icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
Ga naar hoofdinhoud
Consument verdient na datalek adequate hulp 1200x800

Slachtoffers verdienen goede hulp na datalek

Na veel grote datalekken rammelt de nazorg aan slachtoffers van wie de gegevens zijn gelekt. Mensen worden slecht geïnformeerd en vaak ook nog veel te laat. Dat vinden we een slechte zaak.

Standpunt

|5 minuten

Wat is er mis?

Veel organisaties sturen na een serieus datalek onduidelijke en niet complete waarschuwingsmailtjes. Hierdoor zijn slachtoffers extra lang kwetsbaar voor fraude.

De gedupeerden van een lek bij het laboratorium van Bevolkingsonderzoek Nederland kregen pas máánden na het incident een waarschuwingsbrief. Die was bovendien niet volledig. Heldere uitleg over de risico’s ontbrak.

Een ander probleem is dat gedupeerden soms (aanvankelijk) verstoken blijven van praktische hulp terwijl die hulp wel op zijn plek is. Neem het lekken van vakantieboekingen door Sunweb. In dat geval moet je meteen gemakkelijk kunnen omboeken, of je geld terugkrijgen. 

Fraudeurs gebruiken gegevens uit datalekken

De Fraudehelpdesk meldt dat fraudeurs steeds vaker over persoonlijke gegevens beschikken die hoogstwaarschijnlijk uit datalekken komen. 

Type gegevens bepaalt vaak de fraude:

  • Contactgegevens
    Zijn contactgegevens gelekt, dan dreigt ‘phishing’. Criminelen doen in phishingberichten alsof ze van een bepaalde organisatie zijn en proberen mensen op te lichten. Bijvoorbeeld door een verhaal over een ‘extra verificatie’ of een ‘mislukte betaling’ die nodig is. De fraudeurs kunnen persoonlijke informatie uit het datalek gebruiken om vertrouwen te wekken.
  • Wachtwoorden
    Zijn er wachtwoorden gelekt? Dan kunnen criminelen inloggen op de accounts van slachtoffers. Maar ook op andere websites als zij daar hetzelfde wachtwoord gebruiken.
  • Identiteitsbewijzen
    Zijn kopieën van identiteitsbewijzen gelekt? Dan kunnen criminelen identiteitsfraude plegen met de kopieën.
  • Zeer gevoelige gegevens
    Gaat het om zeer gevoelige gegevens zoals over gezondheid, seksualiteit of de persoonlijke financiën, dan is er kans op afpersing door criminelen.

Wat moet er veranderen?

Organisaties zijn verplicht een serieus datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP). Helaas gebeurt dat niet altijd en dat moet anders. De AP kan de meldende organisaties advies op maat geven, want geen datalek is hetzelfde.

Snelheid is belangrijk

Slachtoffers horen zo snel mogelijk een kraakheldere waarschuwing te krijgen. Traag (of niet) waarschuwen geeft fraudeurs extra veel tijd om misbruik te maken van gegevens.

Nazorg en informatie moet beter

De nazorg voor slachtoffers moet écht beter. Op de site van de AP staat een stappenplan met aanbevelingen: 

  1. Communiceer zo snel mogelijk met de slachtoffers.
  2. Schrijf een simpele en heldere tekst.
  3. Beschrijf duidelijk en volledig wat er is gebeurd.
  4. Geef duidelijk aan welke gegevens zijn gelekt.
  5. Noem de waarschijnlijke gevolgen voor slachtoffers.
  6. Geef waar mogelijk een specifiek advies aan slachtoffers.
  7. Beschrijf welke maatregelen uw organisatie neemt.
  8. Noem een contactpunt waar slachtoffers terechtkunnen met vragen.

Zodra de slachtoffers geïnfomeerd zijn, volgt eventueel compensatie van de schade. Dat kan soms ook in praktische zin, zoals met reistickets die omgeboekt kunnen worden als de reisgegevens gelekt zijn. Organisaties moeten direct openstaan voor zulke afspraken.

Waarom willen we dit?

We willen dat consumenten zo min mogelijk risico lopen op misbruik van hun gegevens. Eerlijke en vlotte communicatie over een datalek kan de risico's beperken.

Het staat ook gewoon in de wet (AVG, artikel 34) dat slachtoffers zonder vertraging en zo volledig mogelijk geïnformeerd moeten worden.

Als mensen zien dat er veel datalekken zijn en de nazorg slecht is, bestaat het risico dat mensen onlinediensten op den duur gaan mijden. Denk aan het levensreddende bevolkingsonderzoek.

Wie moet wat doen?

Om datalekken zoveel mogelijk te voorkomen moeten álle organisaties die persoonsgegevens verwerken aan de slag. Zij zijn verantwoordelijk voor een veilige verwerking van deze gegevens. Belangrijke checks:

  • Is de eigen databeveiliging op orde?
  • Worden niet meer dan nodig persoonsgegevens opgeslagen?
  • Worden de verzamelde persoonsgegevens tijdig verwijderd?
  • Organisaties kunnen zich voorbereiden op een datalek-incident door alvast een draaiboek te ontwikkelen en regelmatig oefeningen te doen.

Organisaties met een datalek

Alle organisaties moeten op de juiste manier omgaan met een incident. Ook als het datalek gebeurt bij een extern bedrijf dat is ingehuurd om de gegevens te verwerken. Zij moeten zelf de betrokkenen goed en snel informeren, en bereid zijn om eventuele schade te compenseren.

Autoriteit Persoonsgegevens

Het zou goed zijn als de Autoriteit Persoonsgegevens (AP) meer budget en personeel krijgt. Dan kan de AP meer boetes uitdelen aan organisaties die zich niet aan de meld- en waarschuwingsregels houden. Een boete geeft een helder signaal, en dat is nodig. Want bij veel datalekken lijkt te laat melden en waarschuwen de laatste jaren soms een bewuste keuze. Dat is echt niet in de haak.

De Consumentenbond

We blijven datalekken én de omgang met incidenten in de gaten houden. We houden ook nadrukkelijk de juridische mogelijkheid open om namens de slachtoffers actieve hulp en financiële compensatie te eisen.

silvia smit
Silvia SmitExpert Elektronica

Deel dit artikel

Gerelateerde artikelen

Datalekken: de gevaren en wat moet je doen?
Eergisteren

Datalekken: de gevaren en wat moet je doen?

Artikel meldpunt datalekken