Dieven stelen jouw persoonsgegevens, en dat kost miljarden.

Cybercriminaliteit kost Nederland 8,8 miljard per jaar.

Verzekeraar AON schat de kosten van cybercriminaliteit in Nederland op zo’n 8,8 miljard euro per jaar. Wereldwijd schatten ze de kosten zelfs op een duizelingwekkende 500 miljard euro. Cybercriminaliteit is aan de orde van de dag en dat zien we dan ook terug in het nieuws.

Enkele voorbeelden van nieuws artikelen over datalekken in februari 2024 (nos.nl)
Boetes tot 20 miljoen euro of 4% van de omzet

Organisaties die verantwoordelijk zijn voor de verwerking van persoonsgegevens moeten een datalek melden bij de Autoriteit Persoonsgegevens (AP). Alleen in Nederland al zijn er in vijf jaar al meer dan 114.000 datalekken gemeld. Om bedrijven te stimuleren beter met persoonsgegevens om te gaan kan de AP een boete opleggen van maximaal 20 miljoen euro, of 4% van de wereldwijde jaaromzet].Als blijkt dat een organisatie de Algemene Verordening Gegevensbescherming (AVG) heeft overtreden. Zo kreeg Uber recent nog een boete van 10 miljoen.

Persoonsgegevens

Praktisch alle bedrijven verwerken persoonsgegevens, Bijvoorbeeld in de vorm van je naam, adres, telefoonnummer. Sommige bedrijven verwerken ook gevoelige informatie zoals burger service nummers (BSN) of informatie over bijvoorbeeld je gezondheid. Denk aan de huisarts, tandarts, fysiotherapeut of de kinderopvang. Om deze persoonsgegevens goed te beschermen wordt er vaak gebruikgemaakt van een elektronisch patiëntendossier (EPD). Helaas zien we in de praktijk ook veel websites waar persoonsgegevens worden verzameld via contactformulieren.

Contact formulieren

Veel websites verzamelen persoonsgegevens via contactformulieren. Bijvoorbeeld wanneer je je voor het eerst aanmeldt bij een nieuwe fysiotherapeut. Deze formulieren zijn een bron van datalekken die vaak over het hoofd worden gezien. Vervoerder Arriva waarschuwde in 2023 bijvoorbeeld 195.000 klanten voor een mogelijk datalek. Daarbij waren namen, e-mailadressen, telefoonnummers en geboortedatums naar buiten gekomen die eerder via het contactformulier op de website waren gestolen. Nu zullen de meeste websites geen formulieren hebben met 195.000 entries, maar een formulier van een gemiddelde fysiotherapie praktijk of een kinderdagverblijf kan al snel gegevens over enkele duizenden personen bevatten.

Zwakke plekken in websites

De meeste bedrijven hebben een WordPress website die is opgebouwd met verschillende ‘plugins’ die ieder een taak hebben binnen de website. Een voorbeeld van zo’n plugin is bijvoorbeeld ‘Contactform 7’, de meest gebruikte wordpress plugin voor contact formulieren. Hackers proberen bij plugins continu zwakke plekken te vinden die ze kunnen uitbuiten. Elke dag worden nieuwe kwetsbaarheden ontdekt. In 2023 zijn voor deze specifieke plugin 37 vulnerabilities gepubliceerd, waarvan twee[1][2] in de hoogste risico klasse ‘kritiek’. Beide kwetsbaarheden stelde ongeauthoriseerde gebruikers in staat om gevoelig data uit de onderliggende database te halen.

Er zijn echter heel veel meer plugins en deze kunnen allemaal kwetsbaarheden bevatten die voor jouw bedrijf een risico vormen op datalekken. Op basis van openbare data van Wordfence hebben we een overzicht gemaakt van het aantal gepubliceerde kwetsbaarheden in WordPress plugins waar we zelf van schrokken. De trend voorspeld ook niet veel goeds voor de toekomst. Het aantal kwetsbaarheden lijkt per jaar te verdubbelen.

