Inzicht krijgen in de verstrekkende gevolgen van grootschalige datalekken

Recentelijk hebben inbreuken veel publieke belangstelling gekregen vanwege de aard van de gecompromitteerde gevoelige gegevens  en persoonlijke identificatiegegevens zoals namen, geboortedata en BSN-nummers. De combinatie van persoonsgegevens en identificatiekenmerken maakt het mogelijk een zeer volledig profiel op te bouwen, waardoor fraudeurs tal van mogelijkheden hebben om individuen of organisaties op een geraffineerde en gerichte wijze te misleiden. Met name het Nederlandse burgerservicenummer (BSN), dat als eenmalige unieke identificatie essentieel is voor interacties tussen burger en overheid, weegt zwaar in allerlei contacten en vormt bij misbruik een krachtig hulpmiddel voor criminelen die persoonlijke gegevens willen uitbuiten voor illegale doeleinden.  

Voorbeelden uit de praktijk benadrukken de serieuze privacy-, beveiligings- en frauderisico’s waarmee zowel individuen als organisaties worden geconfronteerd. Laten we twee kritieke risicogebieden verkennen die jouw aandacht verdienen.

Risico op identiteitsdiefstal en/of fraude

Identiteitsfraude ontstaat wanneer persoonlijke informatie onrechtmatig wordt gebruikt voor misleiding, meestal met als doel financieel gewin. Oplichters kunnen realistische profielen opbouwen om informatie van individuen of organisaties te verkrijgen via methoden zoals gerichte phishingmails of social engineering, waardoor vertrouwelijke gegevens worden prijsgegeven of gerichte handelingen worden verricht. Dergelijke activiteiten kunnen verstrekkende gevolgen hebben, zoals financieel verlies en reputatieschade, en het kan veel moeite kosten om je identiteit te herstellen en getroffen accounts weer veilig te stellen.

• Voorbeeld van gerichte phishing: Een oplichter doet zich voor als je zorgverlener. Ze sturen een uiterst overtuigende phishingmail, zogenaamd afkomstig van een vertrouwde medewerker. In de e-mail wordt verwezen naar gegevens uit je dossier, inclusief diverse persoonlijke identificatiegegevens, en je wordt ertoe verleid gevoelige details uit je account of dossiers prijs te geven die vervolgens worden gebruikt om je account te benaderen en te misbruiken.
• Voorbeeld van social engineering: Een oplichter gebruikt de combinatie van jouw gestolen persoonlijke gegevens om een klantenservicemedewerker bij een telecombedrijf ervan te overtuigen dat hij of zij jou is, om hen zo ver te krijgen dat ze gevoelige accountgegevens prijsgeven of jouw contactgegevens en wachtwoord wijzigen, waardoor de oplichter vervolgens de controle over jouw account kan overnemen.

Risico op fysieke veiligheid, intimidatie of discriminatie

Stigmatisering en discriminatie ontstaan wanneer mensen oneerlijk worden beoordeeld op basis van persoonlijke kenmerken zoals etniciteit, gezondheid of sociaaleconomische achtergrond. Criminelen kunnen deze gevoelige informatie gebruiken om mensen te chanteren, wat kan leiden tot schade aan het persoonlijke en professionele leven, psychische schade en belemmeringen bij het verkrijgen van diensten en kansen.

• Voorbeeld van afpersing/chantage: Na een datalek worden je gevoelige persoonsgegevens op het Dark Web gelekt. Een crimineel krijgt toegang tot deze data en neemt contact met je op, waarbij hij dreigt de informatie aan je familie of werkgever te onthullen tenzij je losgeld betaalt.
• Voorbeeld van intimidatie/veiligheid: Na een datalek worden je persoonlijke gegevens online gelekt. Mensen uit jouw omgeving of op je werk bemachtigen deze informatie en gebruiken die om je in het echte leven te bedreigen, intimideren of lastig te vallen, waardoor je fysieke veiligheid in gevaar komt.
• Voorbeeld van discriminatie: Een verzekeringsmaatschappij gebruikt gelekte gegevens (bijvoorbeeld persoonlijke identificatiegegevens en medische data gecombineerd met openbaar beschikbare informatie) om een profiel van jou op te stellen en besluit op basis daarvan om je een bepaalde verzekering niet te verstrekken.

Wat nu?

