Cyber risk

Datarisico’s na een datalek door diefstal, hack of verlies

Migiel de Wit-Beets
Door:
Migiel de Wit-Beets
17 mei 202111 min. leestijd
insight featured image
Verlies of diefstal van data kan iedereen voorkomen. Want het lekken van jouw (gevoelige) bedrijfsgegevens kan grote gevolgen hebben. Voor jouw leveranciers, jouw klanten en jouw bedrijf. Zorg daarom dat je maatregelen neemt om te voorkomen dat jouw data gestolen kan worden. En als jouw data gestolen wordt, dat je dan de kans op bedrijfsschade minimaliseert.
Dit zijn belangrijke aandachtspunten:

Is een datalek een IT- of boardroomprobleem?

Het komt maar al te vaak voor dat de mogelijkheid van een cyberincident als een IT-probleem wordt beschouwd, en niet als een organisatie breed probleem, dat op boardroomniveau besproken moet worden. Een ernstig cyberincident kan catastrofale gevolgen hebben: het beschadigt het vertrouwen van klanten, kan leiden tot sancties van overheidswege, verstoort de bedrijfsvoering en veroorzaakt langdurige financiële schade. In de praktijk zien wij nog vaak genoeg dat ondernemingen cyberrisico’s niet serieus genoeg nemen of dit te laat inzien. Met alle gevolgen van dien.

Datalek na cyberincident

Een cyberincident vindt plaats. Er is data uit jouw systemen verwijderd, gelekt, versleuteld of gestolen. Of er is hardware verloren, denk aan een vergeten USB‑stick, harde schijf of laptop. Op het moment dat er persoonsgegevens tussen die data zitten, spreken we van een datalek.

Als cybercriminelen bedrijfsgegevens buit maken, via wat voor manier dan ook, dan valt dat niet direct in de categorie datalek. Tussen jouw bedrijfsgegevens zijn namelijk niet altijd persoonsgegevens te vinden. Echter, vaak is dit wel het geval. Als een cyberincident of datalek optreedt, of je hebt het vermoeden ervan. Bel ons incident response team 24/7 op +31 (0)88 676 9999.

Welke risico’s creëren (cyber-)criminelen met gestolen data?

Het in bezit hebben van gestolen data verhoogt de kans op identiteitsfraude. Bij identiteitsfraude kan iemand anders zich onder jouw naam uitgeven. De kwaadwillende beschikt immers over voldoende persoonlijke data over jou.

Ook is er een verhoogde kans op phishing. Phishing is een vorm van cybercriminaliteit waarin de kwaadwillende zich voordoet als een bedrijf. Bijvoorbeeld een bank. Om zo weer andere informatie te bemachtigen, of financiële transacties te bewerkstelligen.

En er is een verhoogde kans op fraude. Incidenten die veel voorkomen hebben te maken met Whatsapp-fraude. Door je als kwaadwillende voor te doen als een bekende, via Whatsapp, wordt bijvoorbeeld gevraagd om een bepaald bedrag over te maken. Zo kan iemand al snel opgelicht worden.

Hoe voorkom ik datadiefstal of -verlies?

De belangrijkste datagerelateerde risico’s kunnen ook geïdentificeerd worden door te denken als een hacker en de maximale schade te bepalen die zij kunnen veroorzaken. Hoe vind jij jouw kroonjuwelen: jouw belangrijkste en meest gevoelige data tussen al jouw bytes? Wat maakt data een hoog, laag of gemiddeld risico?

Bij de risico’s rond data geldt bij veel bedrijven het Pareto-principe. Dat wil zeggen dat 20% van de bedrijfsgegevens voor 80% van het risico zorgt. Alle gegevens beschermen is onbegonnen werk. Bedrijven kunnen zich beter richten op data waarvan de beveiliging echt essentieel is voor het bedrijf en voor de klanten.

Het is niet realistisch om te proberen alle spreadsheets, gearchiveerde e-mails of databestanden van jouw organisatie te categoriseren. Het kan ook niet volledig worden geautomatiseerd - er zijn tools die helpen bij databeheer - maar er is altijd een menselijk oordeel nodig. Uiteindelijk komt het erop neer dat jouw personeel actief moet nadenken over de verschillende soorten data in zijn beheer. Zo kunnen ze de middelen die verdere aandacht vereisen eruit halen.

