#Privacypost: Terug naar de basis: een goede risico-inschatting maken

De kop is eraf van het ons #privacyprogramma hierbij kiezen we voor een programmatische aanpak waarbij iedere maand een ander thema centraal staat. We wisselen af tussen privacy en veiligheid, tussen actuele thema’s en tussen thema’s die een hoog risico vormen. Net als de vorige keer gaan we vandaag in op: terug naar de basis. Dit keer met een actueel thema.

Deze week is namelijk het rapport datalekken van de Autoriteit Persoonsgegevens 2023 gepubliceerd. Daaruit bleek dat slachtoffers van een cyberaanval in veel gevallen een verkeerde risico-inschatting maken. Inzicht verkrijgen in kwetsbaarheden en het maken van een risico-inschatting is één van de vijf basisprincipes van veilig digitaal ondernemen.

Het inschatten van een risico van een cyberaanval gaat niet altijd goed. Vaak wordt het risico te laag ingeschat. Doordat de ernst wordt onderschat, worden slachtoffers niet altijd geïnformeerd. En dat is vervelend. Als slachtoffers wel worden geïnformeerd, kunnen ze zichzelf beter beschermen. Bijvoorbeeld door het wachtwoord te wijzigen en door extra alert te zijn op phishing. Hier vind je tips over het informeren van slachtoffers over een datalek. Wat kan dan wel helpen bij het maken van een goede risico-inschatting? Denk bijvoorbeeld niet: ‘we willen geen onnodige onrust veroorzaken bij slachtoffers’ of ‘we informeren slachtoffers niet aangezien we niet precies weten welke data is gestolen’. Een betere afweging is: ‘ik kan met onderzoek niet uitsluiten dat persoonsgegevens waar de hacker toegang tot heeft, gekopieerd zijn door de hacker. Ik ga uit van het ernstigste scenario en zorg ervoor dat ik de slachtoffers informeer’.

Wat is jouw beste tip om kwetsbaarheden en risico’s goed in beeld te krijgen?