meldingen per jaar.” Een groot deel van die duizenden datalekken is volgens Davrados met elkaar verweven. Dat heeft vooral te maken met datalekken bij IT-bedrijven. Wanneer cybercriminelen bij een IT-dienstverlener weten binnen te dringen, worden soms honderden organisaties getroffen die zich allemaal moeten melden.

Hoe meldingen worden behandeld

Bij het meldloket komen de meldingen van de klantorganisaties van zo’n IT-leverancier, bijvoorbeeld van huisartsenpraktijken of scholen. “Wanneer we gedurende de dag steeds meer meldingen zien binnenkomen met betrekking tot één IT-bedrijf, is dat voor ons een trigger,” aldus Davrados. De AP neemt dan contact op met de IT-leverancier in kwestie om de volledige klantenlijst in te zien. “Op die manier krijgen wij ook diverse organisaties die een datalek niet melden in beeld.” Wat ook regelmatig voorkomt, is dat gevallen van datalekken in de media verschijnen en zo bij de AP terechtkomen.

De meest voorkomende oorzaak van een niet-gemeld datalek is gebrek aan kennis
Dennis Davrados, Teamleider Datalekken bij de Autoriteit Persoonsgegevens

Volgens Davrados krijgt de AP veel signalen van burgers die zich melden als slachtoffer van een datalek. “We nemen dan contact op met de organisatie waar het lek heeft plaatsgevonden en onderzoeken natuurlijk ook de reden voor het niet melden.” De meest voorkomende oorzaak van een niet-gemeld datalek is een gebrek aan kennis. “Organisaties schatten het verkeerd in en zien namen, adresgegevens of telefoonnummers niet als een datalek, maar denken: het gaat niet om paspoortgegevens of creditcardgegevens, dus het zal wel meevallen.”

Datalekken steeds complexer

Toezichthouders proberen dan zo’n organisatie alsnog een lek te laten melden. Want ook met minder gevoelige gegevens bestaan er privacyrisico’s. “We zorgen dat slachtoffers goed geïnformeerd zijn en security-maatregelen kunnen nemen.” Davrados verwacht dat de kans erg klein is dat organisaties met een niet-gemeld datalek wegkomen, omdat veel datalekken met elkaar verweven zijn en omdat slachtoffers zich vaak melden met een klacht bij de AP. Bovendien riskeert een organisatie die een datalek niet meldt hardere straffen en boetes.

AP kan meer proactief toezicht houden

Niet iedereen kan zich vinden in deze reactieve wijze van toezicht houden op datalekken. Privacyjurist Floor Terra, die zich regelmatig kritisch uitlaat over de toezichthouder, ziet dat het voor de AP soms behelpen is met een beperkte capaciteit. “De capaciteit die de organisatie nu heeft, werkt volledig reactief en dat is geen capaciteitsprobleem.”

In de ogen van Privacyjurist Floor Terra hebben organisaties een ‘te vrije’ keuze om zich te melden bij de AP.

In de ogen van Terra hebben organisaties een ‘te vrije’ keuze om zich te melden bij de AP. “Naar schatting wordt er bij zo’n 15 procent van de meldingen door de AP doorgevraagd. Er is een aanzienlijke kans dat een melding dus werk en kosten oplevert, terwijl voor de niet-melders de gevolgen nul zijn.” Terra zou graag zien dat de AP meer inzet op niet-gemelde datalekken. Hij doelt dan op methoden om datalekken op te sporen buiten nieuwsberichten, klachten en tips om. Een manier om deze te vinden is bijvoorbeeld door samenwerkingen op te zoeken met andere organisaties, zoals het Digital Trust Center dat ondernemers inlicht over cyberdreigingen. “Dit is een voorbeeld van een plek waar mensen geïnformeerd worden over gelekte data. Ik zou graag zien dat de AP dan ook zo’n lijst in handen krijgt, om deze naast het register met meldingen te kunnen leggen.”

Cybercriminelen

Een andere mogelijkheid waarmee de AP meer proactief toezicht kan houden, zijn in beslag genomen servers met databases die cyber­criminelen hebben aangelegd. Deze liggen bij de politie in een opslag. “Het lukt redelijk om er daar concreet uit te halen bij welke bedrijven er data gestolen zijn.” Terra probeerde al eens met een inzageverzoek zijn slachtoffergegevens in te zien, maar deze werd volgens hem geweigerd door de politie, omdat het te veel werk zou zijn. “Mijn ideaalbeeld is dat de politie deze bulken aan bij criminelen gevonden data aan de AP overhandigt, zodat de slachtoffers geïnformeerd kunnen worden en ervoor kan worden gezorgd dat gehackte organisaties hun verantwoordelijkheid nemen.”

Davrados stelt in een reactie op die suggestie dat niet alleen de AP, maar verschillende organisaties zich bezighouden met cybersecurity en datalekken. “Samenwerken kan over het algemeen natuurlijk nuttig zijn, uiteindelijk draait het om het versterken van de positie van mensen die helaas het slachtoffer zijn geworden van een datalek.” Hij heeft met de politie contact over het samenwerken bij slachtoffernotificaties, het gaat hierbij om oriënterende gesprekken.

Voor de AP is het belangrijk om de hele keten in beeld te hebben als er een datalek gemeld wordt.

De keten in beeld krijgen

Voor de AP is het belangrijk om de hele keten in beeld te hebben als er een datalek gemeld wordt, aldus Davrados. De waakhond gaat zich de komende jaren meer richten op het toenemende aantal complexe datalekken. “Wat we vaak zien bij dit type datalekken is dat de informatievoorziening van zo’n IT-­leverancier of verwerker aan de klantenorganisaties ondermaats is. Zij stellen dan dat ze hun losgeld hebben betaald en dat daarmee de risico’s verdwenen zijn en dat er geen data gestolen zijn. We moeten deze organisaties vaak bijsturen en uitleggen dat er geen garantie is dat hackers niet alsnog de data doorverkopen of publiceren.”

De volledige versie van dit artikel is gepubliceerd in iBestuur Magazine #52 van oktober 2024

Nog geen (gratis) abonnement? Klik HIER

Lees ook:

 

Over Sjoerd Hartholt
Journalist en onderzoeker bij Sijthoff Media, werkzaam voor iBestuur en Binnenlands Bestuur
Lees meer van Sjoerd Hartholt »

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren

Lees ook

Digitale Weerbaarheid | Nieuws
RDI wijst in meerjarenplan de risico’s voor digitale infrastructuur aan
Overheid in Transitie | Interview
Implementatie Woo: “Begin gewoon, het hoeft niet direct perfect”
Digitale Toekomst EU | Nieuws
Waarom winst van Trump mogelijk grote gevolgen heeft voor de digitale overheid