Zo raken slachtoffers onvoldoende doordrongen van het risico op misbruik van hun persoonsgegevens en weten zij niet goed wat zij zelf kunnen doen om de risico’s op bijvoorbeeld online oplichting te verkleinen.

Dit concludeert de Autoriteit Persoonsgegevens op basis van een onderzoek naar de grootste datalekken van 2023.

Datalek

In Nederland zijn organisaties verplicht om mensen te waarschuwen zodra er een ernstig datalek is. Bijvoorbeeld na een cyberaanval of als patiëntgegevens uit een ziekenhuis onverhoopt op straat komen te liggen.

Waarschuwing

AP-voorzitter Aleid Wolfsen zegt dat waarschuwingsberichten na datalekken steeds belangrijker worden: “Een snel, informatief waarschuwingsbericht helpt jou om je te wapenen. Welke gegevens van jou zijn gestolen? Wanneer? Wat kan je hier eventueel nog tegen doen? Datacriminelen worden steeds brutaler in het oplichten en afpersen van mensen.”

Resultaten onderzoek AP

De AP heeft voor het onderzoek ruim 50 van de grootste datalekken van 2023 op een rij gezet. Gegevens van zo’n 10 miljoen mensen werden geraakt door deze lekken, die vooral werden veroorzaakt door cyberaanvallen. De belangrijkste conclusies zijn:

Organisaties zijn vaak veel te traag met hun waarschuwingsberichten. Gemiddeld versturen ze die pas ruim drie weken nadat zij een datalek hebben ontdekt – terwijl snelheid juist is geboden.

In bijna de helft van de berichten staat niet duidelijk wat er is gebeurd en welke gegevens er zijn gelekt. Meer dan de helft van alle berichten zijn bovendien niet helder genoeg geschreven.

In waarschuwende e-mails ontbreekt het soms aan een alarmerende titel of introductie. Met als risico dat de ontvanger het bericht zelfs helemaal niet leest.

Reactie organisaties

Organisaties zelf hebben via een aanvullende en geanonimiseerde enquête gezegd dat ze vaak moeite hebben om jargon te vermijden in hun waarschuwingsberichten. De vertraging bij het versturen van waarschuwingsberichten komt onder meer doordat veel verschillende collega’s het bericht moeten goedkeuren. Soms willen organisaties eerst onderzoek naar het datalek afwachten voordat zij mensen informeren. De AP adviseert om snel een bericht te sturen met de informatie die beschikbaar is, waarna de organisatie altijd een aanvullend bericht kan sturen.