De grootste datalekken in België: wereldwijd dataprobleem
“Datalekken zijn een reëel gevaar”, dat schrijft het Belgische Centrum voor Cybersecurity (CCB). “De dreiging van een datalek bereikt een nieuw niveau met cloud computing-diensten.” Steeds meer programma’s werken volledig in de cloud en dat maakt ons kwetsbaarder. Veel data wordt namelijk doorgestuurd naar externe servers. Waar vroeger alle data in een programma op het toestel zelf werd opgeslagen, legt het nu een lange route af naar externe diensten. “Volgens een studie van het Penonmon Intitute is de kans op een datalek drie keer groter voor bedrijven die gebruikmaken van de cloud”, concludeert het CCB.
Wat is een datalek?
Er wordt van een datalek gesproken van zodra een set persoonsgegevens in handen is van externe partijen die geen toegang tot die set mogen hebben. Volgens de huidige GDPR-wetgeving wordt een datalek letterlijk gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden opgeslagen of anderszins verwerkte gegevens”.
In de meeste gevallen ligt een beveiligingsprobleem aan de basis van een datalek. Kleine stukjes software worden dan gebruikt als achterpoort om tot bij de datasets te geraken. Men spreekt ook van een datalek wanneer er bijvoorbeeld een USB-stick met persoonsgegevens kwijt is of een cyberaanval heeft plaatsgevonden. Vaak is het onduidelijk of ook persoonsgegevens zijn uitgelekt.
- Lees ook: Hoe effectief is de GDPR-wetgeving?
Meldingen van datalekken in België
Sinds medio 2018 zijn bedrijven verplicht om datalekken aan te geven bij de Gegevensbeschermingsautoriteit (GBA). Dat moet volgens de wetgeving binnen de 72 uur na ontdekking gebeuren. In 2018 kreeg de GBA 445 meldingen binnen. In 2019 ging dat cijfer omhoog, maar we bleven onder de 1.000 meldingen. Uiteraard wil dat lage cijfer helemaal niet zeggen dat er relatief weinig problemen zijn. Ter vergelijking: in 2020 kreeg de GBA 1.060 meldingen binnen terwijl dat er in Nederland in 2019 al 27.000 waren.
Waar zit het probleem dan bij ons? Expert Filip Van Elsen vertelde in februari aan De Tijd dat veel bedrijven vaak in het duister tasten. Het is niet gemakkelijk om te bepalen of een datalek heeft plaatsgevonden aangezien een datalek niet gelinkt moet zijn aan een cyberaanval. Van Elsen haalt als voorbeeld aan dat een medewerker bijvoorbeeld zijn laptop op de trein kan vergeten. Ook dan kan je van een datalek spreken, aangezien het bedrijf op dat moment niet meer kan garanderen dat de data op die laptop veilig is.
Door thuiswerk is er minder controle over de beveiliging van bedrijfssystemen
Een tweede probleem ligt bij cloud computing. Zoals we al aanhaalden gebruiken steeds meer bedrijven programma’s die deels of volledig in de cloud functioneren. Bedrijven kunnen vaak maar een korte actiegeschiedenis van hun cloudsystemen herbekijken. Daardoor weten ze in veel gevallen dus niet of er ook effectief een datalek heeft plaatsgevonden. Dat maakt dus dat bedrijven de stap naar een melding aan de GBA niet zetten. Toch hebben de voorbije cyberaanvallen en datalekken de ogen van veel bedrijven geopend in België, concluderen Van Elsen en Vierstraete in hun gesprek met de zakenkrant.
Hoe doe je de melding?
Het is belangrijk dat je als bedrijf een correcte melding doet bij de juiste instelling. Hoe ga je aan de slag als je bedrijf te maken heeft met een datalek?
Stap 1: Leg alles intern vast
Zorg ervoor dat je alles oplijst wat er fout is gelopen, welke data gelekt is en welke maatregelen je al dan niet al hebt genomen. Zelfs als je niet zeker bent of weet dat het risico op een datalek heel klein is kan je dit best vastleggen.
Stap 2: GBA
In de tweede stap ga je melding doen bij de Belgische Gegevensbeschermingsautoriteit of GBA. Dat kan via dit formulier. Dat doe je best in samenwerking met een Data Protection Officer die je hierbij kan helpen. Het is belangrijk dat je deze melding maximum 72 uur na de ontdekking van je risico doet.
Stap 3: Communiceren naar de buitenwereld
Nadat je melding hebt gedaan bij de GBA is het belangrijk om als bedrijf transparant naar buiten te komen. Zeker als het gaat over het lekken van persoonsgegevens moet je luid en duidelijk communiceren naar alle stakeholders. Ook hier kan een Data Protection Officer heel handig van pas komen.
