Wat een phishingmail met persoonsgegevens kan doen - KPMG Nederland
close
Share with your friends

Wat een phishingmail met persoonsgegevens kan doen

Wat een phishingmail met persoonsgegevens kan doen

Nu makers van phishingmails steeds professioneler te werk gaan, groeit de kans op een hack via zo’n phishingmail.Ook uw medewerkers kunnen er zomaar intrappen. Bereid uw organisatie daarom goed voor op dergelijke mails. En mocht het u toch overkomen, neem dan snel maatregelen.

Gerelateerde content

Yellow rope and white rope tied on different sides

Via een phishingmail kan een hacker toegang krijgen tot uw systemen, inclusief de persoonlijke gegevens die daarin staan. Zo'n beveiligingsincident kan leiden tot ongeoorloofde toegang tot de systemen en daarom als een potentieel datalek worden gezien. En volgens de Algemene verordening gegevensbescherming (AVG) moet u daar actie op ondernemen. Om u een concreet beeld te geven van de benodigde maatregelen laten we u een praktijkvoorbeeld zien.

In de praktijk: wat te doen bij phishingmail?

In de praktijk: wat te doen bij phishingmail?
Stel, een medewerker van een middelgroot bedrijf ontvangt een phishingmail en klikt op een link daarin. Daardoor kan de hacker bij de gebruikersnaam en het wachtwoord van de mailbox van de medewerker komen.

1. Kort vooronderzoek
Via de mailbox van de getroffen medewerker stuurt de hacker iedereen binnen de organisatie een phishingmail. Een medewerker meldt de mail direct bij de IT-afdeling. Na een kort onderzoek, weet IT dat het een beveiligingsincident is en dat een hacker toegang had tot het e-mailaccount van een medewerker.

2. Schade beperken
Om de schade zo veel mogelijk te beperken, is de link uit de phishingmail direct geblokkeerd. Ook is de oorspronkelijke e-mail door IT verwijderd. Via het gemonitorde netwerkverkeer achterhaalt IT welke medewerkers nog meer op de link hebben geklikt en gegevens hebben verstuurd. Van die medewerkers zijn de wachtwoorden gereset.

De organisatie stuurt na de ontdekking bovendien meteen een bericht naar alle medewerkers over de phishingmail, met de instructie om nergens op te klikken en het eigen wachtwoord te wijzigen. In een communicatieplan deelt het management bovendien mee wat te doen als de pers belt.

3. Zo snel mogelijk melden bij de AP
Nu het beveiligingsincident is vastgesteld, de betrokkenen zijn ingelicht en duidelijk is dát er persoonsgegevens zijn gelekt, zet de organisatie zo snel mogelijk een onderzoek in gang. Daarin worden alle feiten achterhaald en wordt beoordeeld of het datalek werkelijk een risico met zich meebrengt.

Dit zijn de feiten:

  • Binnen de organisatie hebben in totaal 550 medewerkers de phishingmail ontvangen.
  • De phishingmail zelf bevat geen persoonsgegevens of gevoelige persoonlijke informatie, maar alleen inhoud om inloggegevens te achterhalen. 
  • Het gehackte e-mailaccount is van een HR-medewerker en bevat veel gevoelige e-mails en persoonsgegevens. 
  • Daardoor is niet uit te sluiten dat de hacker toegang heeft gekregen tot gevoelige informatie.

Het datalek is daarom zo snel mogelijk en binnen 72 uur gemeld bij de AP.

4. Maatregelen treffen
Na de melding zorgt de organisatie er met een aantal maatregelen voor dat dergelijke incidenten in de toekomst minder snel voorkomen. Zo heeft IT de e-mailaccounts van alle medewerkers ingesteld met een zogenaamde 2-factor authenticatie. Daarmee is er een extra verificatie van de identiteit bij het inloggen op de mailbox nodig, en is het account moeilijker te hacken via een phishingmail.

Wat kunt u doen?

In uw geval kunnen er heel andere omstandigheden zijn. Het is dan ook niet altijd nodig om een datalek door een phishingmail te melden bij de AP. U hoeft een datalek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen. Wel is het verstandig een voorlopige melding te doen. Die kunt u op een later moment altijd weer intrekken. Hebt u geen melding gedaan en wordt de AP door iemand anders ingeseind? Dan gaat de AP sneller over tot handhaving. Een snelle reactie en adequate voorbereiding lonen dus.

Zo helpt KPMG

Een goede vertrouwensrelatie met uw klanten en medewerkers is de basis van het succes van uw organisatie. Met een Data Protection Officer (DPO), oftewel een functionaris voor gegevensbescherming, versterkt u die vertrouwensrelatie direct. Kiest u voor onze dienst DPO as a Service, dan profiteert u bovendien van flexibele inzet en altijd passende expertise.

Geen DPO nodig, maar wel behoefte aan incidentele ondersteuning bij privacyvragen? Vraag ons dan naar de mogelijkheden van onze Privacy helpdesk.

Met onze diensten bieden we u een complete aanpak: onze privacy-experts kennen bedrijfsprocessen en -risico's door en door, kunnen privacyraamwerken goed doorvertalen naar uw bedrijf en hanteren daarbij een pragmatische en hands-on aanpak. Met een scala aan specialismen gerelateerd aan privacy, in Nederland én in Europa, weet u zeker dat het vertrouwen van al uw relaties geborgd is.

Meer informatie

Wilt u meer informatie over hoe u de AVG voor ú kunt laten werken? Neem contact op met Chantal Rademaker de Ridder, partner Cyber Security & Data Privacy.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

Offerteaanvraag (RFP)