Instellingen

Hack ROC Mondriaan: persoonlijke informatie ligt op straat, wat nu?

Foto ter illustratie | PxHere
Foto ter illustratie | PxHere
DEN HAAG - ROC Mondriaan weigert hackers miljoenen euro's te betalen, en ondertussen liggen gegevens van docenten en studenten op straat. Wat zijn daarvan de gevolgen en wat kun je er tegen doen?
Naam, geboortedatum, BSN-nummer, telefoonnummer, adres, e-mailadres... het is allemaal bekend op school en waarschijnlijk worden deze gegevens nu te koop aangeboden op het darkweb. Waarschijnlijk, want ROC Mondriaan doet nog onderzoek naar wat er nou precies uit de systemen is gestolen. Maar meestal gaat het om dit soort gegevens. En dan is de grote vraag: wat doe je eraan als dit allemaal op straat ligt?
'Weinig', zegt Bér Engels van de digitale burgerrechtenorganisatie Bits of Freedom. 'Als het eenmaal op straat ligt, is het heel erg lastig om het er weer vanaf te krijgen.'

Gevolgen zijn groot

Internetcriminelen zetten enorme hoeveelheden persoonlijke gegevens online op het darkweb en de simpele ziel komt daar niet. Dus het lijkt ook een beetje een ver-van-mijn-bedshow, maar dat is het volgens Engels niet. 'Ik kan je binnen een half uurtje leren hoe je op het darkweb terechtkomt, en binnen een dag heb je het wel onder de knie. En bovendien zijn die databestanden misschien niet voor iedere huis-tuin-en-keukencrimineel te lezen, maar vaak zie je dat grote criminele organisaties gegevens aan elkaar koppelen en dan vrij hapklare brokken te koop aanbieden aan de kleinere crimineel die er vervolgens mee aan de slag gaat.'
En dan gaat het bijvoorbeeld over identiteitsfraude. Met de gegevens die op straat liggen, kan een beetje crimineel bijvoorbeeld een creditcard op jouw naam aanvragen. De kosten kunnen dan flink oplopen voor het slachtoffer. 'En dat gebeurt vrij frequent', zegt Engels.

Intimidatie ligt op de loer

Een ander gevaar wat dreigt is intimidatie. Stel je voor dat je een gevaarlijke ex hebt of een stalker en die ben je kwijt geraakt door te verhuizen of allerlei andere maatregelen te nemen waardoor je nagenoeg onzichtbaar bent. 'Als je gegevens dan op straat liggen, heb je echt een probleem.'
En dan is er natuurlijk ook nog de inmiddels bekende whatsappfraude. De appjes van 'Hoi pap, ik ben mijn telefoon kwijt. Kun je even geld overmaken?' Als veel gegevens zijn gelekt, worden die appjes een stuk geloofwaardiger, zegt Bits of Freedom. Engels: 'Als de crimineel weet wie je broers en zussen zijn, waar je ouders zijn geboren en waar ze wonen, dan kunnen ze heel gericht met details aankomen die eigenlijk niemand weet.'

Ok, het ligt op straat en wat nu?

Je kunt er dus weinig aan doen als je gegevens zijn gelekt en te koop worden aangeboden. Maar bij de pakken neerzitten hoeft ook weer niet. 'Er zijn allerlei diensten die checken of jouw gegevens op criminele sites staan', zegt Engels. 'Dat zijn apps waarvoor je wel moet betalen, maar die vervolgens waarschuwen als jouw gegevens ergens voorkomen waar ze niet horen te zijn.' Hij zelf gebruikt bijvoorbeeld de Jumbo-app, niet die van de winkel maar een 'privacy+securityapp'.
En nog een gratis tip van Bits of Freedom: verhoog je alertheid. 'Let extra goed op als je appjes krijgt', zegt Engels. 'En als je een vreemde factuur krijgt van iets wat je niet hebt gekocht, gooi hem dan niet weg. Het kan zijn dat die rekening het gevolg is van identiteitsfraude, dus check dat eerst.' Bottomline is dus: wat op straat ligt, krijg je (bijna) niet weg. Maar je kunt je wel tegen de gevolgen wapenen en je erop voorbereiden.

Voorkomen beter dan genezen

Maar blijft staan dat voorkomen beter is dan genezen. 'Wij vinden dat de Autoriteit Persoonsgegevens veel meer geld moet krijgen van de overheid, en echt goed moet gaan handhaven', zegt Bér Engels. Instellingen en bedrijven die merken dat er een datalek is geweest, zijn verplicht dit te melden bij de autoriteit. Maar als het aan Bits of Freedom ligt, worden er hoge boetes opgelegd aan bedrijven en instellingen die hun beveiliging niet op orde blijken te hebben.
En voor wie zijn eigen gegevens (thuis en onderweg) beter wil beschermen staan tips op de website Fixjeprivacy.nl. Als je nou wil weten welk bedrijf of welke instelling wat van je weet, dan kun je dat aanvragen. Iedereen heeft het recht om te weten wie wat van hen bewaart, maar de procedure is best omslachtig. Omdat dat makkelijker te maken is er de site Mydatadoneright.eu. Stapsgewijs word je hier door het hele proces geleid. Ook kun je aanvragen om data van jezelf te laten weghalen. Dat scheelt ook weer als er ergens digitaal wordt ingebroken.
In het rapport Cybersecuritybeeld Nederland 2021, dat eind juni werd gepubliceerd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), staat dat er tussen maart 2020 en maart 2021 'veel incidenten zijn geweest waarbij grote hoeveelheden kwetsbare bedrijfs-en privacygevoelige informatie openbaar zijn geworden.' De NCTV constateert dat door aanvallen met ransomware gevoelige informatie op straat komt te liggen, maar dat ook de samenleving als geheel getroffen kan worden. Als voorbeeld wordt Waternet genoemd dat drinkwater levert in Amsterdam en omstreken. Dit bedrijf had de digitale beveiliging niet op orde. Dit is een voorbeeld, maar het komt veel vaker voor, stelt het rapport. De basisbeveiliging is vaak niet op orde en dat geldt ook voor updates die niet of te laat worden doorgevoerd. Dit speelt vooral voor het MKB en andere kleinere spelers. Wat ook niet meehelpt, is dat eigenlijk de complete digitale infrastructuur van bijna alle bedrijven en instellingen steunt op soft- en hardware van slechts enkele fabrikanten die hun spullen ook nog eens over de hele wereld verkopen en inzetten.