Nadat de melding is gebeurd, kan de GBA een boete of sanctie opleggen aan je bedrijf of organisatie. Vooral wanneer de GBA kan vaststellen dat je onvoldoende middelen hebt gebruikt om de privacy en data te beschermen. De Gegevensbeschermingsautoriteit kan je ook een berisping geven, zoals dat bij een school gebeurde, begin 2021.
Hoe kan je een datalek vermijden?
Europa probeert al enkele jaren cybercriminelen een hak te zetten. De GDPR-wetgeving is daar een onderdeel van. Steeds meer bedrijven worden na een cyberaanval onder druk gezet om losgeld te betalen. Je doet het dus niet alleen voor de bescherming van je data maar ook voor het kostenplaatje. Daarom is het belangrijk om als bedrijf te investeren in een stabiele IT-beveiliging. Datalink somt drie bruikbare tips op om een datalek of cyberaanval te vermijden.
1. Hoeveel data gebruik je nu eigenlijk?
Het is belangrijk dat je bedrijf in kaart brengt welke data het in bezit heeft, waarvoor het gebruikt wordt en of het wel effectief nodig is. Je onderneming moet ook weten waar al die data naartoe gaat en hoe ze intern al dan niet gedeeld wordt. Door dit te doen kan je als onderneming veel sneller schakelen, mocht het toch foutlopen.
2. Investeer in cybersecurity
Investeren in beveiliging is een zeer belangrijke factor om te voorkomen dat je onderneming in de problemen komt. Wil je een lek of aanval voorkomen? Investeer dan in cybersecurity: zo eenvoudig is het. De investering loont en je zal achteraf tevreden zijn van de investering en de schadekosten die je hebt vermeden.
3. Geef niet iedereen toegang
Een derde pijler in het voorkomen van een datalek is dat je perfect weet wie toegang heeft tot welke data. Je doet er namelijk goed aan door niet iedereen zomaar toegang te geven tot bepaalde data.
En de boetes?
Dailybits.be houdt alle uitgedeelde GDPR-boetes per land bij op zijn website. Nadat Jubel.be in december 2019 door de GBA werd terechtgewezen en een boete van 15.000 euro moest betalen, zijn de ogen van heel wat bedrijven opengegaan. Sindsdien hebben 21 ondernemingen, instellingen en zelfs particulieren een GDPR-boete in de bus gekregen. Zo kreeg een school in januari 2021 een berisping nadat een mail naar alle ouders in CC werd gestuurd. Een particulier koppel kreeg een boete van 1.500 euro omdat ze hun beveiligingscamera’s naar de straat hadden gericht. Ook Telenet ontving een berisping omdat een inspectie aan het licht bracht dat er onregelmatigheden zaten in de privacy-instellingen en het recht om die te gebruiken door de marketingafdeling van Telenet.
Datalekken in België
Tijdens het paasweekend van 2021 verscheen op een online hackersforum een enorme database met de persoonlijke gegevens van meer dan 500 miljoen Facebook-gebruikers, waaronder 3 miljoen Belgen Voor- en achternamen, Facebook ID’s, telefoonnummers, adressen, geboortedata en mailadressen werden allemaal gratis en voor niets aangeboden aan cybercriminelen op het forum. De hackers wisten de data in 2019 al te bekomen door een kwetsbaarheid uit te buiten waar Facebook inmiddels al wel een patch voor uitrolde. Het lijstje met datalekken in België is helaas nog groter dan alleen Facebook. Zo kwam op 22 juni 2021 aan het licht dat de persoonsgegevens van maar liefst 700 miljoen LinkedIn-gebruikers te koop werden aangeboden. Booking.com had te maken met een datalek en werd daarvoor beboet door de Nederlandse AP en persoonsgegevens van verkopers op Bol.com waren bijna een maand zichtbaar voor derde partijen. De Belgische NMBS kreeg de voorbije drie jaar te maken met datalekken en het lijkt erop dat er tot op vandaag maar weinig geïnvesteerd werd in cybersecurity.
Cybersecurity is niet alleen een probleem in België. In de eerste helft van 2021 zijn meer dan 118 miljoen mensen onrechtstreeks betrokken geraakt of het slachtoffer geworden door de impact van een datalek. Wereldwijd komen er bijna wekelijks nieuwe meldingen binnen. Zo kwamen er bij Audi in de Verenigde Staten nummerplaten en persoonsgegevens van 80.000 klanten en mogelijke klanten op straat terecht. Niet veel later meldde ParkMobile, de bekendste parkeerapp in de VS, dat een fout in de software voor een datalek had gezorgd. De data van 21 miljoen gebruikers lag voor het oprapen, de impact in België bleek klein te zijn.
