Het bekendste datalek van 2023 werd veroorzaakt door een cyberaanval op de softwareleverancier Nebu. Dat bedrijf maakt software voor marktonderzoeksbureaus.
Door de digitale inbraak bij Nebu zijn de gegevens van 2,5 miljoen mensen op straat komen te liggen. Het ging om de data van klanten van bijvoorbeeld de NS, VodafoneZiggo en Heineken. Dat meldt de Autoriteit Persoonsgegevens woensdag in zijn datalekkenrapportage over 2023.
Het onderzoek naar het datalek bij Nebu is nog niet afgerond, laat de toezichthouder weten. Het is daardoor nog niet duidelijk of de privacywaakhond de softwareontwikkelaar gaat bestraffen.
Afnemers van de software van Nebu klaagde vorig jaar over ernstige nalatigheid bij de leverancier. Ze stapten zelfs naar de rechter om informatie over het datalek te krijgen.
Volg het nieuws over datalekken
Datalekken vaak gebruikt voor phishing
Cybercriminelen gebruiken informatie uit datalekken onder andere voor phishing. Ze sturen slachtoffers een mail of sms die afkomstig lijkt te zijn van het bedrijf waar hun data zijn gelekt. Vervolgens proberen ze daarmee bijvoorbeeld toegang te krijgen tot jouw accounts, bankrekeningen of creditcard.
De AP ontving in 2023 in totaal 25.694 meldingen van datalekken. Maar daar zit een dubbeltelling in. Door de cyberaanval op Nebu zijn de klantgegevens van 190 bedrijven op straat komen te liggen. Die hebben allemaal afzonderlijk melding gemaakt van hetzelfde datalek.
Datalekken ontstaan vaak door een cyberaanval
Cyberaanvallen zijn vaak de oorzaak van datalekken, concludeert de AP. De privacywaakhond registreerde vorig jaar dertienhonderd cyberaanvallen waarmee een datalek is ontstaan.
"Bedrijven en organisaties schatten het risico van een datalek vaak te laag in", vertelt inspecteur Dennis Davrados van de AP. "Meer dan de helft van alle getroffen organisaties informeert klanten niet over het datalek. Dat is erg zorgelijk."
Veel bedrijven denken dat het uitlekken van een telefoonnummer of mailadres niet zo erg is. Maar in de praktijk wordt bijvoorbeeld een 'onschuldig' mailadres of telefoonnummer juist heel vaak gebruikt voor phishing.
Als klanten niet weten dat hun gegevens bij een bedrijf zijn uitgelekt, trappen ze sneller in een phishingcampagne. Die worden vaak al snel na een datadiefstal opgezet door cybercriminelen.
Je moet zo snel mogelijk geïnformeerd worden over een datalek
Bedrijven die een melding maken van een datalek krijgen van de AP de opdracht direct alle getroffen klanten te informeren. Dat moet voorkomen dat mensen in eventuele phishingcampagnes van cybercriminelen trappen.
Ondanks het grote aantal datalekken heeft de AP in 2023 geen boetes opgelegd. "Dat is om de meldingsbereidheid zo hoog mogelijk te houden", zegt Özlem Sehirli-Kaya, manager Team Datalekken bij de AP. In het belang van alle mensen die door een datalek worden getroffen, zet de toezichthouder liever in op ondersteuning van de bedrijven met een datalek.
In de afgelopen jaren heeft de privacywaakhond slechts een handvol boetes uitgeschreven. Die maatregel neemt de AP alleen als bedrijven niet meewerken met de toezichthouder of datalekken niet melden. Maar ook in situaties waarin bedrijven onvoldoende maatregelen nemen om herhaling te voorkomen kan de toezichthouder het bonnenboekje trekken.
NUjij: Uitgelichte reacties