AP waarschuwt: risico’s cyberaanvallen vaak veel te laag ingeschat

Organisaties stellen mensen vaak niet op de hoogte als hun gegevens gelekt zijn.

In Nederland worden steeds meer organisaties getroffen door cyberaanvallen, waarbij persoonlijke gegevens in verkeerde handen kunnen vallen. Helaas blijkt uit een rapport van de Autoriteit Persoonsgegevens (AP) dat deze organisaties vaak nalaten om getroffen personen tijdig te waarschuwen voor mogelijke schade door datalekken. De AP waarschuwt dat zeven op de tien organisaties de risico's van een aanval te laag inschatten, waardoor slachtoffers zich niet kunnen beschermen tegen cybercriminelen.

  • Datalekmeldingen in Nederland stijgen; waarschuwing voor onderschatting van risico's.
  • Organisaties moeten mensen tijdig informeren bij datalekken met hoog risico.
  • AP benadrukt hoofdverantwoordelijkheid van organisaties voor bescherming van persoonsgegevens.

 

Het jaarlijkse overzicht van de AP onthult dat er in 2023 meer dan 25.000 meldingen van datalekken zijn ontvangen, waarbij circa twintig miljoen mensen slachtoffer werden. Deze cijfers benadrukken de noodzaak van adequate bescherming van persoonsgegevens en tijdige waarschuwingen bij risicovolle datalekken.

Informatieplicht en vertrouwen in organisaties

Het is wettelijk verplicht voor organisaties om mensen te informeren als er sprake is van een hoog risico na een datalek. Echter, in de praktijk blijkt dat veel organisaties deze risico's onderschatten, waardoor slachtoffers niet op de hoogte worden gebracht van de gelekte persoonsgegevens. AP-voorzitter Aleid Wolfsen benadrukt het belang van vertrouwen in organisaties en het recht van mensen om te weten wat er met hun gegevens gebeurt. [Artikel gaat verder na deze alinea] 

Als toonaangevende bron voor accountantnieuws, strategieën en inzichten in finance en accounancy, helpt accountantweek.nl accountants, controllers en hoger financieel management om voorop te blijven lopen. Schrijf u daarom nu in voor de heldere, korte en makkelijk leesbare nieuwsbrief van Accountantweek voor een overzicht van al het relevante nieuws, alle unieke en inspirerende (netwerk)evenementen en belangrijkste meningen of volg ons op Linkedin.

 Hoofdverantwoordelijkheid bij organisaties

Cyberaanvallen vormen een aanzienlijke bedreiging, vooral omdat deze vaak gericht zijn op IT-leveranciers die grote hoeveelheden persoonsgegevens beheren voor organisaties. Ondanks het inhuren van IT-leveranciers blijven organisaties zelf verantwoordelijk voor de bescherming van deze gegevens. Het is cruciaal dat organisaties actief informatie verstrekken aan personen wiens gegevens mogelijk zijn aangetast, benadrukt Wolfsen.

Binnen veel bedrijven dragen CFO's verantwoordelijkheid voor de bescherming van persoonlijke gegevens en privacygevoelige data binnen de onderneming, voornamelijk vanwege hun rol bij het handhaven van wet- en regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG). Concreet houdt dit in dat CFO's verschillende taken moeten uitvoeren, zoals het opstellen en implementeren van een gegevensbeschermingsbeleid, bijhouden van een register van verwerkingsactiviteiten, nemen van technische en organisatorische beveiligingsmaatregelen, trainen van medewerkers in gegevensbescherming, en melden van datalekken aan de Autoriteit Persoonsgegevens binnen 72 uur. Controlerende accountants zien toe op de rapportageverplichting van bedrijven over de risico's.

Wolfsen: “Dit is meer dan zorgelijk. Mensen moeten erop kunnen vertrouwen dat organisaties goed met hun persoonsgegevens omgaan. Daar hoort ook bij dat een organisatie jou goed informeert als er helaas iets misgaat met jouw gegevens. Want hoe kun jij de regie houden over jouw leven als jou niet verteld wordt wat er met je gegevens gebeurt?”

Hoofdverantwoordelijk 
In 2023 ging het bij datalekken ruim 1.300 keer om een cyberaanval. Cyberaanvallers richten hun digitale pijlen vaak op IT-leveranciers. Organisaties huren IT-leveranciers in om vaak grote hoeveelheden persoonsgegevens te beheren. Deze inhurende organisaties blijven doorgaans zelf verantwoordelijk als er iets gebeurt met deze gegevens. Zij moeten mensen dan ook zelf informeren als hun persoonsgegevens bij de IT-leverancier in verkeerde handen zijn gevallen.

Lees ook: 

 

Gerelateerde artikelen