“Datalekken zijn een reëel gevaar”, dat schrijft het Belgische Centrum voor Cybersecurity (CCB). “De dreiging van een datalek bereikt een nieuw niveau met cloud computing-diensten.” Steeds meer programma’s werken volledig in de cloud en dat maakt ons kwetsbaarder. Veel data wordt namelijk doorgestuurd naar externe servers. Waar vroeger alle data in een programma op het toestel zelf werd opgeslagen, legt het nu een lange route af naar externe diensten. “Volgens een studie van het Penonmon Intitute is de kans op een datalek drie keer groter voor bedrijven die gebruikmaken van de cloud”, concludeert het CCB.
Wat is een datalek?
Er wordt van een datalek gesproken van zodra een set persoonsgegevens in handen is van externe partijen die geen toegang tot die set mogen hebben. Volgens de huidige GDPR-wetgeving wordt een datalek letterlijk gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden opgeslagen of anderszins verwerkte gegevens”.
In de meeste gevallen ligt een beveiligingsprobleem aan de basis van een datalek. Kleine stukjes software worden dan gebruikt als achterpoort om tot bij de datasets te geraken. Men spreekt ook van een datalek wanneer er bijvoorbeeld een USB-stick met persoonsgegevens kwijt is of een cyberaanval heeft plaatsgevonden. Vaak is het onduidelijk of ook persoonsgegevens zijn uitgelekt.
- Lees ook: Hoe effectief is de GDPR-wetgeving?
Meldingen van datalekken in België
Sinds medio 2018 zijn bedrijven verplicht om datalekken aan te geven bij de Gegevensbeschermingsautoriteit (GBA). Dat moet volgens de wetgeving binnen de 72 uur na ontdekking gebeuren. In 2018 kreeg de GBA 445 meldingen binnen. In 2019 ging dat cijfer omhoog, maar we bleven onder de 1.000 meldingen. Uiteraard wil dat lage cijfer helemaal niet zeggen dat er relatief weinig problemen zijn. Ter vergelijking: in 2020 kreeg de GBA 1.060 meldingen binnen terwijl dat er in Nederland in 2019 al 27.000 waren.
Waar zit het probleem dan bij ons? Expert Filip Van Elsen vertelde in februari aan De Tijd dat veel bedrijven vaak in het duister tasten. Het is niet gemakkelijk om te bepalen of een datalek heeft plaatsgevonden aangezien een datalek niet gelinkt moet zijn aan een cyberaanval. Van Elsen haalt als voorbeeld aan dat een medewerker bijvoorbeeld zijn laptop op de trein kan vergeten. Ook dan kan je van een datalek spreken, aangezien het bedrijf op dat moment niet meer kan garanderen dat de data op die laptop veilig is.
Door thuiswerk is er minder controle over de beveiliging van bedrijfssystemen
Een tweede probleem ligt bij cloud computing. Zoals we al aanhaalden gebruiken steeds meer bedrijven programma’s die deels of volledig in de cloud functioneren. Bedrijven kunnen vaak maar een korte actiegeschiedenis van hun cloudsystemen herbekijken. Daardoor weten ze in veel gevallen dus niet of er ook effectief een datalek heeft plaatsgevonden. Dat maakt dus dat bedrijven de stap naar een melding aan de GBA niet zetten. Toch hebben de voorbije cyberaanvallen en datalekken de ogen van veel bedrijven geopend in België, concluderen Van Elsen en Vierstraete in hun gesprek met de zakenkrant.
Hoe doe je de melding?
Het is belangrijk dat je als bedrijf een correcte melding doet bij de juiste instelling. Hoe ga je aan de slag als je bedrijf te maken heeft met een datalek?
Stap 1: Leg alles intern vast
Zorg ervoor dat je alles oplijst wat er fout is gelopen, welke data gelekt is en welke maatregelen je al dan niet al hebt genomen. Zelfs als je niet zeker bent of weet dat het risico op een datalek heel klein is kan je dit best vastleggen.
Stap 2: GBA
In de tweede stap ga je melding doen bij de Belgische Gegevensbeschermingsautoriteit of GBA. Dat kan via dit formulier. Dat doe je best in samenwerking met een Data Protection Officer die je hierbij kan helpen. Het is belangrijk dat je deze melding maximum 72 uur na de ontdekking van je risico doet.
Stap 3: Communiceren naar de buitenwereld
Nadat je melding hebt gedaan bij de GBA is het belangrijk om als bedrijf transparant naar buiten te komen. Zeker als het gaat over het lekken van persoonsgegevens moet je luid en duidelijk communiceren naar alle stakeholders. Ook hier kan een Data Protection Officer heel handig van pas komen.
