De impact van datalekken op organisaties en het belang van preventie

Veel mensen beschouwen informatiebeveiliging als een extra last die ze tijdens hun werkzaamheden in gedachten moeten houden. Toch ziet Nederland een groei in de groep mensen die bezorgd zijn over hoe hun privacy wordt gewaarborgd. In dit artikel nemen we een kijkje in de wereld van informatiebeveiliging en de impact ervan op bedrijven en individuen.

Wat is informatiebeveiliging

Informatiebeveiliging gaat verder dan alleen het beveiligen van informatie en persoonlijke gegevens. Het legt ook de nadruk op het beschikbaar maken van informatie, vertrouwelijkheid van gegevens garanderen en de integriteit van de informatie waarborgen. Naast de online aspecten zoals two-factor authenticatie, wachtwoordkluizen en VPN’s zijn er ook de fysieke aspecten. Hier komen onderwerpen zoals pandbeveiliging, de dataservers en de wifi-netwerken naar voren.

In Nederland is er een apart overheidsorgaan dat toezicht houdt op de wettelijke naleving van gegevensbescherming. Dit is de Autoriteit Persoonsgegevens, AP in het kort. Zij moeten op de hoogte worden gesteld als een datalek ernstige gevolgen heeft voor de betrokken personen. Uit cijfers die zijn gepubliceerd in 2022 heeft de AP in 2021, 25.000 meldingen van datalekken ontvangen [1].

Helaas hebben bedrijven nog steeds nauwelijks een idee hoe belangrijk informatiebeveiliging is. En wat voor een impact dit heeft wanneer er een incident zich voortdoet. Pas wanneer dit heeft plaatsgevonden ziet een bedrijf het belang er van in en wordt er geïnvesteerd in informatiebeveiliging. Om daar verandering in te brengen, en meer aandacht te schenken aan informatiebeveiliging en privacy, is in 2018 de AVG in het leven geroepen. AVG staat voor Algemene Verordening Gegevensbescherming en zorgt voor standaardisering van de verwerking van persoonsgegevens. Daarbij hebben zij de belangrijke taak aan organisaties om helderheid te verschaffen over de uitleg van wettelijke normen. En het verstrekken van belangrijke informatie om dit onderwerp meer en beter onder de aandacht te brengen

De impact van een datalek

​Af en toe komt het voorbij op het nieuws: “Een grote hack legt duizenden gegevens op straat”. Zulke incidenten hebben voor organisaties een ongekende impact. Waaronder financiële verliezen, imagoschade en eventueel juridische consequenties. De financiële schade kan bestaan uit boetes, juridische kosten, schadevergoeding en verlies van omzet [2]. Een datalek gaat ook vaak gepaard met reputatieschade. Klanten verliezen vertrouwen in de organisatie en gaan hierdoor (sneller) naar een concurrent voor hun producten en/of diensten. Dit kan leiden tot een afname van klanten, omzet, en winstgevendheid [2].

Uit een onderzoek van IBM [3] kost een datalek gemiddeld 4.35 miljoen dollar (4 miljoen euro), dit bedrag refereert aan het wereldwijde gemiddelde. Dit bedrag verschilt enorm per land en de grootte van de organisatie. In de Verenigde Staten ligt dit bedrag namelijk ruim 2 keer zo hoog. In Nederland heeft de AP heeft de mogelijkheid om een boete op te leggen aan organisaties die de AVG overtreden. Deze boete kan maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet bedragen. Niet misselijk. Elk jaar zijn er weer bedrijven aan de beurt waaronder ook overheidsinstanties. Als voorbeeld: In 2022 kreeg de belastingdienst een boete van €3.7 miljoen voor het illegaal verwerken van persoonsgegevens in de Fraude Signalering Voorziening (FSV). Dit was een zwarte lijst waarop de belastingdienst signalen van fraude bijhield [4].

