De Autoriteit Persoonsgegevens (AP) ontving in 2020 in totaal 1.173 meldingen over hacks waarbij persoonsgegevens zijn gestolen. Dat is een toename van dertig procent ten opzichte van het jaar ervoor. Daarentegen is het aantal datalekmeldingen afgenomen.
Dat blijkt uit de ‘Rapportage Datalekken 2020’ dat de AP vandaag publiceert.
In 2020 ontving de AP in totaal 23.976 datalekmeldingen. Dat is een daling van elf procent ten opzichte van 2019. Bijna vijf procent van de meldingen betreft datadiefstal. Cybercriminelen zetten hacking, malware of phishing in om persoonsgegevens buit te maken. De autoriteit zegt dat dit type meldingen met bijna een derde is gestegen ten opzichte van vorig jaar. In 2019 namen dergelijke meldingen al met een kwart toe.
Het rapport concludeert dat vooral grote organisaties die veel persoonsgegevens verwerken het doelwit zijn van datadiefstal. Iets meer dan veertig procent van de meldingen komt van organisaties met meer dan vijfhonderd medewerkers. Het type datalek komt het meest voor in de sector gezondheid en welzijn (13 procent) gevolgd door onderwijs (11 procent), ict-dienstverlening (9 procent) en handel en autobranche (8 procent).
Dat persoonsgegevens steeds vaker het doelwit zijn van criminelen, vindt de autoriteit zeer verontrustend. Criminelen kunnen de persoonsgegevens gebruiken voor identiteitsfraude of oplichting en de schade kan tot in de duizenden euro’s lopen.
Type datalekken
Datadiefstal is dus goed voor zo’n vijf procent van alle datalekken. Nog steeds ontstaat twee derde deel van datalekken doordat de persoonsgegevens naar een verkeerde ontvanger zijn versturen. Dat wordt gevolgd doordat een post met persoonsgegevens is kwijtgeraakt (8 procent). Andere type datalekken ontstaan wanneer verkeerde persoonsgegevens in een klantportaal worden getoond (4 procent), wanneer een apparaat of gegevensdrager, zoals usb-stick, is kwijtgeraakt of gestolen (3 procent) en wanneer persoonsgegevens per ongeluk worden gepubliceerd (3 procent).
Van de 23.976 datalekmeldingen komt maar liefst dertig procent uit de sector gezondheid en welzijn. Dat is een daling van vier procent ten opzichte van 2019. De daarop volgende meest getroffen sectoren zijn de financiële dienstverlening en het openbaar bestuur (beide 22 procent). De financiële sector noteert een daling van 34 procent en bij de overheid stijgt het aantal datalekken met dertien procent. Die stijging bij de overheid komt vooral doordat er meer persoonsgegevens zijn afgegeven of verstuurd aan een verkeerde ontvanger. Drie procent van de datalekmeldingen is afkomstig uit de ict-sector.
“Net als in de afgelopen jaren worden de meeste datalekken veroorzaakt doordat persoonsgegevens naar een verkeerde ontvanger gaan. De stijging van het aantal meldingen vanuit de overheid komt hoofdzakelijk door dit type datalek.”
Eehhmm ja, is dat hier niet de essentie van een datalek? Dat ‘persoonsgegevens naar een verkeerde ontvanger gaan’?
Als ze naar de goede ontvanger gaan is er niets aan de hand. En als het geen persoonsgegevens betreft dan heeft de AP geen betrokkenheid.
Bij een ‘datalek’ is sprake van verlies door eigen nalatigheid of toedoen. Dit in tegenstelling tot ‘datadiefstal’.
Gezondheid & Welzijn (30%), Financiële Dienstverlening (22%) en Openbaar Bestuur (22%) waren in 2020 gezamenlijk verantwoordelijk voor 74% van het totaal aantal meldingen van ‘datalekken’. En in 66% van het totaal aantal meldingen van ‘datalekken’ was sprake van verkeerd verstuurde persoonsgegevens of afgifte aan de verkeerde ontvanger.
Daarnaast was in slechts 5% van het totaal aantal meldingen van ‘datalekken’ sprake van hacking, phishing of malware.
Kortom, in ongeveer 95% van de 23.976 van de ‘datalekken’ was sprake van ‘eigen toedoen’.
Overigens blijkt een onbekend aantal meldingen van ‘datalekken’ niet of te laat te worden gemeld. Opnieuw een zaak van ‘eigen toedoen’.
Onduidelijk, want niet onderbouwd, is hoe meerfactorauthenticatie (MFA) de impact van juist die 95% datalekken had kunnen beperken of voorkomen.
Zoals we bovendien uit de historie weten was in veel gevallen van inbreuken sprake van ‘meekijken met een collega’ of het gebruik van elkaars authenticatiemiddelen.
De doorgaans ontbrekende systeem- en applicatie-logging is dan het sluitstuk van het brakke bouwwerk.
Dat zowel beveiligingsbewustzijn en mede daardoor het beveiligingsbeleid in de meeste organisaties niet of onvoldoende op orde is een situatie die al decennia in stand wordt gehouden. Ook de AVG – sinds mei 2016 van kracht – heeft daarbij nauwelijks invloed gehad.
De verantwoordelijken worden nog steeds niet accountable gehouden.
Dat de AP 2/3 van het rapport besteed aan MFA misleidt dan ook. Het leidt de aandacht af van de achterliggende oorzaken.
MFA is een middel, geen doel. Een noodzakelijk middel voor een basisniveau van beveiliging.
Maar voor het dringend noodzakelijke doel is MFA slechts een beperkt middel. Een panacee.