Toezichthouder: slachtoffers datalekken onvoldoende geïnformeerd

Slachtoffers van datalekken krijgen vaak onvoldoende informatie van de organisatie met het datalek. Dat vindt de Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens. De AP deelt concrete voorbeeldteksten voor waarschuwingsberichten over datalekken.

De AP onderzocht ruim vijftig van de grootste datalekken van 2023 en bekeek daarbij ook de waarschuwingsberichten die aan slachtoffers gestuurd werden. Op basis daarvan concludeert de AP dat organisaties te traag zijn met het versturen van een waarschuwingsbericht. Gemiddeld wordt zo'n bericht pas ruim drie weken nadat het datalek ontdekt is, verstuurd. Bedrijven geven in een enquête van de AP aan dat dit onder meer komt doordat veel verschillende collega's het bericht moeten goedkeuren. Ook willen ze soms onderzoek naar het datalek afwachten voordat ze slachtoffers informeren, om te voorkomen dat ze mensen onvolledig informeren.

De AP concludeert verder dat in bijna de helft van de berichten niet duidelijk wordt vermeld wat er gebeurd is en welke gegevens uitgelekt zijn. Ook stelt de toezichthouder dat meer dan de helft van de berichten niet helder genoeg is geschreven. Daarnaast ontbreekt het soms aan een alarmerende titel of introductie, wat tot gevolg kan hebben dat de ontvanger het bericht niet leest. Organisaties gaven in een enquête zelf aan dat ze moeite hebben om jargon te vermijden in de berichten.

Het gebrek aan informatie brengt risico's met zich mee, waarschuwt de AP. Doordat slachtoffers onvoldoende geïnformeerd worden over datalekken, zijn ze niet doordrongen van het risico op misbruik van hun persoonsgegevens. Ook weten slachtoffers zo niet goed wat ze zelf kunnen doen om de risico's op bijvoorbeeld online oplichting te verkleinen.

De toezichthouder heeft een lijst met concrete aandachtspunten en voorbeeldteksten gepubliceerd om organisaties op weg te helpen. Ook adviseert de AP om bij een datalek snel een bericht te versturen met de informatie die al wel beschikbaar is. Later kan een aanvullend bericht verstuurd worden.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 05-09-2024 14:28
15 • submitter: wildhagen

05-09-2024 • 14:28

15

Submitter: wildhagen

Lees meer

Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP Nieuws van 18 november 2024
OM eist tot 3,5 jaar cel tegen bende verdacht van bankhelpdeskfraude
OM eist tot 3,5 jaar cel tegen bende verdacht van bankhelpdeskfraude Nieuws van 17 oktober 2024
Privacyexperts uiten bezorgdheid over online leeftijdsverificatie in Europa
Privacyexperts uiten bezorgdheid over online leeftijdsverificatie in Europa Nieuws van 17 september 2024
Klantdata Belgische verzekeraars zijn gestolen, mogelijk door menselijke fout
Klantdata Belgische verzekeraars zijn gestolen, mogelijk door menselijke fout Nieuws van 11 september 2024
Clearview AI krijgt van AP 30,5 miljoen euro boete vanwege illegale fotodatabase
Clearview AI krijgt van AP 30,5 miljoen euro boete vanwege illegale fotodatabase Nieuws van 3 september 2024
AP: kabinet moet wet aanpassen om journalisten bij Kadaster-database te laten
AP: kabinet moet wet aanpassen om journalisten bij Kadaster-database te laten Nieuws van 27 augustus 2024
AP kan AVG-boete van 525.000 euro niet innen vanwege onbekende bedrijfslocatie
AP kan AVG-boete van 525.000 euro niet innen vanwege onbekende bedrijfslocatie Nieuws van 26 augustus 2024
Uber krijgt van AP AVG-boete van 290 miljoen euro voor dataoverdracht naar VS
Uber krijgt van AP AVG-boete van 290 miljoen euro voor dataoverdracht naar VS Nieuws van 26 augustus 2024
Noyb vraagt EU-toezichthouders X te onderzoeken om trainen AI met gebruikersdata
Noyb vraagt EU-toezichthouders X te onderzoeken om trainen AI met gebruikersdata Nieuws van 12 augustus 2024
AP waarschuwt voor gebruik van AI-chatbots na datalekmeldingen
AP waarschuwt voor gebruik van AI-chatbots na datalekmeldingen Nieuws van 7 augustus 2024
Europese AI-verordening is ingegaan
Europese AI-verordening is ingegaan Nieuws van 1 augustus 2024
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Datalek

Reacties (15)

-Moderatie-faq
15
15
8
0
0
7
Wijzig sortering

Sorteer op:

Weergave:
wildhagen
5 september 2024 14:32
Ook willen ze soms onderzoek naar het datalek afwachten voordat ze slachtoffers informeren, om te voorkomen dat ze mensen onvolledig informeren.
Dat vind ik een beetje een flauw excuus. Je kan ook z.s.m. een kort bericht sturen dat er een datalek is, en dan daarna óf updates sturen 'as the story progresses', óf verwijzen naar een website waar je de laatste status bijhoudt (dat moet je dan natuurlijk wel doen....). Of beiden.