Het Digital trust center van de Rijksoverheid stelt voor om datadiefstal tegen te gaan door:

  1. Harde schijf encryptie toe te passen
    Zorg dat de data op de harde schijf van devices versleuteld is. Dit maakt het voor cybercriminelen lastiger om deze data in te zien.

  2. Maak gebruik van tweestapsverificatie
    Als je digitale accounts toelaat, maak dan gebruik van tweestapsverificatie of multifactorauthenticatie voor jouw loginprocedure. Dit houdt in dat je naast een gebruikersnaam en wachtwoord een extra veiligheidsstap moet nemen voordat je kunt inloggen. Dit kan bijvoorbeeld door gebruik te maken van tokens, waarbij bijvoorbeeld een code continu wisselt. 

  3. De mogelijkheid om devices op afstand te blokkeren
    Een mobiel apparaat op afstand blokkeren en data eventueel wissen is mogelijk middels Mobile Device Management (MDM). Er zijn hier verschillende mogelijkheden in omloop. Afhankelijk van bijvoorbeeld het type apparaat.

  4. Stel een databeleid op
    Veel organisaties laten het niet toe om data lokaal op laptops en apparaten op te slaan. Door beleid toe te passen via netwerk- en machine policies kun je afdwingen dat medewerkers een en ander niet lokaal kunnen opslaan.

Veelvoorkomende situaties van datalekken

In veel gevallen van een datalek zijn medewerkers de zwakste schakel.

  1. Verkeerde ontvanger bij het verzenden van een e-mail
    Het kan ‘de beste’ overkomen. Jij verstuurt per e-mail een bestand met daarin persoonsgegevens. Per abuis verzend je dit aan de verkeerde ontvanger. Dit is al een datalek te noemen.

  2. Een gegevensdrager kwijtraken
    Een smartphone die vergeten wordt, een USB-stick die uit een tas valt, of een laptop die gestolen wordt. Allemaal situaties waarin een gegevensdrager kwijtraakt en daarmee ook (gevoelige) data.

  3. Ransomware, phishing, malware

    Er is ransomware geplaatst op jouw computer. Cybercriminelen blokkeren jouw computer of, nog erger, jouw bedrijfsnetwerk. Je kunt pas weer bij jouw systemen komen na het betalen van losgeld. Bescherm jouw onderneming tegen ransomwareaanvallen. Bij phishing wordt een valse e-mail aan jou of jouw medewerkers verzonden. Klik je op een link, dan word je vaak naar een nagebootste website geleid, bijvoorbeeld die van jouw bank. Met alle gevolgen van dien. Zorg dat jij en jouw personeel phishing herkennen om datarisico’s te beperken en datalekken te voorkomen.

  4. CEO-fraude
    Uw medewerker van de financiële administratie krijgt een e-mail namens u, de CEO of CFO. Terwijl u deze e-mail niet heeft verzonden. In die e-mail wordt opgedragen een fors bedrag (in één keer of in stapjes) over te maken. Op een listige wijze wordt uw controller of administrateur door cybercriminelen erin geluisd. In 2018 werd bioscoopketen Pathé slachtoffer van CEO-fraude.

  5. Fraude met lekken van persoonsgegevens
    Jouw medewerker van de financiële administratie krijgt een e-mail namens jou, de CEO of CFO. Terwijl jij deze e-mail niet hebt verzonden. In die e-mail wordt opgedragen een fors bedrag (in één keer of in stapjes) over te maken. Op een listige wijze wordt jouw controller of administrateur door cybercriminelen erin geluisd. In 2018 werd bioscoopketen Pathé slachtoffer van CEO-fraude. Bekijk onze animatievideo waarin zes fraudetypes worden besproken.

Reputatieschade na datalek

Een datalek kan een flinke kostenpost voor een bedrijf veroorzaken. Er ligt namelijk reputatieschade op de loer. Een ernstig datalek kan:

  • klantvertrouwen beschadigen;
  • wettelijk toezicht teweegbrengen;
  • bedrijfsvoering verstoren;
  • langdurige financiële schade veroorzaken.

