Onvoldoende informatie voor slachtoffers na datalekken

11 september 2024

Datalekken

Volgens recentelijk onderzoek van de Autoriteit Persoonsgegevens (AP) voldoen waarschuwingen van organisaties aan slachtoffers na een datalek vaak niet aan de wettelijke eisen. De meldingen die de getroffen individuen ontvangen zijn vaak onduidelijk, worden te laat verstuurd en geven niet genoeg informatie over de daadwerkelijke gevolgen van het datalek.

Waarschuwingen voldoen niet aan wettelijke eisen

De AP onderzocht de 53 grootste datalekken van 2023. Organisaties zijn volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht om mensen te informeren als hun gegevens betrokken zijn bij een datalek. Dit leidde tot meer dan 26 miljoen waarschuwingsberichten, maar geen van deze voldeed volledig aan de regels.

Een correcte melding moet aangeven:

  • welke gegevens er gelekt zijn;
  • hoe het lek is ontstaan;
  • wat de mogelijke gevolgen zijn voor de slachtoffers;
  • welke stappen zij kunnen ondernemen;
  • welke maatregelen de organisatie treft;
  • wat het contactpunt is voor eventuele vragen.

In meer dan de helft van de meldingen wordt echter niet duidelijk uitgelegd hoe het datalek is onstaan en wat de gevolgen kunnen zijn. Daarnaast ontbreekt in 47% van de gevallen informatie over welke gegevens gelekt zijn. Hierdoor kunnen slachtoffers het risico op misbruik van hun persoonsgegevens moeilijk inschatten.

Bovendien versturen organisaties de waarschuwingen vaak te laat. Gemiddeld duurt het drie weken na ontdekking van het lek voordat de melding wordt verzonden, terwijl snelheid juist cruciaal is om slachtoffers tijdig te waarschuwen, bijvoorbeeld voor het risico op phishing.

Organisaties willen geen onvolledige informatie delen

Uit een enquête onder de betrokken organisaties blijkt dat zij moeite hebben om zonder vakjargon te communiceren in de waarschuwingen. Ze willen bovendien voorkomen dat ze onvolledige informatie geven, waardoor ze te lang wachten met het versturen van de melding. Vaak moeten verschillende collega's de inhoud eerst goedkeuren, wat het proces vertraagt.

De AP heeft inmiddels concrete richtlijnen en voorbeeldteksten gepubliceerd om organisaties te helpen sneller en duidelijker te communiceren na een datalek. Toch blijven organisaties zelf verantwoordelijk voor de juiste communicatie in zulke gevallen.

In de praktijk

We zien dat veel organisaties worstelen met het vinden van de juiste balans tussen snelheid en volledigheid bij datalekmeldingen. Hoewel zorgvuldigheid belangrijk is, mag dit niet ten koste gaan van de tijdige waarschuwing van slachtoffers. Het is essentieel dat bedrijven duidelijke, toegankelijke taal gebruiken en snel reageren om het vertrouwen van de klant te behouden. Transparante communicatie is ten slotte niet alleen een wettelijke verplichting, maar ook een cruciaal onderdeel van crisismanagement en reputatiebescherming.

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en flexibele inzet van cybersecurityspecialisten. We helpen organisaties van elk type om het risico op gijzeling van bedrijfssystemen, datadiefstal en onbevoegde toegang te verkleinen en hun digitale weerbaarheid te vergroten. Neem contact op met ons via info@tt3p.nl of 088 38 38 38 3.