Nadat de melding is gebeurd, kan de GBA een boete of sanctie opleggen aan je bedrijf of organisatie. Vooral wanneer de GBA kan vaststellen dat je onvoldoende middelen hebt gebruikt om de privacy en data te beschermen. De Gegevensbeschermingsautoriteit kan je ook een berisping geven, zoals dat bij een school gebeurde, begin 2021.
Hoe kan je een datalek vermijden?
Europa probeert al enkele jaren cybercriminelen een hak te zetten. De GDPR-wetgeving is daar een onderdeel van. Steeds meer bedrijven worden na een cyberaanval onder druk gezet om losgeld te betalen. Je doet het dus niet alleen voor de bescherming van je data maar ook voor het kostenplaatje. Daarom is het belangrijk om als bedrijf te investeren in een stabiele IT-beveiliging. Datalink somt drie bruikbare tips op om een datalek of cyberaanval te vermijden.
1. Hoeveel data gebruik je nu eigenlijk?
Het is belangrijk dat je bedrijf in kaart brengt welke data het in bezit heeft, waarvoor het gebruikt wordt en of het wel effectief nodig is. Je onderneming moet ook weten waar al die data naartoe gaat en hoe ze intern al dan niet gedeeld wordt. Door dit te doen kan je als onderneming veel sneller schakelen, mocht het toch foutlopen.
2. Investeer in cybersecurity
Investeren in beveiliging is een zeer belangrijke factor om te voorkomen dat je onderneming in de problemen komt. Wil je een lek of aanval voorkomen? Investeer dan in cybersecurity: zo eenvoudig is het. De investering loont en je zal achteraf tevreden zijn van de investering en de schadekosten die je hebt vermeden.
3. Geef niet iedereen toegang
Een derde pijler in het voorkomen van een datalek is dat je perfect weet wie toegang heeft tot welke data. Je doet er namelijk goed aan door niet iedereen zomaar toegang te geven tot bepaalde data.
En de boetes?
Dailybits.be houdt alle uitgedeelde GDPR-boetes per land bij op zijn website. Nadat Jubel.be in december 2019 door de GBA werd terechtgewezen en een boete van 15.000 euro moest betalen, zijn de ogen van heel wat bedrijven opengegaan. Sindsdien hebben 21 ondernemingen, instellingen en zelfs particulieren een GDPR-boete in de bus gekregen. Zo kreeg een school in januari 2021 een berisping nadat een mail naar alle ouders in CC werd gestuurd. Een particulier koppel kreeg een boete van 1.500 euro omdat ze hun beveiligingscamera’s naar de straat hadden gericht. Ook Telenet ontving een berisping omdat een inspectie aan het licht bracht dat er onregelmatigheden zaten in de privacy-instellingen en het recht om die te gebruiken door de marketingafdeling van Telenet.
Datalekken in België
Tijdens het paasweekend van 2021 verscheen op een online hackersforum een enorme database met de persoonlijke gegevens van meer dan 500 miljoen Facebook-gebruikers, waaronder 3 miljoen Belgen Voor- en achternamen, Facebook ID’s, telefoonnummers, adressen, geboortedata en mailadressen werden allemaal gratis en voor niets aangeboden aan cybercriminelen op het forum. De hackers wisten de data in 2019 al te bekomen door een kwetsbaarheid uit te buiten waar Facebook inmiddels al wel een patch voor uitrolde. Het lijstje met datalekken in België is helaas nog groter dan alleen Facebook. Zo kwam op 22 juni 2021 aan het licht dat de persoonsgegevens van maar liefst 700 miljoen LinkedIn-gebruikers te koop werden aangeboden. Booking.com had te maken met een datalek en werd daarvoor beboet door de Nederlandse AP en persoonsgegevens van verkopers op Bol.com waren bijna een maand zichtbaar voor derde partijen. De Belgische NMBS kreeg de voorbije drie jaar te maken met datalekken en het lijkt erop dat er tot op vandaag maar weinig geïnvesteerd werd in cybersecurity.
Cybersecurity is niet alleen een probleem in België. In de eerste helft van 2021 zijn meer dan 118 miljoen mensen onrechtstreeks betrokken geraakt of het slachtoffer geworden door de impact van een datalek. Wereldwijd komen er bijna wekelijks nieuwe meldingen binnen. Zo kwamen er bij Audi in de Verenigde Staten nummerplaten en persoonsgegevens van 80.000 klanten en mogelijke klanten op straat terecht. Niet veel later meldde ParkMobile, de bekendste parkeerapp in de VS, dat een fout in de software voor een datalek had gezorgd. De data van 21 miljoen gebruikers lag voor het oprapen, de impact in België bleek klein te zijn.