Klantverlies is een risico. Uiteraard zal de omvang van het datalek hiertoe bepalend zijn, evenals de sector waarin het bedrijf actief is. En ook al zou het om het verlies van enkele klanten gaan… het winnen van nieuwe klanten in combinatie met reputatieschade wordt des te lastiger.

Stappenplan bij een datalek (jouw incident response plan)

Je kunt niet alles voorkomen. Goed in staat zijn te reageren op een cyberincident is minstens zo belangrijk. Snel handelen helpt om de gevolgen te beheersen bij een cyberaanval, fraude, datalek of andere incidenten om schade aan jouw organisatie te voorkomen en jouw reputatie te beschermen.

Betrek de juiste mensen

De afweging wie je te betrekken bij een incident kunt, kun je vooraf maken en scheelt tijd. Gaat het om een cyberincident? Betrek dan de CIO of het hoofd systeembeheer, hoofd IT, de CEO, CFO of directie, een jurist en communicatie. Reputatieschade is snel opgelopen; daarom is ‘hoe’ je het nieuws naar buiten brengt een belangrijke afweging. Is de organisatie onderdeel van een keten? Laat een jurist dan de verantwoordelijkheden en dus aansprakelijkheden ten aanzien van de keten onderzoeken.

Het stappenplan

  1. Je constateert dat er persoonsgegevens gestolen of verloren zijn.
  2. Rol jouw incident responseplan (zie paragraaf hierna wat daarin moet staan) uit. Dit incident response plan moet bestaan uit:
    1. Uit wie bestaat het incident response team? Dit moeten beslissingsbevoegde medewerkers zijn met kennis van zaken.
    2. Wie doet wat, wie neemt welke beslissingen en welke (externe) specialisten kunnen gebeld worden als er assistentie nodig is.
    3. Welke informatie moet verzameld worden, door wie en hoe worden beslissingen vastgelegd? Welke stakeholders worden geïnformeerd door wie.
    4. Bepaal of je een melding moet maken bij de Autoriteit Persoonsgegevens. Zo ja, wie meldt een datalek indien relevant? En maak melding via het meldloket datalekken.
    5. Hoe wordt het incident geëvalueerd en voorkomen dat dit nogmaals gebeurt?
    6. Hoe is de vervanging geregeld? Wie vervangt de IT-manager wanneer diegene met vakantie is, etc.?
  3. Los de oorzaak van het datalek op, indien dit kan.
  4. Bereid jou en jouw bedrijf voor op juridische consequenties

Wanneer schakel je een cybersecurity specialist of incident response team in?

Als je beslissingen hebt genomen die onomkeerbaar zijn, is het te laat om een specialist in te schakelen. Bijvoorbeeld wanneer je bitcoins hebt betaald om de gijzeling van jouw systemen en data op te lossen. Wanneer je alle back-ups al terug hebt gezet, maar niet precies weet waar het fout ging en misschien dus ook jouw back-ups aan het besmetten bent. Wanneer je logfiles hebt overschreven waardoor toekomstig onderzoek niet meer mogelijk is. Onze cybersecurityspecialisten hebben het liefst een ‘schone crime scene’, waar iedereen overal vanaf is gebleven.

Een grote uitdaging voor een incident response team is vaak inzicht krijgen in de organisatie en de processen en systemen bij gegevensverzameling. Ook bij incident response is het van belang te weten hoe de digitale infrastructuur eruitziet. Waar staat wat? En wat is met elkaar verbonden? Organisaties die dit inzicht hebben en aan de preventiekant privacy en cybersecurity met elkaar combineren, hebben een voorsprong bij incident response.

De toekomst: drie stappen om data beter te begrijpen

Drie stappen om bedrijven te helpen het belang van data te erkennen – en uiteindelijk een beter ontwikkelde benadering van informatierisicobeheersing te creëren.