Hieronder zie je een grafiek van de ontdekte en gepubliceerde kwetsbaarheden voor WordPress websites over de afgelopen jaren. Wanneer je persoonsgegevens verzameld via je website, en op de server van je website opslaat, loop je dus een serieus risico op een datalek.

Overzicht van aantallen gepubliceerde kwetsbaarheden in WordPress plugins, gegroepeerd per jaar en risico klasse
Jouw website is ook een doelwit

Je vraagt je misschien af waarom iemand de website van jouw bedrijf zou willen hacken. Hier zijn twee simpele redenen voor. Ten eerste is het gemakkelijk. Het is makkelijk omdat er zoveel websites zijn die dezelfde plugins gebruiken. Daarom kan een hacker volledig geautomatiseerd proberen om bekende zwaktes te misbruiken. De kans is dan ook groot dat het geen gerichte aanval zal zijn, maar een gelegenheidsdiefstal. Vergelijk het met wanneer je fiets gestolen wordt. Niemand was precies op zoek naar jou fiets, maar iemand had de gelegenheid en nam daarom je fiets mee. Het probleem echter is dat je het meteen door hebt als je fiets is gestolen. Een hack is veel moeilijker te detecteren. Iemand kan immers gewoon de persoonsgegevens kopiëren zonder dat je het door hebt en later terugkomen voor meer. De impact is ook groter, een fietsendief jouw fiets ook maar één keer verkopen, een hacker daarentegen kan jou data zo vaak verkopen als hij of zij wil, voor een breed scala aan illegale activiteiten.

Jouw data is geld waard

Nu je weet dat je website gemakkelijk te hacken is moet je weten dat het ook de moeite waard is. Het is lucratief omdat persoonsgegevens misbruikt kunnen worden voor allerlei criminele zaken. Denk aan identiteitsfraude, phishing, account takeovers, whatsapp fraude, en fraude met instanties zoals de belastingdienst, banken etc. In verkeerde handen wordt er veel geld mee buitgemaakt en daarom wordt er ook goed geld betaald voor gestolen persoonsgegevens op bijvoorbeeld het Dark Web. Ter illustratie: volgens een recente studie van IBM is een gemiddelde set met persoonsgegevens 165$ waard. De kosten voor datalekken in de gezondheidszorg sector zijn al 13 jaar op rij het grootst. De kosten per datalek in deze sector zijn meer dan twee keer zo groot. Het is dan ook niet gek dat datalekken in de gezondheidszorg zijn met 53% gestegen sinds 2020.

Regelgeving

Om onze persoonsgegevens beter te beschermen heeft de EU de General Data Protection Regulation (GDPR) in het leven geroepen. Volgende de GDPR moeten bedrijven die persoonsgegevens verwerken, in simpele termen, aan de volgende eisen voldoen:

  1. Data moet verwerkt worden voor een duidelijk gespecificeerd doel, op een wettige, eerlijke en transparante manier.
  2. De hoeveelheid persoonlijke gegevens moet beperkt blijven tot dat doel en moet accuraat en up-to-date zijn.
  3. Data mag niet langer bewaard worden dan noodzakelijk en moet adequaat beveiligd zijn.

Voor de meeste bedrijven zijn de eerste twee punten goed te doen. Met gezond verstand kom je daar wel uit. Het laatste punt is echter moeilijk, dit is een vak apart. Zeker voor kleinere bedrijven, en daar vallen dus ook huisartsen, tandartsen, fysiotherapeuten en de kinderopvang onder, is dit moeilijk. Er worden namelijk gevoelige persoonsgegevens verwerkt, maar er is geen groot budget voor de beveiliging van deze gegevens.

Hoe bescherm je jezelf?

