Mensen die slachtoffer zijn van een datalek, krijgen vaak onvoldoende informatie van de organisatie die het datalek heeft. Daardoor raken slachtoffers onvoldoende doordrongen van het risico op misbruik van hun persoonsgegevens. En weten zij niet goed wat zij zelf kunnen doen om de risico’s op bijvoorbeeld online oplichting te verkleinen.
Daarvoor waarschuwt de Autoriteit Persoonsgegevens (AP) op basis van een onderzoek naar de grootste datalekken van 2023. Om organisaties in Nederland op weg te helpen, komt de AP met concrete voorbeeldteksten voor waarschuwingsberichten over datalekken.
In Nederland zijn organisaties verplicht om mensen te waarschuwen zodra er een ernstig datalek is. Bijvoorbeeld na een cyberaanval op een database vol klantgegevens. Of als patiëntgegevens uit een ziekenhuis onverhoopt op straat komen te liggen.
“Een snel, informatief waarschuwingsbericht helpt jou om je te wapenen”, verklaart AP-voorzitter Aleid Wolfsen. “Welke gegevens van jou zijn gestolen? Wanneer? Wat kan je hier eventueel nog tegen doen? Datacriminelen worden steeds brutaler in het oplichten en afpersen van mensen. Dus worden waarschuwingsberichten na datalekken steeds belangrijker.”
De AP heeft voor het onderzoek ruim 50 van de grootste datalekken van 2023 op een rij gezet. Gegevens van zo’n 10 miljoen mensen werden geraakt door deze lekken, die vooral werden veroorzaakt door cyberaanvallen. De AP heeft vervolgens de waarschuwingsberichten onder de loep genomen die de betrokken organisaties aan de slachtoffers stuurden.
De belangrijkste conclusies zijn: Organisaties zijn vaak veel te traag met hun waarschuwingsberichten. Gemiddeld versturen ze die pas ruim 3 weken nadat zij een datalek hebben ontdekt – terwijl snelheid juist is geboden. In bijna de helft van de berichten staat niet duidelijk wat er is gebeurd en welke gegevens er zijn gelekt. Meer dan de helft van alle berichten zijn bovendien niet helder genoeg geschreven. In waarschuwende e-mails ontbreekt het soms aan een alarmerende titel of introductie. Met als risico dat de ontvanger het bericht zelfs helemaal niet leest.