De afgelopen maanden volgden de datalekken elkaar in rap tempo op. Grote namen, veel media-aandacht. Zelfs de Autoriteit Persoonsgegevens kreeg ermee te maken. Dat roept een ongemakkelijke maar belangrijke vraag op:
Zijn datalekken vooral een technisch probleem, of een menselijk probleem?
Hoe datalekken ontstaan
Wanneer we kijken naar hoe datalekken ontstaan, denken we al snel aan geavanceerde hacks en technische kwetsbaarheden. In de media gaat het vaak over cybercriminelen die systemen binnendringen via complexe aanvallen. Maar de realiteit is vaak anders, en menselijker.
Bij het datalek bij Odido werd duidelijk dat criminelen gebruikmaakten van social engineering. Medewerkers werden benaderd via phishing, inloggegevens werden buitgemaakt en er werd misbruik gemaakt van vertrouwen om toegang te krijgen tot systemen. Geen spectaculaire hack van buitenaf, maar manipulatie van binnenuit.
Dat is precies wat social engineering zo gevaarlijk maakt: criminelen maken geen gebruik van zwakke software, maar van menselijke reflexen: behulpzaamheid, tijdsdruk, vertrouwen in collega’s of IT-afdelingen. En dat zien we vaker.
Geen kwade opzet
Naast gerichte aanvallen ontstaan datalekken ook door ogenschijnlijk kleine handelingen:
- een verkeerde bijlage in een e-mail
- CC gebruiken in plaats van BCC
- toegangsrechten die niet worden ingetrokken
- een Excelbestand dat breder gedeeld wordt dan bedoeld
- persoonsgegevens die “even snel” in een AI-tool worden geplakt
Er zit geen kwade opzet achter of slechte bedoelingen. Maar het zijn wel momenten waarop beveiliging wordt omzeild. En waar je met alle technische middelen haast niets aan kunt doen.
Wat kun je dan wel doen om een datalek te voorkomen?
Social engineering kun je niet volledig voorkomen.Maar je kunt medewerkers wel leren signalen te herkennen en twijfel bespreekbaar te maken. Het antwoord ligt niet alleen in betere software of strengere wachtwoorden. Het zit wel in:
- duidelijke afspraken over wat wel en niet mag
- bewustwording bij medewerkers
- regelmatig controleren van toegangsrechten
- oefenen met scenario’s: wat doe je als iemand om een code vraagt?
Organisaties die investeren in praktische uitleg en korte trainingen zien dat medewerkers alerter worden. Niet uit angst, maar uit begrip. En dat is misschien wel de belangrijkste les van recente datalekken: Beveiliging begint niet bij techniek maar bij mensen.
Train je team: dit voorkomt 80% van de fouten
Veel datalekken ontstaan doordat medewerkers niet weten wat mag en wat niet.
Daarom bevat het AVG-supportplatform een videotraining van 20 korte modules die precies dit soort situaties behandelt.
- gratis inbegrepen voor alle klanten
- ideaal voor nieuwe medewerkers
- eenvoudig toe te passen in de praktijk
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