De omvang, aard en reikwijdte van sommige recente datalekken benadrukken de noodzaak voor individuen en organisaties om het bewustzijn te vergroten van risico's die gepaard gaan met het misbruik van gevoelige persoonsgegevens en persoonlijke identificatiegegevens. Een enkel persoonsgegeven biedt op zichzelf maar beperkte mogelijkheden voor fraudeurs, maar de combinatie van meerdere identificatiegegevens vergroot de kans op misbruik aanzienlijk.

Wettelijke waarborgen beschermen individuen tegen discriminatie, terwijl technische maatregelen zoals tweefactorauthenticatie steeds meer de standaard worden om ongeautoriseerde toegang tot persoonsgegevens te voorkomen. Tegelijkertijd nemen de mogelijkheden van fraudeurs om geavanceerde social engineering- en phishingtechnieken te ontwikkelen toe. De toename van open source- of gelekte informatie, in combinatie met de snelle opkomst van AI, versnelt en versterkt deze pogingen. Het begrijpen van preventieve maatregelen wordt daarom steeds belangrijker.

Voorbeelden van maatregelen die individuen kunnen nemen:

• Deel je BSN alleen als dit wettelijk vereist is.
• Maak je BSN en andere gevoelige gegevens onleesbaar op kopieën van identiteitsbewijzen.
• Houd fysieke post en MijnOverheid in de gaten voor onbekende brieven over nieuwe contracten, toeslagen of belastingzaken.
• Controleer je inschrijvingen in de Basisregistratie Personen (BRP) via MijnOverheid.
• Wees alert bij e-mails over wijzigingen in persoonlijke gegevens.
• Pas op voor phishing (officiële instanties zoals banken zullen je nooit vragen direct via e-mail een wijziging door te voeren).
• Beoordeel het privacybeleid en de waarborgen van organisaties waarmee je zaken doet.
• Versterk de authenticatiemethoden van al je accounts (bijvoorbeeld met multi-factor authenticatie).
• Gebruik op Apple-apparaten de functie ‘verberg mijn e-mailadres’ (op andere apparaten kun je aliassen gebruiken).

Voor wie direct getroffen is door dergelijke datalekken en misbruik van identiteit vermoedt, zijn er de overheidsportalen Fraudehelpdesk en Centraal Meldpunt Identiteitsfraude (CMI), die gericht advies kunnen geven en/of kunnen helpen om de melding te koppelen aan andere (overheids)instanties.

Voorbeelden van beveiligingsmaatregelen voor organisaties:

Zowel commerciële als overheidsorganisaties moeten alert blijven, niet alleen met hun technische en privacy maatregelen, maar ook in alle klantcontacten waar misbruik van identiteit kan plaatsvinden. Het eerdergenoemde risicoscenario benadrukt de groeiende mogelijkheden van fraudeurs om misleidende tactieken en social engineering toe te passen, waardoor het essentieel is om:

• processen en protocollen rond social engineering en misleiding te beoordelen en te testen;
• passende beheersmaatregelen voor identificatie en authenticatie te implementeren;
• ervoor te zorgen dat alle medewerkers die klantcontact hebben zich goed bewust zijn van de risico’s op identiteitsdiefstal en fraude; en
• strikt toezicht te houden op naleving van privacy- en beveiligingsprotocollen in elke fase.

De risico's van datalekken kunnen niet genoeg benadrukt worden, zeker als het gaat om gevoelige persoonlijke gegevens en persoonlijke identificatiegegevens. Zowel individuen als organisaties moeten proactief blijven in het beschermen van persoonsgegevens, alert blijven op veranderende bedreigingen, en privacy- en beveiligings best practices toepassen in hun bedrijfsprocessen.

En wanneer we verder kijken dan social engineering, zien we ook bedreigingen die op veel grotere schaal intensiveren: gegevensdiefstal voor financieel gewin, industriële spionage om kennis en intellectueel eigendom voor nieuwe producten en diensten te bemachtigen, en het verzamelen van inlichtingen ter ondersteuning van (militaire) operaties. Het toenemende gebruik van AI in deze aanvalsmogelijkheden vergroot het risico en vereist geavanceerde beveiligingsmaatregelen om organisaties, hun klanten en leveranciers, en de samenleving als geheel te beschermen.

Door bewustzijn te creëren van de veranderende bedreigingen en mogelijke risico's en gevolgen op individueel niveau maar ook op grotere schaal, kunnen we gezamenlijk beginnen met het verminderen van de kans op negatieve uitkomsten, zoals identiteitsdiefstal en fraude, en onszelf en onze gemeenschappen beschermen in een wereld die steeds digitaler wordt.