De Autoriteit Persoonsgegevens heeft een rapportage gepubliceerd waaruit blijkt dat er in 2020 een sterke stijging was van het aantal datalekmeldingen. Een datalek kan drastische gevolgen hebben voor decentrale overheden. Het instellen van een meerfactorauthenticatie zou het aantal meldingen kunnen verminderen.
Datalekken
Het aantal datalekmeldingen bij de Autoriteit Persoonsgegevens (AP) is in 2020 met maar liefst 30% gestegen ten opzichte van het jaar daarvoor. Nederland behoort daarmee in de top drie Europese landen met de meeste datalekmeldingen. Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Dit kan verschillende oorzaken hebben, zoals een verkeerd doorgestuurde email, hacking, phishing of malware. Op basis van artikel 33 van de Algemene Verordening Gegevensbescherming (AVG) moet een datalek gemeld worden aan de AP. Dit geldt ook voor decentrale overheden. Meer informatie over datalekken en de meldingsplicht kunt u vinden in deze praktijkvraag. De European Data Protection Board heeft richtlijnen opgesteld voor datalekmeldingen. Dit kan decentrale overheden helpen bij het nemen van passende maatregelen na vaststelling van een datalek.
Gevolgen voor gemeentes
Diefstal van gevoelige persoonsgegevens bij decentrale overheden kan drastische gevolgen hebben voor individuen. Criminelen proberen vooral toegang te krijgen tot organisaties die veel persoonlijke informatie verwerken. Ze slaan pas toe nadat ze het gehele netwerk in kaart hebben gebracht en zoveel mogelijk persoonlijke informatie hebben kunnen kopiëren. Persoonsgegevens kunnen gebruikt worden voor criminele activiteiten waardoor bankrekeningen leeg gehaald kunnen worden. Ook kan het lekken van persoonlijke informatie bij een gemeente als gevolg hebben dat informatie over schulden en uitkeringen bekend gemaakt wordt. Het is van belang voor gemeentes om hun beveiliging op orde te hebben, doordat zij zeer gevoelige informatie van burgers verwerken.
Meerfactorauthenticatie
De AP geeft in de rapportage het belang van een meerfactorauthenticatie (MFA) aan. Een MFA is een vorm van toegangsbeveiliging dat ervoor zorgt dat de identiteit van de gebruiker wordt geverifieerd door een authenticatiemiddel. Hierbij kan gedacht worden aan een code of een smartcard. Zo kan er op een makkelijke manier meer bescherming worden geboden. De AP stelt dat er veel meldingen voorkomen hadden kunnen worden wanneer er gebruik was gemaakt van een MFA. Het gebruik van een MFA is verplicht binnen een organisatie als het een essentiële maatregel is (artikel 5 lid 1 onder f, artikel 24 en artikel 32 AVG). Het is een essentiële maatregel als het passende bescherming biedt zoals bedoeld in artikel 5 lid 1 onder f AVG. De AP geeft in de rapportage aan een strengere controle te gaan uitvoeren op deze verplichting. Voor decentrale overheden is het instellen van een MFA ook van belang. Met de invoering van een MFA kunnen zij immers op een eenvoudige manier een sterkere vorm van beveiliging invoeren en privacy risico’s verminderen.
Daarnaast kan het vooraf uitvoeren van een data protection impact assessment (DPIA) ondersteuning bieden aan het voorkomen van datalekken en het verduidelijken van privacy risico’s. Het is belangrijk passende maatregelen te nemen om risico’s te verkleinen. Meer informatie over het uitvoeren van een DPIA kunt u vinden in deze praktijkvraag.
Bron
AP luidt noodklok, Autoriteit Persoonsgegevens
Rapportage datalekken, Autoriteit Persoonsgegevens
Meer informatie
Informatiemaatschappij, Kenniscentrum Europa Decentraal
Privacy: de Algemene Verordening gegevensbescherming, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Autoriteit Persoonsgegevens
Wat te doen bij een datalek na een hack?, Kenniscentrum Europa Decentraal
