Bedrijven en consumenten gaan roekeloos om met gevoelige gegevens
30 maart 2018 -
Slechts een paar muisklikken bleken genoeg om de vertrouwelijke gegevens van een grote supermarktketen boven water te krijgen, zo bleek onder meer toen Attingo Datarecovery aan de slag ging met 100 opgekochte tweedehands datadragers.
Een onderzoek dat door Attingo met enige regelmaat wordt gehouden bracht wederom schokkende resultaten aan het licht ten aanzien van de manier waarop bedrijven en particulieren hun data wissen alvorens de gegevensdragers van de hand worden gedaan. "We konden het nauwelijks geloven maar op meer dan 73 procent van de harde schijven, SSD's en SD-kaarten waren zeer gevoelige gegevens beschikbaar," vertelt Robbert Brans, Managing Director van Attingo Datarecovery. "Extra opmerkelijk is dit te noemen aangezien we sinds 2011 met deze onderzoeken juist steeds een significante afname zagen van niet correct verwijderde data. In 2014 ging het 'slechts' in 28 procent van alle gevallen mediadragers die we hierop onderzochten."
Wissen en formatteren onvoldoende
Het blijft een wijdverspreide mythe dat het eenvoudigweg wissen en formatteren van gegevens voldoende is om data te vernietigen. Brans: "Voor particulieren valt er wat geld te verdienen door afgedankte media te verkopen. Vaak zie je dan dat er maar een enkeling is die er op let dat data goed verwijderd wordt. In sommige gevallen zien we zelfs dat er helemaal geen goede pogingen zijn gedaan om gegevens te verwijderen. Slechts op een paar gegevensdragers waren de gegevens volledig vernietigd voor dat ze verkocht werden. Veel mensen missen de technische knowhow over hoe gegevens gewist moeten worden of welk resultaat het formatteren van data oplevert. Het is een misverstand dat gegevens daarna echt weg zijn," gaat Brans verder.
De data die Attingo Datarecovery aantrof betrof complete financiële dossiers van particulieren, toegang tot de gegevens die nodig zijn om te kunnen internetbankieren en onlinewinkels. Maar ook vakantiefoto's of erotische videobeelden opgenomen in de slaapkamer van de vorige eigenaar van een harddisk of andere datadrager.
Inbreik op gegevensbescherming
Door slecht te wissen maken bedrijven zich schuldig aan zware inbreuk op gegevensbescherming. Het onderzoek laat zien dat zelf grote gerenommeerde bedrijven op een grove nalatige manier omgaan met de gegevens van nietsvermoedende burgers.
Bij particulieren schaadt het 'slechts' de maker van de beelden, bij bedrijven echter wordt daarmee de privacywetgeving geschonden. "Des te huiveringwekkend is het dat zelfs zeer gevoelige informatie te vinden is op gebruikte mediadragers. "In één geval werd de datadrager door een IT-manager zelf aan ons verkocht," gaat Brans verder.
Aangetroffen data
Bijzonder opmerkelijk was wat er boven water kwam bij meerdere schijven van een servernetwerk van een grote supermarktketen. Behalve dat daardoor toegang mogelijk werd tot het interne netwerk, bleek ook dat teksten, prijslijsten, interne onderhandelingen, protocollen van leveranciers en loonlijsten van medewerkers werden gevonden. Op de afgedankte harde schijven van een volledige mailserver van een bedrijf in de logistieke sector werden duizenden e-mails van werknemers gevonden. Bij een grote kabeltelevisieprovider werden alle klantgegevens op een harde schrijf aangetroffen. Daarmee wordt duidelijk dat een goede bewustwording van gegevensbescherming bij de verkoop van gebruikte datamedia dringend nodig is.
Brans: "Van een grove nalatige behandeling van gegevens op gebruikte opslagmedia blijkt bij vele bedrijven nog altijd sprake te zijn, ondanks de nieuwe EU-verordening inzake gegevensbescherming. Privacy omvat immers ook de juiste vernietiging van gegevens van afgedankte hardware."
