Begin februari werd duidelijk dat telecomprovider Odido is getroffen door een grootschalige cyberaanval. Via phishing wisten aanvallers toegang te krijgen tot medewerkersaccounts, waarna zij persoonsgegevens van miljoenen accounts buitmaakten. Het incident raakt aan fundamentele vragen over digitale weerbaarheid en de bescherming van persoonsgegevens in een tijd waarin grote organisaties enorme hoeveelheden data verwerken. Wat zegt dit lek over de staat van cybersecurity in Nederland? En welke verantwoordelijkheden rusten op bedrijven wanneer persoonsgegevens op straat komen te liggen? Sascha van Schendel, universitair docent Data Protection & Cybersecurity, en Wouter Scherpenisse, promovendus cybersecurity en rechtsstaat, beiden werkzaam aan Erasmus School of Law en binnen het Erasmus Center of Law and Digitalization (ECLD), geven antwoord op deze vragen.

De menselijke schakel

Scherpenisse is duidelijk: “De omvang van het datalek is zeer groot. Het lijkt erop dat cybercriminelen data van zo’n 6,2 miljoen gebruikers hebben bemachtigd. We spreken in dat opzicht over een van de grootste datalekken ooit in Nederland.” Volgens hem zit de ernst niet alleen in het aantal getroffen personen, maar vooral in de aard van de gegevens. Namen, adressen, IBAN-nummers en identificatiegegevens zijn bij de aanval gestolen. “De aard van de buitgemaakte data maakt dat dit datalek zich als een olievlek kan verspreiden. Cybercriminelen kunnen namelijk misbruik maken van deze gegevens.”

Uit berichtgeving blijkt dat de aanvallers via phishing binnenkwamen. Voor Scherpenisse onderstreept dit het belang van de menselijke factor: “De menselijke schakel is veelal een zwakke schakel in de digitale keten. Bewustwording daaromtrent is heel belangrijk. Je kunt een onneembaar digitaal fort proberen te bouwen, maar op het moment dat iemand vergeet de loopbrug op te halen of het valhek te laten zakken, houd je niemand buiten.” Cyberhygiëne is daarom cruciaal. “Het is verstandig om werknemers met (in)directe toegang tot systemen alert te maken op de betreffende risico’s. Een bepaalde mate van cyberkennis binnen een organisatie is geen overbodige luxe. Het is wat dat betreft een goede zaak dat cyberhygiëne een wettelijke verankering krijgt in de aankomende Cyberbeveiligingswet, ter implementatie van de NIS2-richtlijn,” aldus Scherpenisse. Tegelijkertijd erkent hij dat volledige veiligheid een illusie is.

De grote boze wolf of grootmoeder?

Wat betekent het datalek concreet voor burgers? Scherpenisse: “Het zal voor kwetsbare groepen – denk bijvoorbeeld aan ouderen – nog lastiger worden om kwaadwillende telefoontjes (‘spoofing’) te onderscheiden van bonafide telefoontjes. Zonder grote oren, ogen en tanden wordt het nog lastiger om de wolf van grootmoeder te onderscheiden. De geloofwaardigheid van iemand die zichzelf voordoet als bankmedewerker wordt aanzienlijk groter als die persoon in het bezit is van je naam, adres, paspoort- en bankrekeningnummer.” Zijn advies is duidelijk: “Wat moet je doen als je straks een telefoontje krijgt van bijvoorbeeld ‘de bank’ of ‘de zorgverzekeraar’ met een verzoek om geld over te maken? Hang onmiddellijk op en probeer zelf contact op te nemen met de betreffende instantie via de contactgegevens op de website.”

Gegevensbescherming onder de AVG

De Algemene Verordening Gegevensbescherming (AVG) speelt een centrale rol in dit datalek. “Naast het melden van het lek bij de Autoriteit Persoonsgegevens (AP) moet Odido dit lek ook melden aan de personen van wie de data gelekt zijn, in dit geval de klanten. Die moeten zo volledig mogelijk geïnformeerd worden over welke data zijn buitgemaakt,” vertelt Van Schendel. Daarbij hoort een zorgvuldig onderzoek naar de omvang en oorzaak van het lek. Ook geldt een verantwoordingsplicht: “Onder de AVG hebben partijen die met persoonsgegevens werken ook een verantwoordingsplicht op basis waarvan zij logboeken bij moeten houden en documentatie van welke beschermingsmaatregelen steeds worden genomen,” legt ze uit.

De vraag wanneer sprake is van onvoldoende beveiliging is volgens Van Schendel contextafhankelijk. “Onder de AVG kennen we een sterk niveau van gegevensbescherming aan de hand van verschillende principes en door passende technische en organisatorische maatregelen die genomen dienen te worden,” zegt Van Schendel. “De vraag is continu: voor welk doel worden persoonsgegevens verzameld, gebruikt en bewaard?” Alleen gegevens die noodzakelijk zijn voor dat doel mogen worden verwerkt.

Deze versturen we 3-4x per jaar.