Actueel

06 december 2018

De prijs van datalekken

Opnieuw een groot datalek, opnieuw volop in de media. Zelfs het NOS journaal besteedde er aandacht aan, want de persoonsgegevens van maar liefst 500 miljoen klanten van de Marriott-Starwood hotelketen lagen op straat.

Een datalek: hoe zit het ook weer?

Een datalek wordt door de Autoriteit Persoonsgegevens (AP), in Nederland de toezichthouder op de naleving van de Europese privacywetgeving, gedefinieerd als toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling was. Het is daarmee niet beperkt tot het vrijkomen van informatie – een concrete lek –, maar ondervangt ook de onrechtmatige verwerking van gegevens, waarbij bescherming van deze data niet conform de wetgeving is.

7 procent van de wereldbevolking

Het datalek bij de hotelketen, het grootste incident sinds de twee beruchte voorvallen bij Yahoo, raakte daarmee zóveel mensen dat het zelfs in volle procenten van de wereldbevolking is uit te drukken. En dat is niet eens het meeste opvallende aan de zaak, want de aanvallers hadden maar liefst vier jaar lang toegang tot deze informatie.

Dat zal het bedrijf in directe zin ongetwijfeld een financiële strop opleveren – een datalek kan binnen de AVG immers serieus bestraft worden –, maar hoe zit het met de indirecte gevolgen? Heeft een zoveelste cyberincident invloed op hoe wij als consument naar het betreffende bedrijf kijken, of raken we ‘datalekmoe’?

Klantloyaliteit

Die laatste vraag was toevallig ook onderdeel van een recent Customer Loyalty-onderzoek van Gemalto, het internationale bedrijf in digitale beveiliging. De strenge conclusie van dat onderzoek? De meerderheid van de consumenten (66 procent) is niet geneigd om te winkelen bij, noch zaken te doen met een organisatie waarvan persoonsgegevens zijn gestolen.

Uit het onderzoek, uitgevoerd onder 10.500 respondenten, blijkt dat met name retailers (62 procent), banken (59 procent) en social media (58 procent) in de ban worden gedaan bij een datalek. Dat hangt samen met het feit dat 70 procent van de consumenten vindt dat de verantwoordelijkheid voor gegevensbescherming bij organisaties ligt. Sterker nog, 93 procent legt de volledige schuld in geval van een datalek bij de organisatie.

Vertrouwen in bedrijven

Slechts een kwart van de consumenten heeft het gevoel dat de bescherming en beveiliging van persoonsgegevens zeer serieus genomen wordt. Zij vertrouwen voornamelijk social media (61 procent) en banken (40 procent) niet als het gaat om de bescherming van hun gegevens. 91 procent is van mening dat de applicaties en websites die ze momenteel gebruiken een risico vormen voor de bescherming en beveiliging van persoonsgegevens. Daarom wil 82 procent van de consumenten dat organisaties meer online securitymaatregelen nemen.

Ruim een kwart is zelf slachtoffer

Een kwart van de door marktonderzoeker Vanson Bourne ondervraagden is zelf het slachtoffer geweest van frauduleus gebruik van financiële informatie (26 procent), persoonsgegevens (19 procent) en identiteitsdiefstal (16 procent). Daarnaast maakt twee derde zich zorgen omdat zij denken slachtoffer te worden van een datalek.

Ondanks deze angst zijn consumenten overigens niet van plan hun eigen online gedrag te veranderen. Meer dan de helft (55 procent) geeft bijvoorbeeld aan hetzelfde wachtwoord voor verschillende accounts te gebruiken.

Van bedrijven wordt desalniettemin steeds meer verwacht dat de juiste stappen gezet worden om gevoelige gegevens te beschermen. We zeggen al langer dat de verantwoordelijkheid die organisaties daarin nemen dé business case van nu vormt, met cybersecurity als het nieuwe duurzaam. Vanuit de markt zien we dat zowel bedrijven als publieke instanties die verantwoordelijkheid steeds meer opeisen, maar er is – getuige de aanhoudende nieuwsstroom in de media – nog veel te doen.

Verantwoordelijkheid begint bij informatiebewustzijn

Bedrijfscultuur en individuele houding zijn doorslaggevend bij het gedrag van mensen op de werkvloer. Zijn de medewerkers zich bewust van hun rol bij informatiebeveiliging? Wat zijn de gangbare normen? Is de organisatie voldoende bewust van de verantwoordelijkheden en potentiële bedreigingen? Hoe is het voorbeeldgedrag van het management? Lees meer over de aanpak van Awareways en bekijk de online modules voor het vergroten van security awareness.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.