Datalek
Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek.[1]
Risico's
Vrijgekomen persoonsgegevens kunnen bijvoorbeeld gebruikt worden door privébedrijven voor zogenaamde ‘direct marketing’, zonder dat de personen in kwestie daarvoor hun toestemming hebben gegeven. Het kan ook zo zijn dat er bij dergelijke datalekken informatie wordt verspreid over betaalwijzen of betaalmiddelen, wat dan terug een risico inhoudt voor frauduleuze bankverrichtingen. Verder kunnen de gegevens ook bekeken worden via zoekmachines, wat op zich dan kan leiden tot identiteitsfraude. Dergelijke gegevens kunnen eventueel ook gebruikt worden om spam te versturen.[2][3]
Bekende datalekken
Belgische Defensie
Begin 2013 kwam in de reguliere media aan het licht dat een telefoonboek van het HR-departement van het Belgisch leger gelekt werd. Dit was volgens het ministerie van Defensie te wijten aan een ‘technische fout’. Net zoals bij het datalek van de NMBS diende de site hiervoor niet gehackt te worden.[4]
NMBS
In december 2012 kwam uit dat bij NMBS Europe een datalek werd veroorzaakt door een menselijke fout. Het bestand met gegevens was al sinds mei 2012 beschikbaar op het internet. Een werknemer wou namelijk een bestand leegmaken waarin de gegevens stonden. Daarvoor dienden de gegevens even op een onveilige server te staan, waar ze per ongeluk dan ook bleven staan. Dit document bevatte gegevens van zo’n 700.000 klanten van NMBS Europa en was via de zoekmachine Google terug te vinden.[5]
Het aspect privacy speelt hierin een duidelijke rol. Bij bijvoorbeeld het datalek van de NMBS werden klantengegevens beschikbaar op de website van de NMBS-afdeling die instaat voor het internationaal reizigersvervoer. Daarbij werden twee artikels vanuit de privacywet overtreden. Iedereen die een database aanlegt, moet zich namelijk wettelijk gezien verzekeren van een bijpassend beveiligingsniveau, waarbij dan rekening wordt gehouden met onder andere de technologische mogelijkheden en de kosten van de beveiliging. Die beveiliging moet ook in verhouding staan tot de aard van de gegevens en de mogelijke risico's. Daarnaast heeft de spoorwegmaatschappij ook het artikel overtreden dat gaat over de eerlijke en rechtmatige verwerking van persoonlijke gegevens. Op beide overtredingen staan geldboetes.[6]
Sony
Sony gaf in 2011 toe dat computerpiraten gegevens van meer dan 77 miljoen klanten op het PlayStation Network gestolen hadden. Het ging hierbij om gebruikersgegevens, meer bepaald wachtwoorden en geboortedata. Bovendien kon niet uitgesloten worden dat ook kredietkaartgegevens gestolen zouden zijn. Achter deze actie zou Anonymous schuilgaan. Zij verklaarden Sony de oorlog omdat het bedrijf rechtszaken aanspande tegen hackers die de beveiliging van de spelconsole PlayStation 3 kraakten.[7]
Bescherming
België
Gezien het voor (Belgische) bedrijven belangrijk is zich te houden aan de wet tot bescherming van de persoonlijke levenssfeer, dienen zij zich dan ook voldoende te beschermen. Dit kan enerzijds door technische en anderzijds door organisatorische maatregelen, zodat onbevoegden dan geen toegang weten te vinden tot beschermde gegevens. Concreet gaat het hierbij om toegangscontrolesystemen, firewalls, gegevensversleuteling en segmentering van de databanken. Daarbovenop kunnen bedrijven ook werk maken van een eenduidig privacybeleid, waardoor gebruikers weten welke gegevens er verwerkt worden en met welk doel. Bij het personeel is het daarbij dan belangrijk te hameren op het belang van vertrouwelijkheid.
Meldplicht
Nederland
In Nederland valt onrechtmatige verwerking of het verlies van gegevens ook onder een datalek.[8][9] De wet meldplicht datalekken is op 26 mei 2015 door de Eerste Kamer aangenomen. De verplichting tot het melden van datalekken door verantwoordelijken en bewerkers aan de Autoriteit Persoonsgegevens wordt geregeld doordat per 1 januari 2016 aanvullende bepalingen opgenomen zijn in o.a. de Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet.[8]
Zie ook
Algemene verordening gegevensbescherming
Externe links
- ↑ OTA. (2013). 2013 DATA PROTECTION & BREACH READINESS PLANNING GUIDE. Geraadpleegd op 3 mei 2013, op https://otalliance.org/resources/Incident.html
- ↑ jvt, jta. (2013). Privacycommissie: 'NMBS heeft privacy geschonden'. Geraadpleegd op 3 mei 2013, op http://www.standaard.be/cnt/DMF20130104_061
- ↑ Knack. (2013). Hoe kun je je beschermen tegen een datalek? Geraadpleegd op 3 mei 2013, op http://trends.knack.be/economie/ondernemen/hoe-kun-je-je-beschermen-tegen-een-datalek/article-4000254119575.htm
- ↑ Belga/EE. (2013). Datalek defensie gevolg van 'technische fout'. Geraadpleegd op 3 mei 2013, op http://datanews.knack.be/ict/nieuws/datalek-defensie-gevolg-van-technische-fout/article-4000229131270.htm
- ↑ De Pourcq, E. (2013). Datalek NMBS "door duwen op verkeerde knopje." Geraadpleegd op 3 mei 2013, op http://www.hln.be/hln/nl/957/Binnenland/article/detail/1557579/2013/01/04/Datalek-NMBS-door-duwen-op-verkeerde-knopje.dhtml
- ↑ llo & vhn. (2013). Privacycommissie speelt dossier datalek door naar Brusselse parket. Geraadpleegd op 3 mei, 2013, op http://www.standaard.be/cnt/DMF20130429_00559762
- ↑ loa & wle. (2011). Hackers PlayStation aan de haal met privé-gegevens. Geraadpleegd op 6 mei 2013, op http://www.standaard.be/cnt/DMF20110427_007
- ↑ a b Beleidsregels meldplicht datalekken op autoriteitpersoonsgegevens.nl. Geraadpleegd op 2 januari 2018
- ↑ Algemene vragen van organisaties over de meldplicht datalekken. Geraadpleegd op 11 februari 2019