Albert Heijn lekt data. Hoe vaak gebeurt dat eigenlijk?

Foto: Markus Spiske

De inloggegevens van 10.000 klanten van Albert Heijn zijn per ongeluk in verkeerde handen terechtgekomen, zo maakte het supermarktconcern vrijdag bekend. Vier vragen en antwoorden over datalekken.

Wat is een datalek en hoe vaak komen ze voor?

Volgens de Autoriteit Persoonsgegevens is een datalek elke vorm van toegang tot of vernietiging van, wijziging van of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de intentie is van deze organisatie. Wanneer er data zijn gelekt, moet de organisatie dit direct melden bij de Autoriteit Persoonsgegevens (AP). Soms is er ook een plicht om het datalek te melden aan degenen wier data zijn gelekt.

In 2017 werden 10.009 meldingen gedaan bij de Autoriteit Persoonsgegevens. Dat betekende een stijging van ruim 70 procent in vergelijking met het jaar ervoor.

In de meeste gevallen ging het bij de melding om persoonsgegevens die aan de verkeerde ontvanger waren gestuurd (47 procent). Kwijtgeraakte USB-sticks en tassen met dossiers waren goed voor 14 procent. Door middel van hacking, malware en phishing kwamen in 6 procent van de meldingen de gegevens in verkeerde handen terecht.

Recente datalekken in binnen- en buitenland

Vrijdag werd bekend dat de inlognamen en wachtwoorden van zo’n 10.000 gebruikers van de website ah.nl van Albert Heijn door een programmeerfout enige tijd zichtbaar waren in de adresbalk van internetbrowsers. Gedupeerde klanten zijn per e-mail op de hoogte gesteld, terwijl Albert Heijn ook de Autoriteit Persoonsgegevens heeft ingeschakeld, zo meldt de supermarktketen op zijn site. Volgens de supermarkt is bij geen van de accounts ‘ongebruikelijke activiteit waargenomen’.

In juli ging de gemeente Rotterdam in de fout door privacygevoelige gegevens van probleemjongeren uit de wijk Delfshaven te laten lekken naar andere probleemjongeren uit dezelfde buurt, zo werd ruim twee weken geleden bekend. Het ging om namen, adressen, foto’s en burgerservicenummers van jongeren die overlast geven of crimineel zijn, en daarom intensief worden gevolgd door politie en gemeente. Ook dit voorval werd gemeld bij de AP. Er is aangifte gedaan.

Een van de meest opzienbarende wereldwijde datalekken van dit jaar speelde zich af op Facebook en werd in maart bekend. De Britse University of Cambridge verzamelde gegevens van Facebookgebruikers. Op de achtergrond werden ook gegevens uit de Facebook-profielen van deelnemers verzameld, zoals data van en over vrienden. Deze gegevens zijn door een medewerker van de universiteit illegaal verkocht aan het private Brits-Amerikaanse databedrijf Cambridge Analytica. Dat bundelt datamining, data-analyse en direct marketing met strategische communicatie voor verkiezingscampagnes.

Cambridge Analytica zette de gegevens van ongeveer 87 miljoen gebruikers in voor de politieke campagne van toen nog presidentskandidaat Donald Trump. Facebook wist hier al twee jaar van, maar deed niets. Facebook-CEO Mark Zuckerberg moest zich verantwoorden voor het Amerikaanse Congres en het Europees Parlement, maar hem werden geen serieuze sancties opgelegd.

Vermoedelijk het grootste datalek ooit deed zich voor bij Yahoo. Het internetbedrijf, vooral bekend van zijn zoekmachine, meldde in 2016 dat 1 miljard accounts waren getroffen door een hack van een (nog altijd) onbekende dader. Vorig jaar bleek dat het aantal getroffen gebruikers nog veel groter was: van alle drie miljard accounts bleken onder meer namen, e-mailadressen, telefoonnummers, wachtwoorden en geboortedata gestolen. Omdat Yahoo zo lang verzuimde om het datalek te melden, betaalde Verizon, dat de internetactiviteiten van Yahoo overnam, 350 miljoen dollar (310 miljoen euro) minder dan voorgenomen.

Waar komen de meeste datalekken voor?

In Nederland werden vorig jaar de meeste datalekken gemeld bij organisaties in de sectoren gezondheid en welzijn (3.105 meldingen). Een recent voorbeeld is het datalek bij zorgverzekeraar Achmea. Daar bleek vorige maand dat in augustus persoonlijke data van circa 10.000 verzekerden op straat lagen, vermoedelijk door een fout van een medewerker uit Apeldoorn of ‘iemand uit de omgeving’ van die medewerker. Ook in de sectoren openbaar bestuur (2.000 meldingen) en financiële dienstverlening (1.984 meldingen) belanden vaak data op straat, zo blijkt uit gegevens van de Autoriteit Persoonsgegevens.

Het gaat in de meeste gevallen om namen, adressen en woonplaatsen (NAW-gegevens), geslacht, geboortedatum en burgerservicenummers. Belangrijke oorzaken zijn menselijke fouten, zoals het aanschrijven van de verkeerde ontvanger of het kwijtraken van een laptop, USB-stick of tas met dossiers. Ook gebrekkige digitale beveiliging, bijvoorbeeld door een verouderde firewall, phishing en het hacken van sociale media, leiden vaak tot het lekken van persoonsgegevens.

Wat moet een organisatie doen bij een datalek?

Niet alle datalekken hoeven te worden gemeld bij de Autoriteit Persoonsgegevens. Het gaat alleen om datalekken die leiden tot een risico voor de rechten en vrijheden van de direct betrokkenen. Om te kunnen bepalen of daarvan sprake is, verwijst de Autoriteit Persoonsgegevens naar de Guidelines meldplicht datalekken. Deze Europese regelgeving biedt handvatten voor het bepalen van de ernst van het datalek. Die factoren zijn bijvoorbeeld:

  • Zijn er gegevens gelekt (en bestaan deze gegevens dus nog) of zijn er gegevens verloren gegaan?
  • Een combinatie van persoonsgegevens kan tot ernstiger gevolgen leiden – denk bijvoorbeeld aan identiteitsdiefstal – dan een enkel persoonsgegeven.
  • De context waarin de persoonsgegevens zijn gelekt. Een gelekte naam zal in veel gevallen niet tot grote schade leiden, tenzij het gaat om bijvoorbeeld het lekken van een naam van een (onbekende) adoptieouder aan een biologische ouder.
  • Hoe makkelijk is het om gegevens te herleiden naar specifieke personen?
  • Hoeveel personen zijn getroffen door het lek?