AP: slachtoffers van datalekken onvoldoende gewaarschuwd door organisaties

De AP waarschuwt op basis van onderzoek naar de grootste datalekken van 2023. Het bevat concrete voorbeeldteksten voor waarschuwingsberichten over datalekken om organisaties in Nederland te helpen. De toezichthouder wijst er ook op dat organisaties in Nederland verplicht zijn om mensen te waarschuwen zodra er sprake is van een ernstig datalek. Denk aan een database met klantgegevens die op straat belandt.

'Waarschuwingsbericht help je te wapenen'

"Een snel, informatief waarschuwingsbericht helpt jou om je te wapenen", meldt Aleid Wolfsen, voorzitter van de AP. "Welke gegevens van jou zijn gestolen? Wanneer? Wat kan je hier eventueel nog tegen doen? Datacriminelen worden steeds brutaler in het oplichten en afpersen van mensen. Dus worden waarschuwingsberichten na datalekken steeds belangrijker."

Waarschuwingen die organisaties versturen, zijn daarnaast niet altijd op orde. Zo ontbreekt soms een alarmerende titel of inleiding, waardoor mensen het bericht niet lezen. Daarnaast staat in bijna de helft van de berichten niet duidelijk vermeld wat er is gebeurd en welke gegevens zijn gelekt. Meer dan de helft van de berichten is ook niet duidelijk genoeg geschreven. Ook zijn organisaties vaak veel te traag met hun waarschuwingsberichten; gemiddeld sturen ze pas drie weken na het ontdekken van een datalek waarschuwingen. De supervisor benadrukt het belang van snelheid bij het versturen van waarschuwingen.

De AP deelt hier concrete aandachtspunten en voorbeeldteksten voor waarschuwingsberichten.