In 2021 zijn er fors meer meldingen van datalekken door cyberaanvallen gemaakt dan in 2020, zo maakt de Autoriteit Persoonsgegevens bekend. Opvallend is dat steeds meer IT-leveranciers slachtoffer worden van cyberaanvallen. Deze partijen verwerken veel persoonsgegevens en zijn daarom een aantrekkelijk doelwit voor cybercriminelen.
Forse stijging datalekmeldingen door cyberaanvallen
De Autoriteit Persoonsgegevens (AP) heeft onlangs haar jaarlijkse rapportage uitgebracht met betrekking tot de AVG-verplichting om datalekken te melden. In 2021 ontving de AP 24.866 datalekmeldingen. Een stijging van 4% ten opzichte van 2020.
2.210 datalekmeldingen waren het gevolg van cyberaanvallen, oftewel hacking, malware en phishing. Hoewel het aantal meldingen van datalekken door cyberaanvallen slechts 9% van het totaal bedraagt, maakt de AP zich zorgen. Het aantal datalekmeldingen door cyberaanvallen is namelijk gestegen met 88% ten opzichte van 2020.
Opvallend is dat vooral IT-leveranciers doelwit lijken te zijn, omdat ze veel persoonsgegevens verwerken.
IT-leveranciers gewild doelwit voor cyberaanvallen
IT-leveranciers treden vaak op als verwerker voor organisaties. Bijvoorbeeld door het faciliteren van digitale werkplekken, het leveren van op maat gemaakte software en de opslag van data. Doordat ze veel persoonsgegevens verwerken, zijn IT-leveranciers een aantrekkelijk doelwit voor criminelen en wordt er geregeld geprobeerd om hen af te persen.
Afgelopen jaar hebben 28 IT-leveranciers een datalek door een cyberaanval gemeld bij de AP. Daarop meldden 18oo getroffen organisaties zich en dat leverde uiteindelijk minimaal 7 miljoen slachtoffers op. Cyberaanvallen bij IT-organisaties zijn dus impactvol.
Niet alle datalekken worden echter gemeld, waardoor het aantal slachtoffers vermoedelijk nog hoger is.
Afwachtende houding
Opvallend is dat IT-leveranciers vaak wachten met het melden van een datalek bij hun klanten. Uit angst voor reputatieschade of in afwachting van een uitgebreid onderzoek.
Dat zijn volgens de AP geen goede redenen. Als een IT-leverancier als verwerker kan worden aangemerkt, dan is de leverancier volgens de AVG verplicht om een datalek zo snel mogelijk te melden bij de verwerkingsverantwoordelijken, oftewel de klanten.
De verwerkingsverantwoordelijke moet vervolgens de afweging maken of het lek ernstig genoeg is om te melden bij de AP en/of bij de betrokkenen.
De Autoriteit Persoonsgegevens benadrukt dat wanneer IT-leveranciers de verwerkingsverantwoordelijken niet direct en volledig informeren, dit ertoe kan leiden dat IT-leveranciers de AVG overtreden.
Meer weten over het omgaan met en melden van een datalek? Lees dan onze blog: Datalek?! Geen paniek: volg het actieplan
Niet melden na betalen losgeld bij ransomware?!
In het rapport waarschuwt de AP organisaties ook voor het niet melden van een ransomwareaanval aan betrokkenen na het betalen van losgeld.
Er is namelijk geen enkele garantie dat de criminelen de persoonsgegevens ook daadwerkelijk verwijderen en nooit zullen doorverkopen. Ook niet na het betalen van losgeld.
De AP ziet het betalen van losgeld niet als een passende achteraf genomen maatregel om slachtoffers niet te informeren over een ransomwareaanval.
Datalekken door ransomware hebben vaak grote impact en moeten vrijwel altijd gemeld worden aan de AP én vrij vaak ook aan de slachtoffers.
Acties bij een datalek
Wilt u weten welke acties u moet nemen bij een datalek? De Autoriteit Persoonsgegevens heeft hiervoor een handige actiepagina gemaakt. Wilt u liever advies over uw organisatie specifieke situatie? Onze ICT-juristen staan klaar voor al uw AVG-vragen. Neem contact met ons op via 010 2290 646.
Ontvang onze blogs automatisch in uw mailbox
Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.