Datalekken rapportage: 5 aandachtspunten
De Autoriteit Persoonsgegevens (AP) publiceerde zomer 2023 haar jaarlijkse datalekken rapportage. De rapportage toont de cijfers over het jaar 2022 en vult die aan met tips en ontwikkelingen. Interessante materie voor iedereen die zich met informatiebeveiliging en privacybescherming bezighoudt. Ook wij hebben uiteraard het rapport doorgenomen. Bijgaand wat aandachtspunten die wij tegenkwamen.
In dit artikel
Aandachtspunt 1: Spectaculaire datalekken slechts het topje van de ijsberg
Bij datalekken die het nieuws halen gaat het bijna altijd over spectaculaire hacks waarin de persoonlijke gegevens van soms miljoenen mensen zijn gestolen. De datalek rapportage toont echter aan dat dit alleen het topje van de ijsberg is.
Vergelijking binnen Europa
Het afgelopen jaar registreerde de AP maar liefst 21.151 datalekken. En dat is geen extreme piek in een slecht jaar, het is zelfs een daling ten opzichte van het jaar ervoor. Het maakt ons met ruim 150 meldingen per 100.000 inwoners op afstand Europees koploper, voor Liechtenstein (136) en Denemarken (131). Dat zegt overigens niet per se dat we onze informatiebeveiliging minder op orde hebben, het zegt vooral iets over de mate waarin we zijn gedigitaliseerd.
Branches met het hoogste risico op datalekken
De ‘databreaches’ zijn overigens niet gelijk verdeeld over alle branches. Vooral managers in de welzijns- en gezondheidszorg moeten alert zijn want deze branche vertegenwoordigt 41% van alle datalekmeldingen. Op twee staat het openbaar bestuur met 23% en de top 3 wordt compleet gemaakt met financiële instellingen (9%).
Vervolgens is er een subtop van politie en justitie (4%), en onderwijs, overige zakelijke dienstverlening, informatie en communicatie en specialistische zakelijke dienstverlening (allen 3%). Datalekken binnen politie en justitie vallen overigens onder de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). En datalekken binnen het onderwijs krijgen uiteraard veel aandacht omdat het hier vaak gevoelige gegevens betreft van een kwetsbare groep (jongeren).
Alle overige branches vormen tezamen de resterende 10% van alle meldingen. Dat maakt die branches overigens niet per definitie veiliger. Ook daar gaat het nog steeds om gemiddeld enkele meldingen per dag. En je mag de vraag stellen of het onderwerp binnen iedere sector even hoog op de agenda staat en alle datalekken even snel worden herkend en gemeld.
Aandachtspunt 2: Datalekken niet alleen door cybercriminaliteit
Bij datalekken denken we vaak vooral aan hackers die doelgericht wachtwoorden en persoonsgegevens ontvreemden, fishing pogingen uitvoeren of ransomware gebruiken om organisaties ‘digitaal te gijzelen’. Misdaadjournalist John van den Heuvel – zelf slachtoffer van een datalek – wijst in het rapport ook op de professionalisering ervan met behulp van een nieuwe, jonge generatie criminelen. Deze criminaliteit richt zich op grote volumes en bij enkele grote hacks in de zorgbranche werden zo in 2022 medische persoonsgegevens van zo’n 900.000 patiënten en cliënten buitgemaakt.
Alledaagse oorzaken van datalekken
Logisch dus dat veel mensen het voorkomen van datalekken vooral zien als een verantwoordelijkheid van de IT afdeling en beveiligingsspecialisten. Toch is het belangrijk te beseffen dat het overgrote deel geen cybercriminaliteit betreft. Van alle 21.151 gemelde datalekken in 2022 betrof het in 1.825 gevallen (minder dan 10%) om cybercriminaliteit. In datzelfde jaar waren er 3.347 meldingen waarin een eigen medewerker een e-mail met persoonsgegevens naar verkeerde ontvanger(s) verstuurde. En de grootste bijdrage aan datalekken betreft niet eens digitale datalekken; meer dan tienduizend keer per jaar worden brieven of postpakketten met persoonlijke gegevens verkeerd bezorgd, kwijtgeraakt of onderweg geopend. Qua volume is een verkeerde brief natuurlijk niet te vergelijken met de hoeveelheden die in serieuze hacks worden verzameld, maar nog steeds kan de impact ernstig zijn voor de slachtoffers en de betreffende organisatie. Cybercriminaliteit blijft topprioriteit, maar we mogen de andere oorzaken dus niet negeren.
Aandachtspunt 3: Het groeiende belang van Least Privilege
Zo steeg het afgelopen jaar het aantal meldingen van gebruikersautorisaties die te breed zijn ingesteld met 65%. Dat betekent dat medewerkers persoonsgegevens kunnen inzien die ze voor hun werkzaamheden niet nodig hebben. Hiermee creëert men een datalek, ongeacht of medewerkers die gegevens ook echt bekijken of gebruiken. Misbruik kan daarbij van alles inhouden. Van zorgmedewerkers die puur uit nieuwsgierigheid de medische gegevens van een BN’er inkijken, tot de medewerkers die een online handel begonnen met persoonsgegevens die ze eenvoudig uit de GGD coronasystemen konden exporteren.
