Hackers kunnen dankzij privacywet heel eenvoudig jouw gegevens opvragen bij bedrijven

Hoe snel voldoet de organisatie waar jij voor werkt aan een verzoek van een klant om een overzicht van alle persoonsgegevens die van hem of haar zijn opgeslagen? Wordt ook gecontroleerd of degene die de gegevens opvraagt ook echt degene is waarvan de gegevens zijn?

Hackers kunnen volgens veiligheidsonderzoeker James Pavur van de Oxford University dankzij de Europese privacywet heel eenvoudig aan persoonsgegevens komen. Pavur ontdekte tijdens een test dat hij zonder problemen de gegevens van iemand anders kon opvragen.

Bedrijven zijn op basis van de AVG verplicht om op verzoek in detail aan te geven welke gegevens zij van een gebruiker hebben opgeslagen.

Er wordt echter niet precies aangegeven hoe de bedrijven moeten controleren of de gebruiker de gegevens zelf of iemand anders met kwade bedoelingen opvraagt. Pavur probeerde uit of hij de gegevens van zijn vriendin – met haar toestemming – van de bedrijven kon krijgen zonder dat hij een identiteitskaart hoefde te tonen.

Het resultaat is schrikbarend: Pavur stuurde 150 onderzoeken om informatie op basis van de AVG.

In 72 procent van alle gevallen kreeg hij het antwoord dat de bedrijven daadwerkelijk gegevens opslaan.

In 24 procent van de gevallen sturen de bedrijven eenvoudigweg alle opgeslagen bestanden met gegevens zoals geboortedata, adressen of betalingsgegevens.

Nog eens 16 procent vroeg alleen om gemakkelijk te onderzoeken informatie, zoals de geboortedatum of creditcardnummers, die Pavur al van de eerste 24 procent van de verstrekkers had gekregen.

De conclusie van Pavur: “Bedrijven staan vaak onder druk om de Algemene Verordening Gegevensbescherming na te leven en snel te reageren op vragen. De aanvragen om inzage in persoonsgegevens worden vaak afgehandeld door bedrijfsjuristen of hun helpers en niet door veiligheidsdeskundigen, die misschien meer achterdochtig zijn.”

Nederlandse Autoriteit Persoonsgegevens wil niet zeggen hoeveel onderzoeken er lopen. Pas in januari eerste evaluatie AVG

Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.

Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.

“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.

Interpretatie AVG

Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”

In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.

In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.

De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.

De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.

De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “
Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.

Meer dan de helft van mkb-bedrijven slachtoffer van cybercrime. Is jouw bedrijf ook gehackt zonder dat je het weet?

Meer dan de helft van die bedrijven in Nederland was dit jaar doelwit van internetcriminelen. Veel ondernemers hebben niet in de gaten dat ze zijn gehackt door cybercriminelen.

Ondanks de toenemende stroom berichten over cybercrime, datalekken, virussen, malware, spyware en ransomware en de Algemene Verordening Gegevensbescherming (AVG) maakt driekwart van de bedrijven zich nog steeds weinig zorgen om de digitale veiligheid.

Onderzoek Alert Online

Dat blijkt uit een onderzoek dat Alert Online deed op verzoek van de overheid, het bedrijfsleven en de wetenschap 712 mkb’ers over internetcriminaliteit.

Die onbezorgdheid is ook nog eens toegenomen: vorig jaar maakte 65 procent van de bedrijven zich nog weinig zorgen.

Toch had 52 procent van de bedrijven afgelopen jaar last van cybercriminaliteit.

Het ministerie maakt zich zorgen over de lichtzinnigheid bij mkb-bedrijven en trekt daarom 1,2 miljoen euro uit voor voorlichting.

MKB vaak slachtoffer van phishing en acquisitiefraude

Je zou denken dat ondernemers die eenmaal slachtoffer zijn geweest zich voortaan beter beveiligen. Maar uit het onderzoek blijkt meer dan de helft dan nog geen extra maatregelen neemt om te voorkomen dat zoiets in de toekomst nog een keer gebeurt.

Mkb’ers worden het meest bestookt met phishing en acquisitiefraude. Een derde van de kleine bedrijven krijgt weleens dat soort mails, waarbij in één op de vijf gevallen ook echt op een kwaadaardige link wordt geklikt. En een kwart van de kleine bedrijven kreeg spookfacturen voor diensten of spullen die helemaal niet geleverd waren.

Ministerie van Justitie steekt 1,2 miljoen in awareness campagne voor MKB

Het ministerie van Justitie trekt 1,2 miljoen euro uit om mkb’ers voor te lichten en te trainen. Dat bedrag is onderdeel van het totaalbedrag dat het ministerie reserveerde voor de bestrijding van cybercrime.