Liggen jouw data op straat? Controleer het nu!
De kans dat jouw gegevens in het bezit zijn van criminelen is groter dan je misschien denkt. In de afgelopen maand alleen al werden diverse grote organisaties slachtoffer van een datalek. Door zulke lekken – vaak het gevolg van een hack – zijn inmiddels de data van honderdduizenden Nederlanders op straat komen te liggen. De gestolen data worden door criminelen online verhandeld en misbruikt voor fraude. Controleer daarom nu nog of jij bent getroffen.
Meteen controleren of jouw dat in handen zijn van criminelen? Kijk in deze internationale database of deze database van de Rijksoverheid.
(Deze bijdrage komt van PVO Brabant-Zeeland, auteur Nick van Tiggelen, PVO Amsterdam-Amstelland plaatst deze bijdrage in het kader van kennisdeling over #SamenVeiligOndernemen)
Lekken en hacks
Bij een datalek krijgen mensen die daartoe niet bevoegd zijn toegang tot vertrouwelijke persoonsgegevens. Dit kan op verschillende manieren gebeuren: iemand kan een koffertje met papierwerk vergeten in de trein, maar gegevens kunnen ook doelgericht worden gestolen door criminelen. Dat gebeurde alleen al in de afgelopen maand bij VodafoneZiggo, de NS, de Rijksdienst voor Ondernemend Nederland (RVO), zorgverzekeraar CZ, pensioenfonds Zorg en Welzijn, marktonderzoeker Blauw, de KNVB, Waternet en milieugroep MOB. Deze gegevens worden vaak online verkocht aan fraudeurs die deze vervolgens misbruiken voor identiteitsfraude.
Welke fraude kan men plegen met mijn gegevens?
Bij veel accounts vul je je email-adres en wachtwoord in om in te loggen. Zodra criminelen beiden hebben, hebben ze dus toegang tot jouw account. Zo kunnen ze bijvoorbeeld je Netflix-account kapen, maar ook inloggen op je account bij een webwinkel. Vervolgens kunnen ze spullen kopen of abonnementen afsluiten op jouw naam. Hoe meer gegevens ze van je hebben, hoe verder ze hierin kunnen gaan. Deze vorm van identiteitsfraude kan voor duizenden euro’s aan schade veroorzaken. Stel jezelf dus de vraag welke accounts jij allemaal hebt en hoe een crimineel daar misbruik van kan maken als hij toegang weet te krijgen.
Hoe voorkom je dat?!
Het grootste risico loop je als je overal hetzelfde wachtwoord gebruikt. Als een crimineel jouw email-adres en wachtwoord weet, zal hij meteen proberen op welke accounts dit wachtwoord allemaal nog meer werkt. Heb je dan voor iedere account hetzelfde wachtwoord, dan is de crimineel ook meteen overal binnen. Het is daarom belangrijk om overal verschillende wachtwoorden te gebruiken. Vind je het lastig om al die wachtwoorden te onthouden? Gebruik dan een password-manager.
Two-factor authentication
Eigenlijk is het bovenstaande nog niet genoeg. Als een crimineel toegang heeft tot jouw email-adres, kan hij de wachtwoorden van accounts die aan dat adres zijn gekoppeld vaak eenvoudig opvragen of resetten. Werk daarom waar mogelijk altijd met two-factor authentication, in het Nederlands bekend als twee-staps verificatie. Hiermee wordt een extra stap ingebouwd om jouw identiteit te bevestigen. Je krijgt dan bijvoorbeeld een extra bevestigingscode via SMS. Helaas kunnen criminelen ook dit omzeilen, maar je maakt het ze hiermee wel aanzienlijk moeilijker. Aangezien criminelen vaak het laaghangend fruit plukken, verklein je het risico dat je slachtoffer wordt op deze manier aanzienlijk.
De proef op de som
Uiteraard heb ik als redacteur zelf ook gecontroleerd of ik slachtoffer ben. Zowel op mijn zakelijke als mijn privé-mail ben ik veilig. Ik gebruik beide accounts zorgvuldig en heb een speciaal adres dat ik gebruik als ik ergens mijn gegevens achter moet laten. Het blijkt goed dat ik hiervoor niet mijn normale email-adressen gebruik. Dit spam-adres is namelijk getroffen in zes verschillende hacks. Mijn gegevens zijn daarmee vrijwel zeker in handen van criminelen. Volgens de database werd ik al in 2008 slachtoffer van een hack bij MySpace. Ook in 2013 lekte mijn gegevens bij een hack van Adobe. Zonder dat ik het wist hebben criminelen dus al 15 jaar mijn gegevens in handen.
Gegevens op straat, wat nu?!
Ik weet nu dus dat mijn gegevens in handen zijn van criminelen. De eerste stap is het aanpassen van mijn wachtwoord. Zolang ik dat niet verander, houden criminelen toegang tot mijn account. De volgende vraag is dan: “Gebruik ik ditzelfde wachtwoord nog ergens anders?” Als een account in verband kan worden gebracht met de gelekte gegevens, zal de crimineel immers proberen of hetzelfde wachtwoord daar ook werkt. Zorg dus meteen dat je het wachtwoord dat is gelekt nergens meer gebruikt!
Is het te laat en ben je dankzij een lek al slachtoffer geworden van identiteitsfraude? Doe dan altijd aangifte bij de politie. Meld het daarnaast ook bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI). Deze organisatie helpt je om de gevolgen van identiteitsfraude op te lossen.
Voor ondernemers: wat als mijn data lekt?
Zodra een organisatie slachtoffer wordt van een datalek, is men verplicht om dit meteen te melden bij de Autoriteit Persoonsgegevens (AP). Doe je dit niet, dan kun je daarvoor een flinke boete krijgen. Stel daarnaast ook meteen je klanten en zakenrelaties op de hoogte van jouw datalek. Misschien schaam je jezelf dat je niet zorgvuldig genoeg bent geweest met hun gegevens, maar dat is des te meer reden om nu voortvarend te handelen. Alleen zo beperk je de schade.
Let op: houd je jezelf niet aan de regels en voorschriften van de AP, dan kun je verantwoordelijk worden gehouden voor de schade en gevolgen van een datalek. Zorg dus dat je de data van klanten altijd zorgvuldig en volgens de wet beheert.
Slachtoffer? Ben extra alert op phishing!
Een andere manier waarop criminelen de gegevens uit een datalek misbruiken, is om hun phishing mails geloofwaardiger te maken. Met de data die een crimineel over jou heeft, kan hij de indruk wekken dat hij daadwerkelijk zaken met jou heeft. Anderszins ongeadresseerde phishing-mails worden op die manier heel persoonlijk. Weet de fraudeur welke naam er bij een email-adres hoort, dan kan hij de correcte aanhef gebruiken. Weet een fraudeur bijvoorbeeld je kenteken, dan kan hij dit gebruiken om een nep-boete geloofwaardiger te laten lijken. Als jouw gegevens onderdeel zijn van een datalek, moet je daarom extra alert zijn op phishing-mails.