Begin februari werd duidelijk dat telecomprovider Odido is getroffen door een grootschalige cyberaanval. Via phishing wisten aanvallers toegang te krijgen tot medewerkersaccounts, waarna zij persoonsgegevens van miljoenen accounts buitmaakten. Het incident raakt aan fundamentele vragen over digitale weerbaarheid en de bescherming van persoonsgegevens in een tijd waarin grote organisaties enorme hoeveelheden data verwerken. Wat zegt dit lek over de staat van cybersecurity in Nederland? En welke verantwoordelijkheden rusten op bedrijven wanneer persoonsgegevens op straat komen te liggen? Sascha van Schendel, universitair docent Data Protection & Cybersecurity, en Wouter Scherpenisse, promovendus cybersecurity en rechtsstaat, beiden werkzaam aan Erasmus School of Law en binnen het Erasmus Center of Law and Digitalization (ECLD), geven antwoord op deze vragen.
De menselijke schakel
Scherpenisse is duidelijk: “De omvang van het datalek is zeer groot. Het lijkt erop dat cybercriminelen data van zo’n 6,2 miljoen gebruikers hebben bemachtigd. We spreken in dat opzicht over een van de grootste datalekken ooit in Nederland.” Volgens hem zit de ernst niet alleen in het aantal getroffen personen, maar vooral in de aard van de gegevens. Namen, adressen, IBAN-nummers en identificatiegegevens zijn bij de aanval gestolen. “De aard van de buitgemaakte data maakt dat dit datalek zich als een olievlek kan verspreiden. Cybercriminelen kunnen namelijk misbruik maken van deze gegevens.”
Uit berichtgeving blijkt dat de aanvallers via phishing binnenkwamen. Voor Scherpenisse onderstreept dit het belang van de menselijke factor: “De menselijke schakel is veelal een zwakke schakel in de digitale keten. Bewustwording daaromtrent is heel belangrijk. Je kunt een onneembaar digitaal fort proberen te bouwen, maar op het moment dat iemand vergeet de loopbrug op te halen of het valhek te laten zakken, houd je niemand buiten.” Cyberhygiëne is daarom cruciaal. “Het is verstandig om werknemers met (in)directe toegang tot systemen alert te maken op de betreffende risico’s. Een bepaalde mate van cyberkennis binnen een organisatie is geen overbodige luxe. Het is wat dat betreft een goede zaak dat cyberhygiëne een wettelijke verankering krijgt in de aankomende Cyberbeveiligingswet, ter implementatie van de NIS2-richtlijn,” aldus Scherpenisse. Tegelijkertijd erkent hij dat volledige veiligheid een illusie is.
De grote boze wolf of grootmoeder?
Wat betekent het datalek concreet voor burgers? Scherpenisse: “Het zal voor kwetsbare groepen – denk bijvoorbeeld aan ouderen – nog lastiger worden om kwaadwillende telefoontjes (‘spoofing’) te onderscheiden van bonafide telefoontjes. Zonder grote oren, ogen en tanden wordt het nog lastiger om de wolf van grootmoeder te onderscheiden. De geloofwaardigheid van iemand die zichzelf voordoet als bankmedewerker wordt aanzienlijk groter als die persoon in het bezit is van je naam, adres, paspoort- en bankrekeningnummer.” Zijn advies is duidelijk: “Wat moet je doen als je straks een telefoontje krijgt van bijvoorbeeld ‘de bank’ of ‘de zorgverzekeraar’ met een verzoek om geld over te maken? Hang onmiddellijk op en probeer zelf contact op te nemen met de betreffende instantie via de contactgegevens op de website.”
Gegevensbescherming onder de AVG
De Algemene Verordening Gegevensbescherming (AVG) speelt een centrale rol in dit datalek. “Naast het melden van het lek bij de Autoriteit Persoonsgegevens (AP) moet Odido dit lek ook melden aan de personen van wie de data gelekt zijn, in dit geval de klanten. Die moeten zo volledig mogelijk geïnformeerd worden over welke data zijn buitgemaakt,” vertelt Van Schendel. Daarbij hoort een zorgvuldig onderzoek naar de omvang en oorzaak van het lek. Ook geldt een verantwoordingsplicht: “Onder de AVG hebben partijen die met persoonsgegevens werken ook een verantwoordingsplicht op basis waarvan zij logboeken bij moeten houden en documentatie van welke beschermingsmaatregelen steeds worden genomen,” legt ze uit.