Om je te helpen weerbaarder te worden tegen cybercriminelen hebben we een aantal tips voor je om de verzamelde persoonsgegevens beter te beschermen:

  • Verwijder onnodige WordPress-plugins: Houd je WordPress-installatie schoon door alleen de plugins te behouden die echt nodig zijn voor de functionaliteit van je website. Verwijder of deactiveer plugins die niet worden gebruikt, aangezien deze mogelijk beveiligingsrisico’s met zich meebrengen.
  • Schakel automatische updates in voor vereiste WordPress-plugins: Zorg ervoor dat alle vereiste plugins regelmatig worden bijgewerkt met de nieuwste beveiligings patches en bugfixes om potentiële kwetsbaarheden te minimaliseren.
  • Beperk toegang tot de website: Beperk toegang tot alleen degenen die toegang moeten hebben tot de verzamelde gegevens. Gebruik sterke wachtwoorden en overweeg het gebruik van IP-beperkingen of een VPN om toegang tot de website te beperken tot geautoriseerde gebruikers.
  • Beperk de gegevens die je vraagt tot het strikte minimum: Verzamel alleen de informatie die nodig is voor het beoogde doel van het contactformulier en vermijd het verzamelen van gevoelige persoonlijke gegevens indien niet absoluut noodzakelijk.
  • Versleutel de gegevens voordat je ze opslaat: Gebruik SSL/TLS-codering om ervoor te zorgen dat alle gegevens die worden verzonden tussen de webbrowser van de gebruiker en je website veilig zijn versleuteld.
  • Zorg ervoor dat de formulier inzendingen niet worden doorgestuurd naar een e-mail inbox: Gebruik in plaats daarvan een veilige database-opslagmethode om de ingediende formuliergegevens op te slaan.
  • Plan momenten in om gegevens die niet langer nodig zijn te verwijderen: Volgens de GDPR moet je persoonlijke gegevens alleen bewaren zolang als nodig is voor het beoogde doel. Plan regelmatig gegevens opruiming sessies om oude of niet langer relevante gegevens te verwijderen.
  • Schakel tweestapsverificatie in om toegang te krijgen tot je website: Verhoog de beveiliging van je WordPress-dashboard door tweestapsverificatie in te schakelen, waardoor een extra verificatie stap vereist is naast het invoeren van een wachtwoord.

Door deze maatregelen te implementeren, kun je de veiligheid van de gegevens uit je contactformulieren verbeteren en voldoen aan de vereisten van de GDPR voor gegevensbescherming en privacy.

Kan het ook anders?

Ja, het kan anders. Bij Form Knox helpen we je met het veilig verwerken van persoonsgegevens via je website. Zie ons als gespecialiseerde IT security afdeling die je deelt met andere kleinere bedrijven. Waar voor veel bedrijven security een bijzaak is, is het onze core business. We leveren formulieren die je veilig kunt gebruiken voor het verwerken van persoonsgegevens. Deze formulieren een aantal voordelen:

  • Separation of concerns: Data wordt opgeslagen buiten je website, als je website gehackt wordt is je data veilig
  • Versleuteling: Data wordt versleuteld opgeslagen in onze database, als wij gehackt worden is je data onleesbaar.
  • Bewaartermijnen: Data wordt automatisch verwijderd na een bewaartermijn, zo minimaliseer je de opgeslagen data en houd je het up to date.
  • Toegangbeheer: Jij bepaalt wie toegang krijgt tot de ontsleutelde data, hiermee minimaliseer je wie de data in kan zien.
  • Transparante communicatie: gebruikers van je formulier weten waar hun data voor wordt gebruikt, en wanneer het weer wordt verwijderd.

Wij zorgen er voor dat je data veilig staat en helpen je daarmee te voldoen aan de eisen die de APV & GDPR aan je bedrijf stellen. Zo maken we het makkelijk om verantwoordelijk om te gaan met de verzamelde persoonsgegevens.

Wil je meer weten over hoe je je bedrijf kunt beschermen tegen hackers en data lekken? Of wil je meer weten over ons product? Neem contact met ons op!