Het ‘Principle of Least Privilege’
Het bevestigt het belang van het ‘Principle of Least Privilege’ (POLP). Een belangrijk informatiebeveiligingsprincipe waarin mensen alleen toegang krijgen tot de gegevens die iemand daadwerkelijk nodig heeft voor zijn of haar werkzaamheden. De Autoriteit Persoonsgegevens schrijft hierover concreet op hun website:
“Zorg dat uw medewerkers alleen persoonsgegevens kunnen inzien die ze echt nodig hebben voor hun werk. Controleer periodiek de logbestanden op onrechtmatige inzagen.”
De rol van Identity & Access Management
Een logisch principe maar enorm ingewikkeld om te beheren zodra organisaties uit meer dan enkele medewerkers bestaan en de benodigde toegangsrechten vaak en snel wijzigen. Mensen hebben vaak meerdere en wisselende rollen, maken promotie, krijgen meer bevoegdheden na een training etc. etc. Om dat beheersbaar te houden, moeten we de uitgifte en het beheer van toegangsrechten zoveel mogelijk automatiseren, aan de hand van een set goed omschreven gebruikersrollen en bijbehorende toegangsrechten. Dit noemen we Role Based Access Control (RBAC). Een geautomatiseerde Identity & Access Management (IAM) oplossing als HelloID met een volwaardig RBAC-raamwerk helpt dus om te voldoen aan dit ‘Principle of Least Privilege’.
Hierbij snijdt het mes aan twee kanten. Legitieme gebruikers hebben nu daadwerkelijk alleen nog toegang tot gegevens op een ‘need-to-know’ basis, maar ook als een account wordt gehackt blijft de schade relatief beperkt.
Er zijn overigens aanvullende gereedschappen om dat ‘Principle of Least Privilege’ nog verfijnder in te voeren. Met RBAC automatiseren we normaliter zo’n 80% van alle toegangsrechten. De verdere rechten kan je verstrekken via individuele service aanvragen van gebruikers of hun managers. Door die aanvragen te automatiseren kunnen we ook die aanvullende toegangsrechten beter beheren en ongewenste opstapeling van rechten voorkomen.
Aandachtspunt 4: Data beveiliging en preventie
Met ‘least privilege’ alleen ben je er niet, toont het rapport. In 2022 waren er 746 meldingen – bijna een verdubbeling – van persoonsgegevens die zijn toegevoegd aan verkeerde dossiers. Bijvoorbeeld wanneer een psychologisch rapport door een zorgverlener per ongeluk wordt toegevoegd aan het dossier van een andere cliënt. Ook werden 619 keer andermans persoonsgegevens getoond in iemands klantportaal, verloor men 657 keer gevoelige papieren of USB sticks en werden 3.347 e-mails met persoonsgegevens verkeerd verstuurd. In zulke gevallen hebben medewerkers dus volledig terecht toegang tot persoonsgegevens maar delen die vervolgens met de verkeerde mensen.
Technische hulpmiddelen tegen datalekken
Deel van de problemen is terug te voeren op bewustwording want informatiebeveiliging begint nog steeds met geïnformeerde, betrokken en alerte medewerkers. Maar er zijn wel degelijk ook technische hulpmiddelen om zulke datalekken te beperken. Denk bijvoorbeeld aan zogenaamde Information Protection (ook wel: Information Rights Management) oplossingen, als onderdeel van je overall data management en governance. We noemen er een paar:
- Veiligheidslabels: Met tools als Microsoft Purview kun je bestanden classificeren – bijvoorbeeld medisch of vertrouwelijk – en per label de verdere verwerking inperken. De informatiebeveiliging reist als het ware met de informatie mee naar de ontvanger. Per categorie informatie en type ontvanger kun je configureren wat wel en niet is toegestaan. Kan men gegevens alleen inkijken, of gegevens ook bewerken of zelf weer verder doorsturen? Ook kan iemand tijdelijk toegang krijgen. Informatie labelen is nu nog vaak een handmatige activiteit, maar er zijn steeds meer mogelijkheden – met bijvoorbeeld AI tools – om het labelen van informatie te (semi-)automatiseren.
- Data loss prevention: Aanvullend daarop zijn er ook tools die ongestructureerde data (e-mails, documenten etc.) checken op gevoelige gegevens. Zulke applicaties kunnen specifieke tekstpatronen (BSN nummers, kentekens, creditcardnummers) herkennen en zo’n mail of bestand bijvoorbeeld blokkeren of eerst om een extra bevestiging vragen.
- Slimmere opslag en archivering: Sowieso eist de AVG dat organisaties alleen de hoogstnoodzakelijke persoonsgegevens opslaan. Maar er zijn ook veel richtlijnen over de maximale opslagduur van zulke gegevens, vaak afhankelijk van de specifieke toepassing ervan. Het is belangrijk binnen organisaties hierover heldere afspraken te maken en die zo mogelijk te automatiseren in je datamanagement. Gegevens die je niet onterecht bewaart, kun je immers ook niet onterecht verspreiden.
