Privacy

Zeker 65 datalekken per dag, maar wat doe je als je gegevens op straat liggen?

null Beeld Fadi Nadrous
Beeld Fadi Nadrous

De gegevens van een half miljard Facebookgebruikers worden online aangeboden, bleek afgelopen weekend. Datalekken zijn aan de orde van de dag. Wat zijn de gevolgen voor de mensen van wie gegevens op straat liggen?

Voor Sara is het niet de vraag of de gestolen gegevens van haar zoon misbruikt gaan worden, de vraag is wanneer. Zo las ze in een artikel van CNN dat gegevens van jonge kinderen veel opbrengen op de online zwarte markt. “Het kan nu gebeuren, over tien jaar of pas als hij achttien is, maar ik weet dat hij er een keer last van krijgt.”

Sara, die niet met haar achternaam in de krant staat om haar zoon te beschermen die dezelfde naam draagt, is een van de gedupeerden van het datalek bij het Centrum voor Jeugd en Gezin (CJG) in Rotterdam, oftewel het consultatiebureau. Via een phishingmail kwamen criminelen afgelopen zomer binnen in mailboxen van medewerkers. Daarin waren namen, adresgegevens en burgerservicenummers van baby’s en peuters te vinden, waaronder de nu tweejarige zoon van Sara.

We zijn altijd heel voorzichtig geweest

“Elke ouder probeert zijn kind te beschermen. Omdat wij allebei verstand hebben van de online wereld – ik ben marketeer en geef les op dat gebied en mijn vriend is systeemengineer – zijn we altijd heel voorzichtig geweest. Vanaf zijn geboorte hebben we bewust zijn online footprint zo klein mogelijk gehouden. En dan gebeurt er zoiets. Bsn’s zouden nooit gewoon in e-mails gebruikt mogen worden.”

Het lek bij het CJG was een van de 23.976 datalekken die vorig jaar werden gemeld bij de Autoriteit Persoonsgegevens. Dat komt neer op meer dan 65 meldingen per dag. Soms liggen de gegevens van een enkeling op straat, soms gaat het om een megalek. Zo werd afgelopen weekend bekend dat de data van een half miljard Facebookgebruikers online worden aangeboden, waaronder die van ruim 5 miljoen Nederlanders. Waarschijnlijk in 2019 bij het bedrijf gestolen.

Organisaties zijn verplicht om binnen 72 uur aan te kloppen bij de privacywaakhond als een datalek een risico vormt voor ‘de rechten en vrijheden’ van de gedupeerden. Booking.com kreeg vorige week nog een boete van 475.000 euro omdat het bedrijf te laat was nadat begin 2019 van duizenden klanten data werden gestolen, waaronder de creditcardgegevens van driehonderd van hen.

In het geval van Booking werd vrij snel misbruik gemaakt van de buitgemaakte gegevens. Het datalek kwam aan het licht toen verschillende klanten aangaven dat ze vreemde mails en telefoontjes kregen waarin werd gehengeld naar nog meer informatie. Vooral fraude ligt op de loer.

Deel van de gedupeerden liep financiële schade op

Iemand kan bijvoorbeeld uit zijn op inloggegevens van een bankrekening of op jouw naam diensten afnemen of producten bestellen bij webwinkels. In 2019 kwamen bij het ‘Centraal Meldpunt Identiteitsfraude- en fouten’ 4142 meldingen binnen. Een deel van de gedupeerden liep financiële schade op, volgens de Monitor Identiteit, een jaarlijks onderzoek van de overheid, gemiddeld 745 euro per persoon.

Maar lang niet altijd worden de gevolgen van een datalek meteen duidelijk. “Een crimineel die gegevens in handen heeft, zal op zoek gaan naar de meest lucratieve manier om met de minste moeite geld te verdienen. Het kan dus zijn dat jouw gegevens niet interessant zijn om iets mee te doen”, zegt Jeroen van Beek. Hij is van het bedrijf Scattered Secrets dat online op zoek gaat naar gelekte e-mailadressen en wachtwoorden zodat mensen en bedrijven kunnen checken of hun gegevens op straat liggen. Inmiddels verzamelden ze 4,7 miljard wachtwoorden. Volgens Van Beek kun je er vanuit gaan dat vrijwel elke Nederlander die online actief is wel een keer in een datalek voorkomt of voor gaat komen.

Het zichtbaarst wordt dat in ieders inbox via al die spamberichten. Van Beek: “De e-mailadressen die voor spam misbruikt worden, worden per massa online aangeboden. We zijn databestanden tegengekomen met miljarden adressen.” Over het algemeen geldt: hoe meer gegevens – naast e-mailadressen bijvoorbeeld ook geboortedata en BSN’s – en hoe nieuwer de informatie, hoe hoger de prijs die er op de zwarte markt voor wordt betaald.

Als opstapje om een grotere vis te vangen

Ook als iemands gelekte gegevens op zichzelf niet zo interessant zijn, kunnen de data wel als opstapje dienen om een grotere vis te vangen, zegt Van Beek. “Een mooi voorbeeld is de hack bij Uber in 2017. Door een datalek bij een ander bedrijf kwam het wachtwoord van een softwareontwikkelaar op straat te liggen. Hij bleek dat wachtwoord ook te gebruiken voor toegang tot software van Uber. Als gevolg daarvan werden gegevens van 57 miljoen Uber-klanten en -chauffeurs gestolen.”

Het verhaal van Sara laat daarnaast zien dat de schade van een datalek niet altijd materieel is. Het gaat ook om het unheimische gevoel dat gegevens op straat liggen en in verkeerde handen kunnen vallen.

Wat meespeelt bij haar frustratie, is dat een oplossing uitblijft. Zo klopte ze aan bij het Meldpunt identiteitsfraude, maar daar kreeg ze te horen dat een melding maar tien jaar geldig blijft. Ook deed ze vergeefs een poging om een nieuw bsn voor haar zoon te krijgen. De gemeente Rotterdam wees het verzoek af, omdat zoiets alleen kan als iemand direct gevaar loopt of als er administratieve fouten zijn gemaakt. “Dat is een achterhaalde manier om naar de wet te kijken”, vindt Sara. “Ook in ons geval is er een fout gemaakt.”

We verdienen een betere bescherming

Gedupeerden van datalekken verdienen een betere bescherming, vindt ze. Zeker jonge kinderen. “Waarom zou je met deze groep überhaupt een risico willen nemen? Laat ze niet met 1-0 achterstand aan het leven beginnen. Mijn zoon overkomt dat nu wel.”

De volledige naam van Sara is bekend bij de hoofdredactie.

Hoe kun je het risico na datalekken beperken?

De Autoriteit Persoonsgegevens wijst onder meer op het belang van tweestapsverificatie. Dat betekent dat een wachtwoord niet voldoende is om ergens in te loggen, maar dat er altijd een extra code nodig is die bijvoorbeeld via een sms wordt verstuurd. Wat volgens Jeroen van Beek ook belangrijk is, is om voor elk account een uniek wachtwoord te gebruiken. Verder heeft hij nog een simpele tip: waar geen gegevens zijn, valt ook niets te stelen. “Vraag je altijd af of het nodig is om je gegevens achter te laten. Bij veel webshops kun je ook bestellen zonder een account aan te maken.”

Lees ook :

Moeten we van die burgerservicenummers af?

Door het datalek bij de GGD liggen bsn’s op straat. Is zo’n uniek nummer waar je de rest van je leven aan vastzit nog wel houdbaar in een digitale samenleving met ontelbaar veel databestanden?

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden