Witold Kepinski - 09 september 2024

Organisaties informeren volgens AP slachtoffers datalekken onvoldoende

Mensen die slachtoffer zijn van een datalek, krijgen vaak onvoldoende informatie van de organisatie die het datalek heeft. Daardoor raken slachtoffers onvoldoende doordrongen van het risico op misbruik van hun persoonsgegevens. En weten zij niet goed wat zij zelf kunnen doen om de risico’s op bijvoorbeeld online oplichting te verkleinen. Daarvoor waarschuwt de Autoriteit Persoonsgegevens (AP) op basis van een onderzoek naar de grootste datalekken van 2023. Om organisaties in Nederland op weg te helpen, komt de AP met concrete voorbeeldteksten voor waarschuwingsberichten over datalekken.

Organisaties informeren volgens AP slachtoffers datalekken onvoldoende image

In Nederland zijn organisaties verplicht om mensen te waarschuwen zodra er een ernstig datalek is. Bijvoorbeeld na een cyberaanval op een database vol klantgegevens. Of als patiëntgegevens uit een ziekenhuis onverhoopt op straat komen te liggen.

‘Een snel, informatief waarschuwingsbericht helpt jou om je te wapenen’, verklaart AP-voorzitter Aleid Wolfsen. ‘Welke gegevens van jou zijn gestolen? Wanneer? Wat kan je hier eventueel nog tegen doen? Datacriminelen worden steeds brutaler in het oplichten en afpersen van mensen. Dus worden waarschuwingsberichten na datalekken steeds belangrijker.’

Resultaten onderzoek AP

De AP heeft voor het onderzoek ruim 50 van de grootste datalekken van 2023 op een rij gezet. Gegevens van zo’n 10 miljoen mensen werden geraakt door deze lekken, die vooral werden veroorzaakt door cyberaanvallen.

De AP heeft vervolgens de waarschuwingsberichten onder de loep genomen die de betrokken organisaties aan de slachtoffers stuurden. De belangrijkste conclusies zijn:

  • Organisaties zijn vaak veel te traag met hun waarschuwingsberichten. Gemiddeld versturen ze die pas ruim 3 weken nadat zij een datalek hebben ontdekt – terwijl snelheid juist is geboden.
  • In bijna de helft van de berichten staat niet duidelijk wat er is gebeurd en welke gegevens er zijn gelekt. Meer dan de helft van alle berichten zijn bovendien niet helder genoeg geschreven.
  • In waarschuwende e-mails ontbreekt het soms aan een alarmerende titel of introductie. Met als risico dat de ontvanger het bericht zelfs helemaal niet leest.

Wat zeggen organisaties zelf

Organisaties zelf hebben via een aanvullende (geanonimiseerde) enquête gezegd dat:

  • Zij vaak moeite hebben om jargon te vermijden in hun waarschuwingsberichten.
  • Vertraging bij het versturen van waarschuwingsberichten onder meer komt doordat veel verschillende collega’s het bericht moeten goedkeuren.
  • Zij soms eerst onderzoek naar het datalek willen afwachten voordat zij mensen informeren, om zo te voorkomen dat zij mensen snel maar onvolledig informeren. De AP adviseert om snel een bericht te sturen met de informatie die beschikbaar is, waarna de organisatie altijd een aanvullend bericht kan sturen.

AP verschaft voorbeeldteksten

Om organisaties op weg te helpen, komt de AP met concrete aandachtspunten en voorbeeldteksten voor waarschuwingsberichten. Organisaties blijven wel zelf verantwoordelijk voor hun waarschuwingsberichten.

Axians 12/11/2024 t/m 26/11/2024 BN+BW