Veel meer datalekken gemeld in 2024: echte gevaar blijft onder de radar

De Autoriteit Persoonsgegevens (AP) ontving in 2004 bijna 38.000 meldingen van datalekken. Een forse stijging ten opzichte van het jaar ervoor. Opvallend is dat het grootste deel van deze meldingen relatief klein was: een verkeerd verzonden brief, een kwijtgeraakte e-mail. Maar juist deze nadruk op 'kleine incidenten' verhult een belangrijk risico: cyberaanvallen worden weliswaar minder vaak gemeld, maar de impact is vele malen groter.

Klein in aantal, groot in schade

Een datalek hoeft geen nieuwswaardig incident te zijn. De meeste meldingen die bij de AP binnenkomen, gaan over administratieve vergissingen: menselijke fouten die snel te herstellen lijken. In verhouding worden er minder meldingen gedaan van cyberaanvallen zoals ransomware, phishing of datadiefstal via malware. Maar die schijnbare geruststelling is misleidend.

Cyberaanvallen hebben vaak een heel andere schaal. Eén succesvolle hack kan leiden tot de diefstal van tienduizenden klantgegevens. Of erger: langdurige uitval van bedrijfsprocessen, verlies van gevoelige informatie, imagoschade of juridische aansprakelijkheid. De AP meldt dat één grote aanval vorig jaar al goed was voor 5.313 meldingen in één keer. En dat is slechts wat er formeel is gemeld.

Waarom dit zorgelijk is

Organisaties die zich blindstaren op het aantal datalekken, lopen het risico het werkelijke gevaar te onderschatten. Juist omdat gerichte cyberaanvallen minder vaak voorkomen, is de alertheid soms lager. En dat terwijl ze veel moeilijker te beheersen zijn zodra het misgaat.

Bovendien blijkt uit meerdere recente rapporten dat veel organisaties hun basisbeveiliging nog niet op orde hebben. Denk aan het ontbreken van meerfactorauthenticatie, onregelmatige updates of medewerkers die onvoldoende getraind zijn in het herkennen van phishing.

Toezicht en wetgeving worden strenger

De Autoriteit Persoonsgegevens geeft in haar verslag ook aan dat ze kampt met capaciteitsproblemen. Daardoor is er weinig ruimte voor proactief onderzoek. Tegelijkertijd worden toezichthouders op andere vlakken juist actiever, zoals bij de handhaving van de NIS2-richtlijn en de op handen zijnde Cyberbeveiligingswet. Daarmee verschuift de verantwoordelijkheid steeds nadrukkelijker naar organisaties zelf.

Ook bestuurders worden persoonlijk aansprakelijk gehouden als blijkt dat er onvoldoende toezicht is geweest op informatiebeveiliging. Dit vraagt om een andere benadering: van reactief naar preventief.

Wat kunt u doen?

Een belangrijk uitgangspunt is niet alleen kijken naar de kans dat iets gebeurt, maar ook naar de mogelijke impact. Datalekken zijn er in vele soorten en maten, maar het zijn juist de grootschalige incidenten die diep snijden in de organisatie.

Enkele vragen om uzelf te stellen:

• Hebben wij onze risico's in kaart gebracht?
• Weten we hoe we phishing, malware en ransomware herkennen en voorkomen?
• Zijn onze medewerkers voldoende bewust van de risico's?
• Is er een procedure voor incidenten en datalekken?
• Kunnen we aantonen dat we in control zijn als er vragen komen van toezichthouders?

Digitale weerbaarheid vraagt om regie

De stijging in het aantal datalekken laat zien dat privacy en informatiebeveiliging nadrukkelijk op de agenda staan. Maar de cijfers vertellen niet het hele verhaal. Achter de getallen schuilt een veel groter risico: de stille dreiging van goed georganiseerde cyberaanvallen die met één druk op de knop enorme schade kunnen veroorzaken.

Organisaties die dit begrijpen, investeren niet alleen in techniek, maar ook in bewustwording, procesbeheersing en voorbereiding. Niet omdat het moet, maar omdat ze weten wat er op het spel staat.

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en flexibele inzet van cybersecurityspecialisten. We helpen organisaties van elk type om het risico op gijzeling van bedrijfssystemen, datadiefstal en onbevoegde toegang te verkleinen en hun digitale weerbaarheid te vergroten. Neem contact op via info@tt3p.nl of 088 38 38 38 3.

Op de hoogte blijven van alle updates rondom cybersecurity? Volg dan onze LinkedIn-pagina