De Autoriteit Persoonsgegevens heeft deze maand haar jaarlijkse rapportage datalekken gepubliceerd. Grootste punt van zorg? Organisaties schatten de risico’s van datalekken in veel gevallen te laag in, waardoor de risico’s voor betrokkenen toenemen. Hoe dat zit en wanneer betrokkenen geïnformeerd moeten worden, bespreken we in deze blog.
Risico-inschatting bij een cyberaanval
Uit de jaarlijkse rapportage datalekken van de Autoriteit Persoonsgegevens (AP), blijkt dat zo’n 69% van de organisaties die getroffen wordt door een cyberaanval, het risico voor de betrokkenen te laag inschat. Daarnaast blijkt dat gemiddeld 46% van de organisaties die een datalek vanwege een hoog risico aan de betrokkenen zouden moeten melden, de slachtoffers ook daadwerkelijk informeert.
Het gaat in het onderzoek om datalekken waarbij bijvoorbeeld medische persoonsgegevens, creditcardgegevens of kopieën van paspoorten betrokken zijn. Daarnaast is er gevraagd naar datalekken waarbij ogenschijnlijk minder gevoelige persoonsgegevens getroffen zijn, zoals e-mailadressen en NAW-gegevens.
Uit het onderzoek van de AP blijkt dat 66% van de organisaties het risico voor de betrokkenen als laag beschouwt, terwijl er bijzondere persoonsgegevens betrokken waren bij de cyberaanval. Ging het om kopieën van paspoorten? Dan schat 67% het risico laag in. Bij een groot aantal e-mailadressen of telefoonnummer loopt dit percentage zelfs op naar 80%.
Zorgwekkend, aldus de AP.
Datalekken door cyberaanvallen leveren namelijk vaak hoge risico’s op voor de betrokkenen. Zeker als het gaat om creditcardgegevens, kopieën van identiteitsbewijzen, bijzondere persoonsgegevens of gegevens van kwetsbare personen.
Cybercriminelen kunnen hiermee aan de haal gaan en dit type persoonsgegevens misbruiken voor identiteitsfraude, phishing of oplichting. Daarom moet dit soort datalekken in veel gevallen wél gemeld worden aan de betrokkenen.
Waarom informeren organisaties betrokkenen van een datalek niet?
Betrokkenen van een datalek worden in een groot aantal gevallen niet geïnformeerd, terwijl dit dus wel zou moeten.
Hoe komt dat?
De AP benoemt een aantal verkeerde afwegingen die organisaties maakten na een datalek door een cyberaanval. Veelgehoorde argumenten:
het is onduidelijk welke data gestolen is;
we willen geen onnodige onrust veroorzaken bij betrokkenen; en
het gaat alleen om contactgegevens.
De AP geeft aan dat bovenstaande argumenten in veel gevallen niet opgaan. Als u bijvoorbeeld na onderzoek niet weet welke data precies is buitgemaakt, dan moet u uitgaan van het ergste scenario. Zijn er grote aantallen contactgegevens betrokken bij het datalek? Ook dan moet u de betrokkenen informeren.
Risico-afweging datalek
Op dit moment wordt het risico van een datalek door een cyberaanval voor betrokkenen vaak te laag ingeschat. De risico-inschatting is in handen van de getroffen organisaties zelf. De AVG stelt alleen dat u betrokkenen moet informeren als er sprake is van een hoog risico.
Hoe gaat u daarmee om?
Er zijn natuurlijk een aantal inkoppers. Zo is het risico bij gevoelige persoonsgegevens als strafbare feiten of medische gegevens veel groter dan bij alleen e-mailadressen. Wat ook meeweegt in de beoordeling is de vraag wie de gegevens in handen heeft gekregen. Een door een kwaadwillende gehackt bestand kent immers een veel groter risico, dan een verkeerd geadresseerd mailtje naar een vertrouwde organisatie.
Om u te helpen de risico-afweging te maken, kunt u de voorbeeldlijst wel/niet melden aan de Autoriteit Persoonsgegevens en betrokken personen raadplegen. Ook heeft de AP een lijst gemaakt met factoren die u helpen om de risico-afweging te maken.
Meer weten over datalekken en de acties die u (preventief) kunt nemen?
Lees dan ook onze blogs:
Veel begripsverwarring rondom datalekken: hoe zit het nu écht?
Datalek bij uw IT-leverancier? Zo verkleint u de impact ervan
Op de hoogte blijven van deze en andere ontwikkelingen in IT recht?
Abonneert u zich dan nu op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.