Het zijn enkele voorbeelden van toepassingen waarin we aanvullend op een steeds betere toegangsbeveiliging ook het verdere gebruik van die data steeds beter gaan beheersen. We beginnen met inzicht krijgen in alle type data binnen je organisatie, vervolgens zorg je dat de toegang tot de data effectief beveiligd wordt en dat de data alleen op de gewenste manier wordt verwerkt. En ten slotte zorg je ook dat data weer tijdig wordt verwijderd.
Aandachtspunt 5: Zorg voor een calamiteitenplan
Voorkomen van datalekken blijft uiteraard het belangrijkste. Maar met ruim 20.000 datalekken per jaar moet je er eigenlijk van uitgaan dat het ook jou een keer kan overkomen. Dan is het belangrijk om goed voorbereid te zijn.
Wat doet de Autoriteit Persoonsgegevens met meldingen?
Laten we daarom even kijken wat de Autoriteit Persoonsgegevens met de gemelde datalekken doet. Van alle 21.151 meldingen werd zo’n twee-derde (14.599 datalekken) enkel ‘gemonitord’; bij ongeveer een derde (6.552 meldingen) was sprake van ‘verdiepend toezicht’; en er zijn uiteindelijk 35 datalekken echt diepgravend onderzocht:
- Monitoring houdt in dat na een eerste beoordeling geen verdere actie wordt ondernomen. Het gaat dan veelal om lichte meldingen zoals een verkeerd verzonden post of e-mail.
- Verdiepend toezicht is aan de orde bij grotere risico’s, bijvoorbeeld als er veel slachtoffers betrokken zijn of omdat er gevoelige persoonsgegevens waren betrokken. Het gaat dan nog steeds om duizenden gevallen en de AP zal normaliter alleen contact opnemen als er onduidelijkheden of onregelmatigheden zijn in de melding. Zijn de juiste maatregelen genomen en slachtoffers geïnformeerd, dan is zo’n controle meestal snel afgerond.
- Dan hou je de 35 meldingen over waarin de AP echt een onderzoek heeft gestart. Dat betrof de meldingen die de grootste risico’s voor de slachtoffers opleverde. Dat gebeurt vooral als organisaties na een cyberaanval zelf de slachtoffers niet hebben geïnformeerd terwijl dat wel verplicht is. Het kunnen ook lekken zijn die niet rechtstreeks zijn gemeld maar bijvoorbeeld via een klacht van een klant zijn binnenkwamen. In 2022 ontving de AP 2.000 tips van burgers over mogelijke datalekken.
Risico’s bij nalatigheid
De boodschap is duidelijk. Geef je privacy en informatiebeveiliging voldoende prioriteit, ga je serieus om met een onverhoopt datalek en informeer je ook tijdig de slachtoffers, dan heb je weinig te vrezen. Schadeclaims en boetes zijn vooral aan de orde als je je zaken niet op orde hebt, datalekken niet serieus afhandelt of deze zelfs onder de pet probeert te houden.
Het belang van compliance en informatieverstrekking
Het betekent dat je je niet alleen moet inspannen om compliant te zijn en blijven met de AVG en relevante informatiebeveiligingsrichtlijnen (zoals ISO 27001, BIO en NEN7510). Je moet ook investeren in informatieverstrekking. Als we even ons HelloID platform als voorbeeld nemen, daarin zijn alle uitgegeven toegangsrechten geregistreerd en op ieder moment inzichtelijk. Hetzelfde geldt voor aanvullende rechtenverzoeken (inclusief de aanvrager en wie de goedkeuring gaf) en alle via het platform verlopende toegangspogingen tot cloudappicaties. Alle informatie is eenvoudig toegankelijk in het kader van audits en certificaties, maar er is ook een complete audit trail beschikbaar in het onverhoopte geval van een datalek.
Verantwoordelijkheden en rol van ICT-dienstverleners
De AP let ook scherp op ICT-dienstverleners want die vormen voor hackers natuurlijk een potentiële toegang tot meerdere klantorganisaties tegelijk. Een aantal hacks in de zorgsector zijn bijvoorbeeld via leveranciers uitgevoerd. Bij datalekken is er dan een duidelijke rolverdeling. Een leverancier kan niet zelf een datalek melden dat betrekking heeft op klantdata. De leverancier moet zijn klanten wel direct informeren als er onregelmatigheden zijn, zodat deze vervolgens én een melding kan maken bij de AP en de eigen klanten informeren en verder adviseren. Als Tools4ever beheren wij account- en toegangsgegevens – de oorspronkelijke klantgegevens komen uit gekoppelde systemen – en mocht daar onverhoopt iets mee gebeuren dan hebben we de protocollen beschikbaar om jou als klant direct te informeren.
Meer weten?
Meer weten over hoe een Identity & Access Management (IAM) oplossing bijdraagt in het voorkomen van datalekken? Bekijk dan onze IAM usecase over het verbeteren van de beveiliging van de organisatie.