 |
| Afbeelding: Unsplash |
Ze hadden hun zoveelste cruise gemaakt. Ook deze keer hadden ze droge voeten gehouden, maar er was toch een lek geweest, zo bleek achteraf. Een datalek. En net als destijds bij de Titanic werd er gedaan alsof er niets aan de hand was.
Onze opvarenden hadden geen persoonlijk bericht
ontvangen over het feit dat hún data waren gelekt. Ze kwamen er slechts bij
toeval achter. In Europa wapperen we dan al snel verontwaardigd met de AVG: ze
moeten me toch inlichten als mijn gegevens lekken?! Maar zo eenvoudig ligt het
niet. Om te beginnen moet de lekkende organisatie zelf bepalen of een melding
bij de Autoriteit Persoonsgegevens (AP) vereist is. Dat hoeft niet als “het
niet waarschijnlijk is dat het datalek een risico oplevert voor de rechten en
vrijheden van betrokkenen”, zo valt bij de AP te lezen. De gelekte informatie
bevatte persoonsgegevens (onder andere van de varende collega), dus daar kom je
waarschijnlijk niet mee weg.
Vervolgens moet de lekkende partij dit melden bij
de slachtoffers, en nu komt het: áls het datalek waarschijnlijk een hoog risico
voor hen oplevert. Ook deze inschatting moet de organisatie zelf maken,
uiteraard gebaseerd op de AVG-regels. Als persoonsgegevens zijn gestolen door
een hacker, dan is het risico wel duidelijk, aldus de AP. Met deze situatie
hebben we hier inderdaad te maken: vorige maand stuurde Carnival Corporation,
het moederbedrijf van Carnival Cruise Line, brieven naar klanten over een cyberbeveiligingsincident
(maar dus niet naar álle klanten). Een maand eerder wist een aanvaller via
social engineering toegang te krijgen tot IT-systemen van Carnival en heeft hij
persoonlijke gegevens van klanten gekopieerd. Het gaat daarbij om naam,
e-mailadres, geboortedatum, geslacht en nog wat specifieke Carnival-gegevens.
Het hoofdkantoor van Carnival Corporation is
gevestigd in Miami. Aha, hoor ik je beteuterd denken, dat ligt ruim buiten de
EU, dan heb ik niks aan die mooie AVG. Fout! De AVG kent, met een chic woord,
extraterritoriale werking: als een bedrijf van buiten de EU zich (ook) op de
Europese markt richt, dan valt het onder de AVG. En als ik het allemaal bij
elkaar optel, dan lijkt me dat een persoonlijke melding aan de betrokkenen hier
wel aan de orde is.
Tenzij… Ja, tenzij de gegevens versleuteld waren,
het datalek is beëindigd voordat iets met de data kon worden gedaan, of het
informeren van alle slachtoffers een onevenredige inspanning van het bedrijf
zou vergen, bijvoorbeeld omdat ze geen contactgegevens (meer) hebben. In dat
laatste geval mogen ze het in de krant of op social media zetten.
Kortom: zo gemakkelijk is het nog niet. We weten
wel hoe het in dit geval is gelopen: niet. Daarom vroeg de gelekte collega mij
wat je in zo’n geval zelf kunt doen. De AP heeft daar een mooi overzicht van
gemaakt. Daar staat onder andere in dat je gelekte wachtwoorden moet wijzigen;
dat is inderdaad het allereerste wat je doet. Ze zeggen dat je ook bij andere
accounts en apps je wachtwoord moet wijzigen, als dat hetzelfde is als het
gelekte wachtwoord. Nu zie je meteen waarom je geen wachtwoorden moet
hergebruiken: je krijgt het druk na een lek. Want die criminelen gaan je
wachtwoord van website A gewoon uitproberen bij website B tot en met Z. Uiteraard
had je overal waar dat kan al lang multifactorauthenticatie aan staan.
Je moet na zo’n lek ook extra alert zijn op
phishing. Die phishing kan geraffineerder zijn dan de 13-in-een-dozijn
phishingmailtjes, omdat ze nu niet alleen je e-mailadres hebben, maar nog veel
meer informatie, waarmee ze de mailtjes lekker persoonlijk kunnen maken.
Met alleen maar een bankrekeningnummer (IBAN) of
BSN kan een crimineel niet veel, stelt de AP ons gerust. Maar let wel op voor
de combinatie van gegevens – een kopietje van je ID-bewijs kan een gamechanger
zijn als het om identiteitsfraude gaat.
Samengevat: wees alert…
En in de grote boze buitenwereld …
- zijn nu ook je modieuze data gelekt.
- is Google zelf verantwoordelijk voor AI-samenvattingen.
- houden cybercriminelen van scholen.
- kon iedereen alle gegevens van klanten van ServiceNow inzien, zonder wachtwoord.
- is Fable de afgezwakte versie van Mythos, met heel strakke begrenzingen.
- is het verbod op de Amerikaanse overname van DigiD-hoster Solvinity juridisch een hele kluif.
- meldde de Belastingdienst een datalek dat werd veroorzaakt door het gebruik van Adobe Analytics.
- komt het nieuwe systeem voor de omzetbelasting toch niet geheel in Amerikaanse handen.
- gaan ambtenaren vlammen.
Geen opmerkingen:
Een reactie posten