AP waarschuwt: risico’s cyberaanvallen vaak veel te laag ingeschat

In Nederland worden steeds meer organisaties getroffen door cyberaanvallen, waarbij persoonlijke gegevens in verkeerde handen kunnen vallen. Helaas blijkt uit een rapport van de Autoriteit Persoonsgegevens (AP) dat deze organisaties vaak nalaten om getroffen personen tijdig te waarschuwen voor mogelijke schade door datalekken. De AP waarschuwt dat zeven op de tien organisaties de risico's van een aanval te laag inschatten, waardoor slachtoffers zich niet kunnen beschermen tegen cybercriminelen.

• Datalekmeldingen in Nederland stijgen; waarschuwing voor onderschatting van risico's.
• Organisaties moeten mensen tijdig informeren bij datalekken met hoog risico.
• AP benadrukt hoofdverantwoordelijkheid van organisaties voor bescherming van persoonsgegevens.

Het jaarlijkse overzicht van de AP onthult dat er in 2023 meer dan 25.000 meldingen van datalekken zijn ontvangen, waarbij circa twintig miljoen mensen slachtoffer werden. Deze cijfers benadrukken de noodzaak van adequate bescherming van persoonsgegevens en tijdige waarschuwingen bij risicovolle datalekken.

Informatieplicht en vertrouwen in organisaties

Het is wettelijk verplicht voor organisaties om mensen te informeren als er sprake is van een hoog risico na een datalek. Echter, in de praktijk blijkt dat veel organisaties deze risico's onderschatten, waardoor slachtoffers niet op de hoogte worden gebracht van de gelekte persoonsgegevens. AP-voorzitter Aleid Wolfsen benadrukt het belang van vertrouwen in organisaties en het recht van mensen om te weten wat er met hun gegevens gebeurt. [Artikel gaat verder na deze alinea] 

 Hoofdverantwoordelijkheid bij organisaties

Cyberaanvallen vormen een aanzienlijke bedreiging, vooral omdat deze vaak gericht zijn op IT-leveranciers die grote hoeveelheden persoonsgegevens beheren voor organisaties. Ondanks het inhuren van IT-leveranciers blijven organisaties zelf verantwoordelijk voor de bescherming van deze gegevens. Het is cruciaal dat organisaties actief informatie verstrekken aan personen wiens gegevens mogelijk zijn aangetast, benadrukt Wolfsen.

Wolfsen: “Dit is meer dan zorgelijk. Mensen moeten erop kunnen vertrouwen dat organisaties goed met hun persoonsgegevens omgaan. Daar hoort ook bij dat een organisatie jou goed informeert als er helaas iets misgaat met jouw gegevens. Want hoe kun jij de regie houden over jouw leven als jou niet verteld wordt wat er met je gegevens gebeurt?”

Hoofdverantwoordelijk 
In 2023 ging het bij datalekken ruim 1.300 keer om een cyberaanval. Cyberaanvallers richten hun digitale pijlen vaak op IT-leveranciers. Organisaties huren IT-leveranciers in om vaak grote hoeveelheden persoonsgegevens te beheren. Deze inhurende organisaties blijven doorgaans zelf verantwoordelijk als er iets gebeurt met deze gegevens. Zij moeten mensen dan ook zelf informeren als hun persoonsgegevens bij de IT-leverancier in verkeerde handen zijn gevallen.

Lees ook: 

• Expert: ‘Groeiende urgentie digitale en fysieke datasecurity”
• Blog: “Finance en de opheffing van de IT-afdeling’