Naar inhoud springen

Datalek

Uit Wikipedia, de vrije encyclopedie
Fragment uit het gelekt telefoonboek van de Belgische Defensie

Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek.[1]

Vrijgekomen persoonsgegevens kunnen bijvoorbeeld gebruikt worden door privébedrijven voor zogenaamde ‘direct marketing’, zonder dat de personen in kwestie daarvoor hun toestemming hebben gegeven. Het kan ook zo zijn dat er bij dergelijke datalekken informatie wordt verspreid over betaalwijzen of betaalmiddelen, wat dan terug een risico inhoudt voor frauduleuze bankverrichtingen. Verder kunnen de gegevens ook bekeken worden via zoekmachines, wat op zich dan kan leiden tot identiteitsfraude. Dergelijke gegevens kunnen eventueel ook gebruikt worden om spam te versturen.[2][3]

Datalekken kunnen ook een positieve en negatieve uitwerking hebben op de bedrijfsreputatie van de betrokken organisatie.[4]

Bekende datalekken

[bewerken | brontekst bewerken]

Belgische Defensie

[bewerken | brontekst bewerken]

Begin 2013 kwam in de reguliere media aan het licht dat een telefoonboek van het HR-departement van het Belgisch leger gelekt werd. Dit was volgens het ministerie van Defensie te wijten aan een ‘technische fout’. Net zoals bij het datalek van de NMBS diende de site hiervoor niet gehackt te worden.[5]

In december 2012 kwam uit dat bij NMBS Europe een datalek werd veroorzaakt door een menselijke fout. Het bestand met gegevens was al sinds mei 2012 beschikbaar op het internet. Een werknemer wou namelijk een bestand leegmaken waarin de gegevens stonden. Daarvoor dienden de gegevens even op een onveilige server te staan, waar ze per ongeluk dan ook bleven staan. Dit document bevatte gegevens van zo’n 700.000 klanten van NMBS Europa en was via de zoekmachine Google terug te vinden.[6]

Het aspect privacy speelt hierin een duidelijke rol. Bij bijvoorbeeld het datalek van de NMBS werden klantengegevens beschikbaar op de website van de NMBS-afdeling die instaat voor het internationaal reizigersvervoer. Daarbij werden twee artikels vanuit de privacywet overtreden. Iedereen die een database aanlegt, moet zich namelijk wettelijk gezien verzekeren van een bijpassend beveiligingsniveau, waarbij dan rekening wordt gehouden met onder andere de technologische mogelijkheden en de kosten van de beveiliging. Die beveiliging moet ook in verhouding staan tot de aard van de gegevens en de mogelijke risico's. Daarnaast heeft de spoorwegmaatschappij ook het artikel overtreden dat gaat over de eerlijke en rechtmatige verwerking van persoonlijke gegevens. Op beide overtredingen staan geldboetes.[7]

Sony gaf in 2011 toe dat computerpiraten gegevens van meer dan 77 miljoen klanten op het PlayStation Network gestolen hadden. Het ging hierbij om gebruikersgegevens, meer bepaald wachtwoorden en geboortedata. Bovendien kon niet uitgesloten worden dat ook kredietkaartgegevens gestolen zouden zijn. Achter deze actie zou Anonymous schuilgaan. Zij verklaarden Sony de oorlog omdat het bedrijf rechtszaken aanspande tegen hackers die de beveiliging van de spelconsole PlayStation 3 kraakten.[8]

Gezien het voor (Belgische) bedrijven belangrijk is zich te houden aan de wet tot bescherming van de persoonlijke levenssfeer, dienen zij zich dan ook voldoende te beschermen. Dit kan enerzijds door technische en anderzijds door organisatorische maatregelen, zodat onbevoegden dan geen toegang weten te vinden tot beschermde gegevens. Concreet gaat het hierbij om toegangscontrolesystemen, firewalls, gegevensversleuteling en segmentering van de databanken. Daarbovenop kunnen bedrijven ook werk maken van een eenduidig privacybeleid, waardoor gebruikers weten welke gegevens er verwerkt worden en met welk doel. Bij het personeel is het daarbij dan belangrijk te hameren op het belang van vertrouwelijkheid.

In Nederland valt onrechtmatige verwerking of het verlies van gegevens ook onder een datalek.[9][10] De wet meldplicht datalekken is op 26 mei 2015 door de Eerste Kamer aangenomen. De verplichting tot het melden van datalekken door verantwoordelijken en bewerkers aan de Autoriteit Persoonsgegevens wordt geregeld doordat per 1 januari 2016 aanvullende bepalingen opgenomen zijn in o.a. de Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet.[9]

Algemene verordening gegevensbescherming