Een accurate risicobeoordeling is cruciaal om de gevolgen van datalek te beperken

De Autoriteit Persoonsgegevens kopt het jaarlijkse overzicht van datalekmeldingen in Nederland dat recentelijk werd gepresenteerd groots in met: “AP waarschuwt: risico’s cyberaanvallen vaak veel te laag ingeschat.” In totaal ontving de AP in 2023 meer dan 25.000 meldingen van een datalek. Alles bij elkaar werden circa 20 miljoen mensen slachtoffer. In het overzicht (terug te vinden op de site van de AP) vindt je een tabel met de risico-inschatting door organisaties, opgesplitst per categorie/per soort cyberaanval en hoeveel procent van de betrokkenen er is geïnformeerd door de organisatie die de datalek melding maakte.

Bij een cyberaanval waarbij e-mailadressen of telefoonnummers buit werden gemaakt, wordt er blijkbaar laat in het proces een risico impact schatting gemaakt en in minder dan de helft van de gevallen werden de betrokkenen geïnformeerd bij een datalek. Hierdoor waren zij niet op de hoogte dat ze door cybercriminelen benadert konden worden en gevaar liepen om opgelicht te worden. Hoewel het een verplichting is van de getroffen organisatie om in geval van een datalek binnen 72 uur een melding te doen, zoals voorgeschreven door de AVG, worden er genoeg incidenten nog altijd niet gemeld aan de AP.

Dat cybercrime een groeiende en moeilijk te stoppen business is, dat is wel duidelijk. Niet voor niks zijn er zoveel verschillende particuliere en overheidsinitiatieven, naast wet- en regelgeving. Met als doel om cybercriminaliteit terug te dringen en om ervoor te zorgen dat men goed geïnformeerd wordt en bewust is van de risico’s. 

Het informeren van de betrokkenen gebeurd blijkbaar nog niet altijd even netjes of secure. Informeren van betrokken bij een datalek is een ‘pijnpunt’ bij afhandeling datalekken, aldus de AP. Een impact-/risicoanalyse is noodzakelijk om (ook) betrokkenen tijdig en goed te informeren. Tenslotte wil je ook niet dat jouw persoonlijke gegevens worden gebruikt om toegang te krijgen tot jouw privé bankrekening. Het plussen van buit gemaakte gegevens gebeurd en je verhandelde gegevens worden zonder je medeweten verhandeld. 

Weet wat er te doen staat in geval van een datalek!

Hoe de verantwoordelijkheden verdeeld zouden moeten zijn in geval van een datalek of cyberaanval is te vaak nog niet concreet afgesproken. Dit schept natuurlijk verwarring in de organisatie, maar ook naar de buitenwereld en kan imagoschade ten gevolgen hebben. Daarom is het goed om op voorhand te oefenen op een incident waarbij data gelekt is. Voor kleine en grote organisaties is dit relevant en wenselijk. Het schept helderheid bij de medewerkers en is servicegericht naar de betrokkenen. Hiermee voorkom je dat je met vingers naar elkaar gaat wijzen en er vertraging optreedt bij het op de juiste manier afhandelen van de gevolgen de situatie. Idealiter moet dit in goed overleg gebeuren, waarbij de FG een belangrijke rol kan spelen. De wetgeving vanuit de AVG verplicht organisaties al zorgvuldig om te gaan met (bijzondere) persoonsgegevens. De nu nog richtlijnen van NIS2 zullen naar alle waarschijnlijkheid in 2025 in gaan en ook al is de organisatie niet bij wetgeving volgens NIS2 verplicht gesteld, het streven is dat organisaties zich bewust zijn van de gevaren van cybercriminaliteit en de organisatie in richten op het mitigeren van risico’s. 

Laten we voorop stellen dat het niet de corebusiness van de meeste organisaties is om fulltime bezig te zijn met informatiebeveiliging, het kan op orde houden ervan kan ervoor zorgen dat in het geval van een cyber incident je de toko niet hoeft te sluiten. Want ook dat is een risico om top of mind te hebben en in te zien ook voor het management. 

Hoe zorg je er als organisatie voor een goede inschatting van de risico's voor de betrokkenen van een datalek? Neem je de juiste stappen om datalekken en incidenten tegen te gaan? Hoe houd je de gevolgschade zo klein mogelijk? En, wat zijn de logische stappen in het geval van een datalek? Audittrail kan je helpen bij het beantwoorden en invulling geven aan deze en andere vragen op het gebied van Privacy en Informatiebeveiliging. We ondersteunen organisaties in hun specifieke behoefte met praktisch advies. Meer weten over onze dienstverlening contact op te nemen met onze adviseurs, we staan graag klaar met een vrijblijvend advies.