Certificaten voor informatiebeveiliging

Vooral bedrijven gaan het steeds belangrijker vinden om samen te werken met leveranciers die beschikken over certificaten waarmee een goed informatiebeveiligingsbeleid wordt aangeduid. Om dit te bereiken kunnen organisaties opgaan voor verschillende certificaten. Bekende en veelvoorkomende normen zijn de ISO 27001 en de NEN 7510. De ISO 27001 is een internationale norm die aantoont dat een organisatie beschikt over een robuust informatiebeveiligingsbeleid [5]. De NEN 7510 is een Nederlandse norm en is een uitbreiding van de ISO 27001 met strengere eisen voor zorg gerelateerde informatie [6]. Helaas betekenen deze certificaten niet dat een organisatie datalek-proof is, de mogelijkheid tot een datalek blijft aanwezig. Toch geeft het wel enige vorm van zekerheid dat een organisatie er alles aan doet om een datalek te voorkomen en het risico te minimaliseren.

Active Collective en informatiebeveiliging

Active Collective zet gegevenswerking van persoonsgegevens en de privacy van haar klanten op nummer 1. In alle werkzaamheden wordt er nauwlettend gewerkt volgens het informatiebeveiligingsbeleid conform ISO 27001, AVG en (wanneer van toepassing) de NEN 7510. Sinds februari 2023 heeft Active Collective, met gepaste trots, de NEN 7510 aan het lijstje met certificeringen toegevoegd.

Benieuwd of jouw website, platform of applicatie goed beveiligd is tegen een hack? Active Collective biedt een gratis security scan aan. Na een uitgevoerde scan krijg je een rapport toegestuurd met mogelijke implicaties op het gebied van beveiliging. Naar aanleiding van de resultaten kan Active Collective een plan van aanpak opstellen om de beveiliging te maximaliseren. Heb je andere vragen over informatiebeveiliging, neem dan contact op met Guido.

Wist je dat…

• Er in 2021, 88% meer meldingen van datalekken door hacking, malware of phishing binnen zijn gekomen bij de Autoriteit Persoonsgegevens;
• Er in 2021, 28 datalekken bij IT-leveranciers hebben plaatsgevonden, hierdoor 1800 organisatie zijn getroffen en het aantal slachtoffers wordt geschat op minimaal 7 miljoen individuën;
• De bijna 24.866 datalek meldingen hebben geleid tot 36 intensieve onderzoeken;
• De sectoren gezondheid en welzijn, openbaar bestuur en financiële dienstverlening in de top 3 staan met de meeste datalek meldingen;
• Hacking, malware en/of phishing ongeveer 10% van het totaal aantal meldingen omvat. Een verdubbeling vergeleken met 2020;
• Sinds de ingang van de AVG in mei 2018 er in Europa 1565 boetes zijn uitgedeeld met een totaal bedrag van € 2,776,865,903;
• Amazon Europe Core S.à.r.l. op nummer 1 in Europa staat met de hoogste boete van € 746,000,000 euro;
• Nederland best braaf is met een totaal van 20 boetes op het gebied van de AVG.

Bronnen

[1] Cijfers datalekken 2021. (z.d.). Autoriteit Persoonsgegevens. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken/overzichten-datalekken/cijfers-datalekken-2021

[2] Buchanan, S., & Buchanan, S. (2020). Data breaches: causes, costs, and future directions. Journal of Business Research, 117, 989-999.

[3] Cost of a data breach 2022. (z.d.-b). IBM. https://www.ibm.com/reports/data-breach

[4] Boete Belastingdienst voor zwarte lijst FSV. (z.d.). Autoriteit Persoonsgegevens. https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-belastingdienst-voor-zwarte-lijst-fsv

[5] Informatiebeveiliging (ISO 27001) – Cybersecurity & privacy – Digitale ethiek en veiligheid – ICT. (z.d.). https://www.nen.nl/ict/digitale-ehtiek-en-veiligheid/cyber-privacy/informatiebeveiliging

[6] NEN 7510: Informatiebeveiliging in de zorg – ICT in de zorg – Zorg & Welzijn. (z.d.). https://www.nen.nl/zorg-welzijn/ict-in-de-zorg/informatiebeveiliging-in-de-zorg