Miljoenen slachtoffers datalekken weten niet dat hun gegevens zijn buitgemaakt
De privégegevens van miljoenen Nederlanders zijn het afgelopen jaar gelekt door incidenten bij IT-leveranciers. Deze bedrijven verzorgen achter de schermen de IT voor andere bedrijven. Ze blijken regelmatig doelwit te zijn van hackers, waarna privéinformatie in handen komt van criminelen. De vele slachtoffers worden vaak niet op de hoogte gesteld, blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP).
Zo kreeg de IT-leverancier van een verloskundigepraktijk te maken met een digitale gijzeling. Daarbij waren de patiëntendossiers door criminelen gekopieerd. De IT-leverancier moest losgeld betalen, anders zouden de patiëntengegevens worden gepubliceerd.
Zeven miljoen mensen
De AP vindt dat die patiënten in zo'n geval op de hoogte moeten worden gebracht. Het gaat immers om hun persoonlijke en soms ook medische gegevens. Maar dat gebeurt niet altijd.
Vorig jaar kwamen bij de toezichthouder 28 incidenten bij IT-leveranciers aan het licht. De AP schat dat daardoor de privégegevens van zeven miljoen mensen zijn gelekt. Maar waarschijnlijk zijn maar enkele honderdduizenden personen op de hoogte gebracht, zegt Dennis Davrados van de privacywaakhond tegen RTL Nieuws.
De toezichthouder vindt het belangrijk dat mensen worden geïnformeerd, omdat slachtoffers zich dan kunnen beschermen. Bijvoorbeeld door hun wachtwoord te veranderen, of alert te zijn op nepmailtjes die uit naam van een gehackt bedrijf komen.
Veel bedrijven als klant
IT-bedrijven hebben vaak veel andere bedrijven als klant. Die organisaties zijn daarom aantrekkelijk voor cybercriminelen. Want door te dreigen om privégegevens van hun klanten openbaar te maken, kunnen de criminelen meer geld eisen.
"Meerdere verloskundigepraktijken gebruiken bijvoorbeeld een softwarepakket van één IT-leverancier", zegt Davrados. "Als er dan een aanval plaatsvindt op het IT-bedrijf, worden heel veel verloskundigepraktijken getroffen. Zo worden ook veel mensen getroffen."
De AP kan een diepgaand onderzoek starten als veel mensen risico lopen. In 2021 startte de toezichthouder 36 grote onderzoeken; veertien daarvan gingen over IT-bedrijven. Als blijkt dat zij de privacywet hebben overtreden, kan onder meer een boete volgen.
Getroffen IT-leveranciers informeren hun klanten vaak te langzaam of incompleet over een datalek, ziet de AP ook. De leverancier verzwijgt dingen bijvoorbeeld uit angst voor reputatieschade. Dat maakt het moeilijker om mensen te waarschuwen van wie data (mogelijk) is gestolen. Vaak is niet de IT-leverancier, maar de klant van dat bedrijf daar verantwoordelijk voor.
Bedrijven zijn verplicht een datalek bij de toezichthouder te melden als er grote risico's voor slachtoffers bestaan. In totaal krijgt de toezichthouder zo'n 25.000 meldingen van datalekken per jaar. De 28 incidenten bij IT-bedrijven waren bij elkaar goed voor 1800 meldingen.