Steeds vaker hebben bedrijven en daarmee hun klanten te maken met een datalek. Hierbij worden regelmatig gevoelige, persoonlijke gegevens over mensen buitgemaakt. Na zo’n datalek kunnen deze gegevens op het darkweb belanden, waar cybercriminelen ze kunnen kopen om er misbruik van te maken. “In eerste plaats is het belangrijk dat bedrijven hun beveiliging op orde hebben zodat ze een datalek zo veel mogelijk kunnen voorkomen”, zegt Cindy Wubben, specialist governance en security bij software specialist Visma. “Maar ze kunnen de schade voor hun klanten ook beperken door niet onnodig allerlei persoonsgegevens op te slaan.”
Dit laat Wubben weten in een persbericht, naar aanleiding van het nieuws rondom kledingmerk The North Face. Het moederbedrijf van kledingmerk The North Face kreeg afgelopen december te maken met een cyberaanval waarbij persoonsgegevens van klanten zijn gestolen. Merken, maar ook retailers vragen klanten bij een online aankoop vaak onnodig veel gegevens, die ze vervolgens ook nog eens opslaan, stelt ze.
Vooral voor marketing
“Behalve NAW-gegevens en e-mailadres vragen bedrijven vaak om veel meer informatie. Denk aan een telefoonnummer, geslacht, beroep, geboortedatum of nationaliteit. Lang niet al die gegevens zijn noodzakelijk om een specifieke dienst te kunnen leveren. Sterker nog: meestal volstaat hiervoor de basisinformatie. Vaak vragen bedrijven om extra informatie, zodat ze hun marketing kunnen verbeteren. Denk aan het sturen van een gepersonaliseerde e-mail op je verjaardag.”
Het delen van persoonsgegevens lijkt heel onschuldig, maar het kan verstrekkende gevolgen hebben, aldus de Visma-topvrouw. “Uiteindelijk draait het voor cybercriminelen om geld. Als een bedrijf bijvoorbeeld niet de laatste security-updates heeft geïnstalleerd, is het voor cybercriminelen relatief eenvoudig om toegang te krijgen tot die persoonlijke informatie. Die informatie kunnen ze gebruiken om toegang te krijgen tot andere persoonlijke accounts, maar ook om spullen te bestellen of zelfs identiteiten over te nemen. Of ze gebruiken persoonsgegevens om heel realistische phishing-e-mails te schrijven of ransomware te verspreiden.
“Bedrijven moeten daarom stoppen met het vragen van onnodige persoonsgegevens. Dat hoeft zeker niet ten koste te gaan van een goede service. Consumenten moeten ook kritischer zijn en alleen verplichte velden invullen bij het afrekenen of aanmaken van een account. Het kan ook een signaal zijn of dit bedrijf voldoende nadenkt over de bescherming van onze gegevens.”