De vraag wanneer sprake is van onvoldoende beveiliging is volgens Van Schendel contextafhankelijk. “Onder de AVG kennen we een sterk niveau van gegevensbescherming aan de hand van verschillende principes en door passende technische en organisatorische maatregelen die genomen dienen te worden,” zegt Van Schendel. “De vraag is continu: voor welk doel worden persoonsgegevens verzameld, gebruikt en bewaard?” Alleen gegevens die noodzakelijk zijn voor dat doel mogen worden verwerkt. “Er is een continue wedloop tussen hackers en de partijen die verantwoordelijk zijn voor persoonsgegevens wanneer het aankomt op beschermingsmaatregelen,” vertelt Van Schendel.
Wie draait op voor de schade?
Kan Odido aansprakelijk worden gesteld als daadwerkelijk misbruik wordt gemaakt van de gelekte gegevens? “Aansprakelijkheid bij datalekken is altijd een lastige kwestie,” antwoordt Van Schendel. “Ten eerste moet er blijken hoe er in strijd met de wet, ofwel onrechtmatig, is gehandeld. In dit geval is die wet dan de AVG.” Daarnaast moet er een direct causaal verband zijn tussen het lek en de schade. Ze legt uit: “Bij zaken die gaan over privacy en persoonsgegevens is dit een extra lastige vraag.” De schade kan bovendien immaterieel zijn: “Men verliest bijvoorbeeld het vertrouwen in een bedrijf of ervaart angst voor identiteitsfraude. Dit soort schade is vaak lastig te benoemen en concreet te maken. Steeds vaker zien we bij grootschalige datalekken partijen die zich opwerpen om de schade voor meerdere personen te verhalen, om de schade collectief af te wikkelen via zogenoemde ‘massaclaims’,” verklaart Van Schendel.
Bewaartermijnen onder de loep
Een extra dimensie in deze zaak is dat ook oud-klanten van vijf of tien jaar geleden getroffen lijken te zijn, terwijl Odido stelt gegevens maximaal twee jaar te bewaren. Volgens Van Schendel kan dat juridische gevolgen hebben: “Het kan zijn dat Odido dan meer gegevens heeft verwerkt dan minimaal noodzakelijk of deze langer heeft opgeslagen dan het doel waarvoor ze nodig waren. De AP moet beoordelen of er eventueel een schending is van belangrijke gegevensbeschermingsprincipes.” Volgens Van Schendel is het principe van opslagbeperking daarbij leidend: “Dit wordt bepaald aan de hand van het doel waarvoor de gegevens waren opgeslagen: zijn ze nog nodig om die facturen te versturen of het internet contract van de klant uit te voeren?”
Onvermijdelijk of te voorkomen?
Moeten we grootschalige datalekken dan maar als onvermijdelijk beschouwen? Beide onderzoekers zijn genuanceerd. “Het is onverstandig en onrealistisch om ervan uit te gaan dat dit soort incidenten volledig te voorkomen zijn,” zeggen Scherpenisse en Van Schendel gezamenlijk. “Zorg ervoor dat je als organisatie of individu weerbaar bent. We mogen van alle partijen die data verwerken, zowel bedrijven en overheden, verwachten dat zij ook voldoende beschermende maatregelen nemen en niet besparen op de kosten daarvan in een tijdperk waarin data een primair doelwit zijn van alle criminele activiteiten.” Ook burgers hebben volgens de onderzoekers een rol: “Wees daarnaast op persoonlijk niveau terughoudend met het delen van je eigen persoonlijke gegevens. Zelfs iets onschuldigs als het gebruikmaken van een hardloop-app kan grote risico’s met zich meebrengen.” Met een glimlach zeggen de onderzoekers: “Het lezen van een goed boek is in dat opzicht een stuk veiliger.”
- Universitair Docent
- Promovendus
- Gerelateerde content
