Door een datalek bij bevolkingsonderzoeken liggen gevoelige gegevens van honderdduizenden Nederlanders mogelijk op straatBron: Unsplash
Door een datalek bij bevolkingsonderzoeken liggen gevoelige gegevens van honderdduizenden Nederlanders mogelijk op straat
Cybercriminaliteit

Hoe kun je jezelf beschermen als je persoonlijke gegevens op straat liggen na datalek? 'Criminelen willen je geld aftroggelen'

Doe mee

Vorige week werd bekend dat de gegevens van honderdduizenden vrouwen zijn uitgelekt bij een laboratorium dat onderzoek deed voor Bevolkingsonderzoek Nederland. We kregen in de chat vaak de vraag wat je zelf kunt doen om je te beschermen tegen de risico's.

Gevoelige persoonsgegevens van minstens 485.000 vrouwen zijn gestolen uit de database van het bedrijf Clinical Diagnostics, dat in opdracht van Bevolkingsonderzoek Nederland het onderzoek naar baarmoederhalskanker uitvoert. Hackergroep Nova eist bijna 1,1 miljoen euro van het laboratorium om te voorkomen dat de gegevens, waaronder uitslagen en burgerservicenummers, online komen te staan.

Gevoelige data

De hackers zelf zullen volgens internetbeveiligingsexpert Ronald Prins vrij weinig aan de gegevens hebben. Dit soort hackers willen vooral bedrijven en overheden chanteren voor een zo groot mogelijk geldbedrag om de data niet te publiceren, zegt hij.

Het zijn volgens techjournalist Daniël Verlaan van RTL Nieuws voornamelijk andere criminelen die aan de haal willen gaan met je gegevens. "In het geval van dit datalek gaat het om hele gevoelige data", vertelt hij. "Zoals je naam, je woonadres, je geboortedatum en je burgerservicenummer."

Lees ook

'Ze weten waar je woont'

Kleinere criminele bendes kunnen die gegevens gebruiken om individuele slachtoffers op te lichten, zegt Verlaan. Bijvoorbeeld via phishing. "Je kunt een e-mail krijgen met een boete van het CJIB (Centraal Justitieel Incassobureau, red.) voor te hard rijden, met daarin je burgerservicenummer."

"Je hebt dan zogenaamd te hard gereden in je eigen woonplaats - ze weten natuurlijk waar je woont." Op die manier ga je veel eerder geloven dat het om een echte boete gaat, omdat de mail op basis van echte informatie is opgesteld, terwijl alle andere delen van het bericht nep zijn.

Persoonlijke afpersing

De hack bij het laboratorium ligt volgens Verlaan nog gevoeliger dan eerdere datalekken, omdat het ook om medische gegevens gaat. "Er zullen mensen zijn die zich heel oncomfortabel voelen bij het feit dat er medische data zijn gestolen, en dat die mogelijk worden buitgemaakt door andere partijen", legt de techjournalist uit. "Bijvoorbeeld omdat je niet wil dat mensen weten wat voor onderzoeken je hebt laten doen, of wat de uitslagen daarvan zijn."

Dit zorgt er volgens hem ook voor dat sommige mensen kwetsbaarder worden voor persoonlijke afpersing, waarbij criminele bendes je gegevens kopen en dreigen te verspreiden als je niet betaalt. "Ze zullen er alles aan doen om geld af te kunnen troggelen."

Lees ook

Bewust zijn

Er is, nadat de gegevens zijn uitgelekt, weinig wat slachtoffers zelf kunnen doen om zich te beschermen, zegt Prins. "Als gebruiker kan je er niet zo veel aan doen. Het is de andere partij, die jouw gegevens beheert, die gefaald heeft."

Ook Verlaan benadrukt dat je er niets aan kan doen als je gegevens worden uitgelekt. "Het enige wat je daarna kan doen is bewust zijn dat ze zijn gelekt, en tegen je kunnen worden gebruikt. Het is niet mogelijk om je data van het 'dark web' te laten halen." Het 'dark web' is het deel van het internet dat niet vindbaar is met zoekmachines zoals Google, en waarop veel illegale activiteit plaatsvindt.

Netwerk beter monitoren

Het is de verantwoordelijkheid van bedrijven die persoonsgegevens beheren om lekken te voorkomen. Volgens Prins moeten zij hun cyberbeveiliging steeds beter in de gaten houden. "Je moet veel beter monitoren wat er in je netwerk gebeurt", vertelt hij. "Iedereen wil heel graag goede wachtwoorden en firewalls", zegt hij, om te voorkomen dat kwaadwillenden toegang krijgen tot het netwerk. "Maar veel bedrijven kijken daarna niet meer naar wat er in hun kabels heen en weer gaat."

De beste strategie is volgens Prins om zowel goede apparatuur als goede mensen op het netwerk te hebben. "Dan zie je ook echt of er hackers binnen zijn. Maar ik merk dat er in de praktijk niet heel veel naar gekeken wordt."

Digitaal alarmsysteem

Prins vergelijkt goede cyberveiligheid met de beveiliging van een kantoorpand. "Die hebben sloten, hekjes en iemand bij de receptie. Maar daar bovenop zit vaak ook een alarmsysteem met bewegingssensoren."

Juist dat alarmsysteem, maar digitaal, is wat er vaak mist bij bedrijven. Wanneer een hacker binnen is, wordt hij niet meteen gesnapt. Het duurt vaak weken voordat een het bedrijf erachter komt.

Anders omgaan met data

Techjournalist Verlaan voegt toe dat we ook als samenleving moeten nadenken over hoeveel van onze gegevens worden gedeeld met allerlei organisaties. "Dat een gemeente weet waar je woont en wie je bent, is logisch", zegt hij.

"Maar dat een commercieel laboratorium, waarmee de overheid samenwerkt, een veelvoud aan privégegevens heeft van mensen: daar kun je je van afvragen of dat noodzakelijk is."

Uniek nummer

Het zou volgens hem helpen om niet al onze gegevens in één keer te verstrekken aan organisaties, door bijvoorbeeld met unieke nummers te werken. Die kunnen dan gebruikt worden om mensen te identificeren, zonder meteen hun persoonsgegevens te gebruiken. "Ik krijg een uniek nummer voor het testen van een medisch onderzoek, dat wordt gekoppeld aan mijn burgerservicenummer, maar daar staat niet mijn naam of woonadres bij."

"Dus als die data dan lekt, dan zie je alleen maar burgerservicenummer en medische onderzoeken", legt hij uit. "Maar je weet niet van wie die data is, dat zou al een manier zijn om de risico's te minderen. Daar moeten we als samenleving meer over gaan nadenken."