Datalekken: transparantie of (ver)zwijgen?

Datalekken: transparantie of (ver)zwijgen?

On april 28, 2016, Posted by , In Algemeen, By ,,,,,, , With Reacties uitgeschakeld voor Datalekken: transparantie of (ver)zwijgen?

Beveiligde SSL verbinding is dat nodig voor mijn site?Veel bedrijven die een hack op hun website of systemen meemaken schieten vaak direct “in een kramp”. De schrik slaat ze om het hart. “Wat als onze klanten hier over horen? Daar gaat onze reputatie!”. Maar is dat een correcte reactie?

Wettelijk verplicht te melden

Sinds kort is er een meldplicht datalekken. Wat betekent die meldplicht? De site van de autoriteit persoonsgegevens meldt:
Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Bij een inbraak in een systeem waarbij persoonsgegevens zijn buit gemaakt moet dus altijd melding worden gedaan. Altijd! Naast dus het feit dat er een melding gedaan moet worden aan de betreffende autoriteit is het (vaak) ook noodzakelijk de betreffende cliënten te informeren. Bijvoorbeeld als hun wachtwoorden ontvreemd zijn.

Damage control? Damage control!

Jaren geleden maakte ik mee dat bij een bedrijf de (eigen) IT-infrastructuur inclusief hun website was gehackt. De oorzaak was gelegen in een “virusuitbraak” in het netwerk van de backoffice. Daardoor kregen kwaadwillenden toegang tot hun data inclusief persoons- en financiële gegevens. Ik werd gevraagd het een en ander op te lossen voor ze. En, zo werd er bij gezegd, “dit mag absoluut niet naar buiten!!”. Ondanks mijn dringende verzoek hun klanten te informeren deden ze dat niet.

De oplossing die gekozen werd was: alle wachtwoorden resetten en mensen een mail te sturen dat in verband met een “upgrade” men zijn wachtwoord moest aanpassen… het zou mij niet verbazen als er nog jarenlang gespamd is naar de toendertijd buit gemaakte email adressen. Om over andere gevolgschade maar niet te spreken.

Op Koningsdag ontving ik een email van een (groot) bedrijf waar ik recent iets besteld had. De email vermeldt netjes dat kwaadwillenden toegang tot de backend van de site en de klantgegevens hadden gekregen. Tevens werd in de email uitgelegd hoe de data opgeslagen was, welke data “geraakt” werd er door en welke maatregelen men heeft genomen. Ook werd uitgelegd hoe gegevens beveiligd waren en wat er mis gegaan was.

Ik zal in de toekomst gerust weer bestellen bij dat laatste bedrijf. Natuurlijk is het vervelend dat mijn (privé) email, adres en gebruikersnaam “buitgemaakt” is. Anderzijds heeft men direct actie ondernomen en een beveiligingsbedrijf de zaak laten doorlichten.

Transparantie en openheid van zaken is namelijk niet alleen wettelijk verplicht, het is ook de allerbeste “damage control” die je kunt doen. Naast, uiteraard, zorgen dat alles zo goed mogelijk beveiligd is.

Webwinkel keurmerken

Overigens een saillant detail: beide ondernemingen voeren een keurmerk van dezelfde waarborg organisatie. Zo’n keurmerk biedt u als klant dus geen enkele extra veiligheid of garantie. Ook hebben ze allebei een SSL-verbinding. In beide gevallen echter was de zwakste schakel: de mens. Dit is meestal het geval als het over beveiliging en inbraak gaat. Onzorgvuldigheid, onoplettendheid of onkunde en onwetendheid zijn meestal dé oorzaken voor het lekken van data. Goede voorlichting en training van personeel is daarom een echte must!

Comments are closed.