Stap 1: Maak eigenaarschap duidelijk – systeembreed en dataspecifiek

Informatiebeveiliging moet een organisatiebrede, consequent toegepaste risicobeheersingskwestie zijn. Wijs een eigenaar aan op managementniveau – vaak de Chief Financial Officer, de Chief Revenue Officer of meer specifiek de Chief Information Security Officer – en ook een eigenaar op operationeel niveau. Maak duidelijk dat data een strategisch bezit zijn dat een risicocategorie toegewezen dient te krijgen en opgenomen moet worden in een risicoregister. Een van de voordelen van het toewijzen van eigenaarschap is dat data-eigenaren zich meer verantwoordelijk voelen en dat het de efficiëntie binnen een organisatie vergroot.

Stap 2: Informatierisicobeheer standaard opnemen

Het aanstellen van een eigenaar van informatiebeveiliging op managementniveau maakt het ook makkelijker om te garanderen dat effectieve datacategorisatie of -beoordeling al bij aanvang in projecten wordt verwerkt en duidelijk is aan welke privacyverplichtingen (bijvoorbeeld het uitvoeren van een data protection impact assessment) moet worden voldaan.

“Beveiliging en privacy moeten standaard zijn,” zegt Nick Oldham, databeveiligings- en privacyadvocaat bij het internationale advocatenkantoor King & Spalding. “Beveiliging en privacy zijn een laag die organisaties pas aan het eind van een nieuw initiatief toevoegen. Dit zorgt later voor problemen.”

Stap 3: Meer ‘menselijke’ communicatie en training

Om ervoor te zorgen dat jouw medewerkers de realiteit van privacy- en cyberrisico’s beter begrijpen, moet je de risico’s vertalen naar de dagelijkse praktijk en technisch jargon vermijden. Het gaat om eenvoudige menselijke interactie.

Voor Ross Anderson van de University of Cambridge draait succesvolle communicatie om beter storytelling. “Organisaties moeten niet over data praten,” zegt hij. “Ze moeten praten over wat er mis kan gaan op menselijk niveau. Onze hersenen zijn geoptimaliseerd voor het vertellen van verhalen. Zodra je dus praat over datacategorieën, haken mensen af.”

Vraag een willekeurige hacker wat het zwakste punt in een systeem is, en het antwoord is altijd de mensen. Daarom is het belangrijk te focussen op training. Er zijn echter grenzen aan wat met een training bereikt kan worden. Ons advies is om niet op training alleen in te zetten. Bedenk ook welke technische oplossingen kunnen helpen om zoveel mogelijk risicofactoren weg te nemen.

Jouw belangrijkste data

Uiteindelijk komt het erop neer dat u moet weten wat uw belangrijkste data is (afhankelijk van uw sector, risicoprofiel en bedrijfsdoelstellingen) en specifieke organisatorische, juridische en technische maatregelen neemt. Dit is niet altijd even makkelijk en is een continu proces, maar het is een essentieel onderdeel van risicobeheer in ons digitale tijdperk.

Gerelateerd aan  

Gerelateerde artikelen

View more

Vooruit in tijden van verandering: een onderscheidende factor voor groei

International Business Report

In deze editie van Grant Thorntons serie over trending topics onderzoeken we hoe verandering middelgrote ondernemingen juist kansen biedt om te groeien en zich te onderscheiden van de concurrent.

29 okt 2025

Cyberdreiging groeit, voorbereiding blijft achter: een wake-up call voor het mkb

IBR

Uit de meest recente cijfers van het International Business Report (IBR) blijkt dat het aantal significante cyberincidenten in het mkb en de mid-market fors toeneemt. In dit artikel lees je er meer over.

4 min. leestijd | 06 okt 2025

Verbeter jouw cyberweerbaarheid met de subsidieregeling Mijn Cyberweerbare Zaak

Cyber Risk Services

Werk je bij een kleine onderneming en wil je de cyberweerbaarheid van jouw bedrijf verhogen? Heeft jouw bedrijf maximaal 50 medewerkers en een jaaromzet van maximaal 10 miljoen euro? Dan kun je financiële ondersteuning krijgen via de subsidieregeling Mijn Cyberweerbare Zaak (MCZ). Ontdek in 5 stappen wat je moet doen.

Migiel de Wit-Beets
B. van Ormondt
| 3 min. leestijd | 17 jul 2025
    View more
    TRENDING

    Top 5 artikelen