Dataminimalisatie in de strijd tegen cybercrime
.jpg)
Nederland raakte de afgelopen week in de ban van het grote datalek bij Odido. Persoonsgegevens van 6,2 miljoen mensen kwamen door een cyberaanval op straat te liggen. Criminelen maakten onder andere naam, adres, IBAN en zelfs paspoort- of rijbewijsnummers buit. Die combinatie maakt het lek extra risicovol: phishingberichten worden geloofwaardiger, waardoor fraude moeilijker te detecteren is.
Na melding bij de Autoriteit Persoonsgegevens en betrokken klanten bleek dat Odido persoonsgegevens langer bewaart dan het zelf aangeeft. In het privacystatement stelt het bedrijf dat gegevens maximaal twee jaar na afloop van het contract worden bewaard, maar ook oud-klanten die al vijf tot tien jaar geleden waren overgestapt naar een andere provider kregen een mail over het datalek.
De lange termijngevolgen voor Odido blijven nog onzeker. De reputatieschade is groot en het vertrouwen van klanten is onder druk komen te staan.
Het datalek is een van de grootste ooit in Nederland, maar staat zeker niet op zichzelf. Zo zijn vorig jaar bij een hack van het bevolkingsonderzoek naar baarmoederhalskanker de gevoelige medische gegevens van honderdduizenden vrouwen gestolen en kwamen in 2023 de gegevens van enkele miljoenen Nederlanders in verkeerde handen door een datalek bij softwarebedrijf Nebu.
Het aantal cyberaanvallen neemt jaarlijks toe. Het is dus zaak dat organisaties hun digitale weerbaarheid op orde hebben. Dit betekent dat cybersecurity niet alleen een IT-onderwerp moet zijn, maar ook een strategisch bestuursvraagstuk. Op boardniveau zou integraal risicomanagement voorop moeten staan. Dat stelde ook Matthijs Zwart, cio van Vitens, in onze ronde tafel over de kansen en uitdagingen van NIS2: ‘Goed voorbereide bestuurders dragen uit wat het beleid is en wat er moet gebeuren als het misgaat. Dan is er draagvlak. Ook medewerkers die zich niet direct bezighouden met IT moeten kennis hebben van hun impact op cyberveiligheid en begrijpen wat ze moeten doen en laten. Zo blijf je aan het roer op het moment dat zich een probleem voordoet.’
In de ronde tafel deelde Jeroen van Rooden, cio van het LUMC ook: ‘Een crisis is de beste oefening. Je moet niets wegmoffelen, maar ervan leren, dan sta je de volgende keer sterker.’
Omdat absolute veiligheid niet te garanderen, noch te waarborgen is, is risicomanagement op boardniveau een absolute must. En dan mag datamanagement absoluut niet vergeten worden. Kortere bewaartermijnen verkleinen de risico’s; dataminimalisatie is een van de krachtigste vormen van cyberverdediging. Om in de woorden van Van Rooden te spreken: laten we van dit lek leren.
Reageren? Mail ons op redactie@scopebusinessmedia.nl