Dutch IT Chanel Logo mobile
Search icon
Witold Kepinski - 09 september 2024

AP: Organisaties informeren slachtoffers datalekken onvoldoende

Mensen die slachtoffer zijn van een datalek, krijgen vaak onvoldoende informatie van de organisatie die het datalek heeft. Daardoor raken slachtoffers onvoldoende doordrongen van het risico op misbruik van hun persoonsgegevens. En weten zij niet goed wat zij zelf kunnen doen om de risico’s op bijvoorbeeld online oplichting te verkleinen. Daarvoor waarschuwt de Autoriteit Persoonsgegevens (AP) op basis van een onderzoek naar de grootste datalekken van 2023. Om organisaties in Nederland op weg te helpen, komt de AP met concrete voorbeeldteksten voor waarschuwingsberichten over datalekken.

Compliance Data Juridisch Security
AP: Organisaties informeren slachtoffers datalekken onvoldoende image

In Nederland zijn organisaties verplicht om mensen te waarschuwen zodra er een ernstig datalek is. Bijvoorbeeld na een cyberaanval op een database vol klantgegevens. Of als patiëntgegevens uit een ziekenhuis onverhoopt op straat komen te liggen.

‘Een snel, informatief waarschuwingsbericht helpt jou om je te wapenen’, verklaart AP-voorzitter Aleid Wolfsen. ‘Welke gegevens van jou zijn gestolen? Wanneer? Wat kan je hier eventueel nog tegen doen? Datacriminelen worden steeds brutaler in het oplichten en afpersen van mensen. Dus worden waarschuwingsberichten na datalekken steeds belangrijker.’

Resultaten onderzoek AP

De AP heeft voor het onderzoek ruim 50 van de grootste datalekken van 2023 op een rij gezet. Gegevens van zo’n 10 miljoen mensen werden geraakt door deze lekken, die vooral werden veroorzaakt door cyberaanvallen.

De AP heeft vervolgens de waarschuwingsberichten onder de loep genomen die de betrokken organisaties aan de slachtoffers stuurden. De belangrijkste conclusies zijn:

  • Organisaties zijn vaak veel te traag met hun waarschuwingsberichten. Gemiddeld versturen ze die pas ruim 3 weken nadat zij een datalek hebben ontdekt – terwijl snelheid juist is geboden.
  • In bijna de helft van de berichten staat niet duidelijk wat er is gebeurd en welke gegevens er zijn gelekt. Meer dan de helft van alle berichten zijn bovendien niet helder genoeg geschreven.
  • In waarschuwende e-mails ontbreekt het soms aan een alarmerende titel of introductie. Met als risico dat de ontvanger het bericht zelfs helemaal niet leest.

Wat zeggen organisaties zelf

Organisaties zelf hebben via een aanvullende (geanonimiseerde) enquête gezegd dat:

  • Zij vaak moeite hebben om jargon te vermijden in hun waarschuwingsberichten.
  • Vertraging bij het versturen van waarschuwingsberichten onder meer komt doordat veel verschillende collega’s het bericht moeten goedkeuren.
  • Zij soms eerst onderzoek naar het datalek willen afwachten voordat zij mensen informeren, om zo te voorkomen dat zij mensen snel maar onvolledig informeren. De AP adviseert om snel een bericht te sturen met de informatie die beschikbaar is, waarna de organisatie altijd een aanvullend bericht kan sturen.

AP verschaft voorbeeldteksten

Om organisaties op weg te helpen, komt de AP met concrete aandachtspunten en voorbeeldteksten voor waarschuwingsberichten. Organisaties blijven wel zelf verantwoordelijk voor hun waarschuwingsberichten.

Dutch IT Security Day BW tm 15-10-2024 DIC Awards BW tm 21-10-2024

Dutch IT events

Event icon

Event

Dutch IT Golf Cup

Event icon

Event

Dutch IT Security Day

Alle events
Dutch IT Security Day BN tm 15-10-2024

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!