Dan weten mensen in ieder geval dát hun gegevens (al dan niet mogelijk) gelekt zijn, waardoor men alerter kan zijn op eventueel misbruik (denk aan phishing etc).

Anders lopen die mensen wekenlang (tot het bericht dan eindelijk komt) onwetend rond. Dat lijkt me ook niet echt wenselijk...

Dat je niet de minuut van het ontdekken van het lek informeert, dat is logisch. Maar ik vind toch wel dat je binnen maximaal één werkdag na ontdekking op zijn minst een eerste 'heads-up' bericht naar de getroffen mensen de deur uit zou moeten sturen.
Orangelights23 @wildhagen5 september 2024 14:42
Er spelen veel meer belangen mee bij het al dan niet delen van de eerste informatie. Denk aan de onrust die het kan veroorzaken als je mensen informeert over een datalek, maar geen informatie beschikbaar hebt of zij wel/niet onderdeel uitmaken van het lek. Of dat ze weten om welke informatie het überhaupt gaat.

Ook zie je in de praktijk dat phishingmails niet binnen enkele dagen, weken of zelfs maanden na het datalek verzonden worden. Daar zitten grootschalige gecoördineerde acties achter die niet lukraak aan social engineering doen.

Ik heb veel bedrijven in Europa bijgestaan die te maken hebben gehad met datalekken. En op basis van mijn ervaringen zou ik zeker adviseren om eerst onderzoek uit te (laten) voeren - met hoge spoed uiteraard - om mensen vervolgens zo volledig mogelijk te kunnen berichten.
Floort
@Orangelights235 september 2024 16:41
Die hoge spoed maakt het verschil tussen een pragmatisch advies om onrechtmatig te handelen en een advies om rechtmatig te handelen. Een paar dagen is, afhankelijk van de context, vaak nog wel te verantwoorden. Weken of maanden is al snel onrechtmatig. En ik zie voorbeelden van meer dan een jaar. En dan heb je discussies over het ongemakt om zo laat nog te informeren en of dat niet juist nog meer onrust veroorzaakt. Juist omdat organisaties belangen zien om het informeren van betrokkenen uit of af te stellen lijkt mij goed om "without undue delay" in gedachten te houden. Is wachten met communiceren tot het onderzoek is afgerond echt noodzakelijk voor een eerste waarschuwing?
Zer0 @wildhagen5 september 2024 14:43
op zijn minst een eerste 'heads-up' bericht naar de getroffen mensen de deur uit zou moeten sturen.
Maar dat is nu juist het probleem, men weet vaak niet direct/snel welke mensen echt getroffen zijn.
Natuurlijk moet het ook geen weken duren, maar je wil ook voorkomen dat mensen juist onnodig stress ondervinden, terwijl hun account niet daadwerkelijk getroffen is.
graceful 5 september 2024 14:37
Meeste bedrijven vragen simpelweg informatie, die ze niet nodig hebben. Daar moet je wat aan doen. Data-lekken zijn helaas van deze tijd en gaan echt niet minder worden.

Wat wel minder kan worden, is de data die je (langdurig) bewaard. Het vragen van een telefoonnummer, volledige naam, geboortedatum bij het versturen van een pakketje is niet nodig. Het permanent opslaan daarvan net zo min. En het adres waar het pakketje heen moest? Kan ook weg na 7 jaar.

Vooruitzien en pro-actief pseudonimiseren van je data is de enige echte langdurige oplossing.
Wasabi! @graceful5 september 2024 14:53
Ondertussen staat men jarenlang zonder problemen in de https://www.detelefoongids.nl/
Dat valt dus niet onder een datalek.
Ik vraag mij ook af of mensen daar nog van bewust zijn.
Ik had vroeger een geheim nummer, bij toeval kwam ik erachter dat mijn nummer in de telefoongids stond. Casema had een foutje gemaakt. Toen kon je dat nog niet zelf regelen via de website. Pas bij een volgende druk was het weg, ook online, duurde wel weer heel lang.

[Reactie gewijzigd door Wasabi! op 5 september 2024 14:55]

PdeBie 5 september 2024 14:38
Organisaties gaven in een enquête zelf aan dat ze moeite hebben om jargon te vermijden in de berichten.
Je hoeft jargon ook niet te vermijden, maar uitleg geven in “leken-taal” kan prima.
svennd 5 september 2024 15:09
Om eerlijk te zijn, nu krijg ik frequent een melding "mijn data is gestolen". Maar alle werk / problemen vallen dan alsnog op het slachtoffer. Okay een passwoord vervangen is triviaal, maar als mijn adres, contact gegevens en bank info allemaal gelekt is, wat kan ik daaraan doen ? Ik kan toch moeilijke om de paar maand een nieuwe bankpas vragen ? Ik snap dat het een moeilijke balans vinden is tussen data bijhouden en data verwijderen (ook wettelijk is dat niet geheel eenduidelijk mbt tot betaalgegevens). (eg: 11 jaar voor facturen die mijn adres gegevens bevatten)
worldfastest 5 september 2024 15:28
Ben nog steeds van mening dat iedereen maar veel te makkelijk data kan opslaan en wanneer ze gehackt worden (of het gewoon open laten staan) er geen consequenties zijn.

