Datalekken: wat kunnen webshops doen?
Datalekken zijn de laatste weken veel in het nieuws. Bij onder andere Odido, Booking.com, Basic-Fit en Rituals zijn mogelijk klantgegevens buitgemaakt. Er waren ook berichten over een datalek bij bol, maar die lijken onjuist. Wat verklaart al die datalekken? Hoe voorkom je ze en wat moet je doen als het jouw webwinkel overkomt?
Kort na elkaar kregen Odido, Booking.com, Basic-Fit en Rituals er dit jaar mee te maken: een datalek. Gegevens van klanten zijn mogelijk in verkeerde handen gekomen. Bij al deze bedrijven gaat het om namen, fysieke adressen en e-mailadressen. Daarmee kunnen criminelen mensen proberen op te lichten via phishing.
Ook telefoonnummers, geboortedata, geslachts- en bankgegevens zijn gelekt, soms ook lidmaatschapsinformatie (Basic-Fit), boekingsdetails (Booking.com) of nummers van identiteitsbewijzen (Odido). Vooral dat laatste ligt gevoelig; daarmee kan iemand bijvoorbeeld contracten afsluiten op andermans naam.
Consumentenvertrouwen versus datahonger
Datalekken doen het vertrouwen van consumenten, dat al laag ligt, geen goed. Zij zullen zich zorgen maken om hun online veiligheid en voorzichtiger worden met het delen van persoonlijke informatie. De datahonger van webwinkels is tegelijkertijd groot: bij veel van de online topverkopers in Nederland is een account zelfs verplicht om een bestelling te kunnen doen. Met die data kunnen ze klanten gerichter bedienen, maar het heeft dus ook een keerzijde.
Waarom zoveel datalekken?
Waarom er zoveel datalekken in het nieuws komen, is niet precies te zeggen. Verschillende ontwikkelingen spelen mee. Achter cyberaanvallen zitten tegenwoordig goed georganiseerde criminele netwerken. Ze werken als bedrijven met gespecialiseerde rollen, zoals hackers, onderhandelaars en witwassers.
Ondertussen zijn de IT-landschappen van bedrijven steeds complexer geworden, met cloudsoftware, externe leveranciers en API-koppelingen. EĆ©n zwakke plek kan leiden tot meerdere datalekken. Daarnaast blijft de mens een zwakke schakel, denk aan medewerkers die op een verkeerde link drukken of persoonsgegevens invoeren in AI-tools als ChatGPT. Daarmee lekken ze data, waarschuwde de Autoriteit Persoonsgegevens al in 2024.
Hoe meer data, hoe meer risico en impact
Terugkomend op de datahonger: doordat bedrijven steeds meer data zijn gaan verzamelen is de mogelijke buit voor criminelen groter, en daarmee de impact van een datalek. Ten slotte moeten organisaties datalekken melden sinds de inwerkingtreding van de AVG, waardoor ze vaker het nieuws halen.
Fake-lek bij bol
Bol leek onlangs ook het slachtoffer te zijn van een datalek. Dat bericht ging deze week rond op sociale media en vervolgens ook in reguliere media. Iemand zou gegevens van 400.000 Belgische klanten hebben buitgemaakt. De marktleider in zowel Nederland als Belgiƫ vond geen bewijs voor een hack of cyberaanval, ondanks claims van een crimineel die de klantdata op het darkweb voor 100 euro te koop aanbood.
In het bestand staan gefabriceerde data, vermoedt een journalist van de Vlaamse krant Het Laatste Nieuws. Gegevens uit een oud datalek lijken gecombineerd met door AI gegenereerde informatie, wat ook de gedachte is van bol. Check bij een datalek dus ook of je niet misleid wordt met onjuiste berichten.
Een datalek voorkomen
Webshops kunnen het risico op datalekken verkleinen door dataminimalisatie als uitgangspunt te nemen: alleen verzamelen en bewaren wat strikt noodzakelijk is en verouderde klantgegevens actief verwijderen.
Tweestapsverificatie vergroot de dataveiligheid aan de voorkant. Rollen en rechten helpen aan de achterkant om de interne toegang tot gevoelige data en daarmee risicoās te beperken, net als training van medewerkers, sterke wachtwoorden, monitoring en reguliere updates. Ook de keten ā zo sterk als de zwakste schakel ā verdient aandacht: het is raadzaam om te controleren hoe leveranciers omgaan met databeveiliging en afspraken vast te leggen.
Handelen bij een datalek
Als er toch een datalek optreedt, is het belangrijk dat je snel en gestructureerd handelt. Breng in kaart wat er is gebeurd, welke data betrokken zijn en of het lek nog actief is. Maar neem ook maatregelen om verdere schade te voorkomen, zoals het blokkeren van toegang en het resetten van wachtwoorden.
Ondernemers moeten de impact beoordelen en bepalen of ze een melding moeten doen bij de Autoriteit Persoonsgegevens. In veel gevallen moet dat binnen 72 uur. Klanten duidelijk en eerlijk informeren is uiteraard ook belangrijk, net als het incident evalueren en maatregelen nemen om herhaling te voorkomen.
Te weinig budget voor aanpak datalekken
Veel Nederlanders willen dat bedrijven na een datalek hard worden aangepakt. Volgens sommigen zou zoān lek een ontbindende contractvoorwaarde moeten zijn; klanten kunnen dan onder een (bezorg)abonnement uit bij een online dienstverlener. Ook de Autoriteit Persoonsgegevens zegt strenger op te willen treden bij datalekken, maar het ontbreekt de toezichthouder aan capaciteit: jaarlijks krijgt de AP ongeveer twintigduizend meldingen van datalekken binnen.
Twintigduizend meldingen van datalekken per jaar
Er zijn veel te weinig mensen om al die meldingen af te handelen, aldus voorzitter Aleid Wolfsen tegen Een Vandaag. āWe hebben daar een capaciteit voor van rond de tien mensen en dat is lachwekkend weinig.ā Aan extra voorlichting, waarschuwingen en spontane controles komt de AP simpelweg niet toe. Vorig jaar deelde de autoriteit slechts vier boetes uit. Wolfsen: āBoetes zijn geen doel op zich, maar er gaat wel een sterke waarschuwende werking van uit. De beveiliging is te vaak onder de maat.ā Hij smeekt om extra handhavingsbudget uit Den Haag.
Schade van een datalek
Los van de boetes is de schade van een datalek voor betrokken bedrijven enorm. Volgens IBM bedroeg die vorig jaar gemiddeld 6 miljoen euro per incident in Nederland. Met name de gevolgen voor de reputatie en het klantvertrouwen zijn groot.
Voorkomen is beter dan genezen
Webwinkels die denken dat ze te klein of oninteressant zijn onderschatten het risico: aanvallen zijn vaak geautomatiseerd en alle data hebben waarde. Voorkomen is ook voor hen beter dan genezen. Een datalek is nooit volledig uit te sluiten, maar je kunt de kans wel verkleinen en de impact beperken. Dat begint met preventieve maatregelen en een duidelijk plan voor als het misgaat.
Vond je dit nuttig?
Reacties