Banken bv geven tientallen miljoenen per jaar uit om te voorkomen dat ze datalekken of gehackt worden.

Er moet een reden zijn voor bedrijven om data goed /veilig op te slaan. Geef standaard bij elke lek iedereen 100 euro schadevergoeding + een hoge boete. Mocht de persoon het niet kunnen betalen dan schiet de overheid dit voor en verhaalt het bij het bedrijf/persoon.
fry_35 5 september 2024 15:04
Het heeft natuurlijk ook/vooral met reputatieschade te maken en damage control. Het liefst (ff overdrijven) verstuurt een bedrijf helemaal geen mail, het straalt toch negatief op je af omdat je je zaakjes niet op orde hebt. In de mails staat ook vrij vaak zinnen als 'voor zover wij nu inschatten zijn er geen wachtwoorden gestolen''. Dat is makkelijk en handig om te zeggen want dan schuif je de reputatieschade weer ff paar maanden vooruit. als later blijkt of uitkomt dat het toch zo was, dan hoef je niet opnieuw een mail te sturen en heb je waarschijnlijk al aan je kennisgevingsplicht voldaan.
Floort
5 september 2024 15:15
Voor de context: nul van de 53 bekeken meldingen voldoen aan artikel 34 AVG volgens de AP. Maar er zit een bias in deze resultaten. Datalekken die betrokkenen en/of de AP onterecht niet hebben geinformeerd zijn uberhaubt niet in de steekproef meegenomen. In werkelijkheid kan je er dus van uitgaan dat de naleving van artikel 34 AVG waarschijnlijk slechter is dan nul van de 53 gevallen. Uit pagina vier van het onderzoek:
Van de 53 onderzochte organisaties heeft geen enkele zich gehouden aan alle wettelijke vereisten voor een waarschuwingsbericht.

[Reactie gewijzigd door Floort op 5 september 2024 15:19]

JDx 5 september 2024 15:28
Komen die rare pakket mailtjes ook door datalekken? Bestel je iets bij bol, verzending via PostNL en je krijgt een paar dagen mailtjes van DHL, UPS, noem maar op dat je pakket bij de douane vast zit.
aikebah @JDx5 september 2024 16:00
Ja die komen door datalekken, maar niet noodzakelijk datalekken waar de AVG op van toepassing is (en potentieel inclusief datalekken door jezelf).

Jouw mailadres is waarschijnlijk al vanuit meerdere bronnen in een generieke database beland vanuit website scraping en datalekken inclusief datalekken door particulieren (email adres harvesting virussen; facebook contact harvesting scams) en datalekken van voor het bestaan van de AVG.

Die databases worden door scammers gebruikt om at-random dergelijke DHL/UPS/noem-maar-op scams de wereld in te sturen, compleet ongerelateerd aan je aankoopgedrag, maar gewoon op basis van de statistische kans dat meer dan x% van de batch recent iets online heeft besteld en daarvan y% even niet doorheeft dat het niet gaat over het zojuist bestelde, maar gewoon een scam is (het boeit ze niet als 1miljoen mensen het mailtje negeren, als er 1000 betalen kunnen ze makkelijk weer een maandje vooruit)

Hoe ouder je mailadres is, hoe groter de kans dat die in zulke databases terechtgekomen is.
JDx @aikebah5 september 2024 16:45
Ja behoorlijk oud, net als die van mijn pa, die krijgt het ook veel, beide e-mail adressen die in het begin van het internet gewoon als a href mailto op de site stonden als contact adres.
Verwijderd 6 september 2024 11:47
En in sommige gevallen informeren bedrijven die slachtoffer zijn geworden van een datalek helemaal niet zoals bijvoorbeeld Iddink die meermaals te maken gehad heeft met een datalek maar iedere vorm van communicatie van zich afschuift en verwijst naar de onderwijsinstelling(en).

Diezelfde onderwijsinstellingen die zonder jou toestemming je persoonlijke gegevens verstrekt aan een tent als Iddink waar je totaal geen mogelijkheid hebt dit zelf in de hand te houden. En diezelfde onderwijsinstellingen die zelf allerlei personeel in de dienst hebben waarbij de knowhow ontbreekt en eveneens beroerd is met communiceren.

Het mooiste zou gewoon zijn wanneer onderwijsinstellingen zelf alle materialen bestellen en deze in de 1e week na de start van het nieuwe schooljaar verstrekt aan de leerlingen.

Nog niet gesproken over UWV, Woningbouwverenigingen etc. rond de datalek bij Woonkracht10 enige tijd geleden heb ik nooit iets vernomen, reden? Men had geen contactgegevens over mij. Maar wel kreeg ik telefonisch te horen dat het toenmalige dossier (wat n.a.w., BSN, inkomensgegevens) mogelijk gelekt waren. Verdere communicatie was onmogelijk en is nog altijd uitgebleven.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq