Veel bedrijven en organisaties die het slachtoffer zijn van een cyberaanval, informeren betrokkenen niet of onvoldoende hierover. Dat komt omdat zij de risico’s van een datalek onderschatten. Het gevolg is dat gedupeerden geen maatregelen kunnen nemen tegen mogelijke oplichting en andere misdrijven van cybercriminelen.
Daarvoor waarschuwt de Autoriteit Persoonsgegevens in de jaarcijfers over 2023 (pdf).
Gedupeerden vaak niet of slecht geïnformeerd over datalek
Afgelopen jaar ontving de privacywaakhond 25.694 meldingen van datalekken. In de meeste gevallen (9.899 keer) ging het om verkeerd verzonden brieven met daarin persoonsgegevens van anderen. De meeste meldingen waren afkomstig uit de zorgsector, gevolgd door het openbaar bestuur en de financiële dienstverlening.
In totaal ontving de toezichthouder 1.309 datalekmeldingen naar aanleiding van een cyberaanval. Bij de grootste aanval vielen bijna tien miljoen slachtoffers, bij de tien grootste cyberaanvallen gezamenlijk bijna zestien miljoen. Verder startte de Autoriteit Persoonsgegevens vorig jaar 27 onderzoeken naar datalekken.
Datalekken door cyberaanvallen kunnen hoge risico’s opleveren voor slachtoffers, zoals financiële schade of identiteitsfraude. In zo’n 70 procent van de gevallen schatten bedrijven en organisaties die door hackers zijn aangevallen de risico’s van een datalek te laag in. Gedupeerden worden dan niet of slecht geïnformeerd over de gevolgen daarvan. En dat kan verstrekkende gevolgen hebben, zo waarschuwt de Autoriteit Persoonsgegevens.
“Onderschat het niet, met jouw gegevens in de hand kunnen criminelen jou écht schade toebrengen. Met jouw telefoonnummer of e-mailadres kunnen ze je betaalverzoekjes sturen waarop je misschien per ongeluk klikt. Met een kopie van je paspoort kan iemand anders een lening afsluiten op jouw naam. Je gegevens zijn voor criminelen goud waard”, zo zegt AP-bestuursvoorzitter Aleid Wolfsen.
Digitalisering brengt kansen en risico’s met zich mee
Niet voor niets zijn organisaties wettelijk verplicht om mensen te waarschuwen als er sprake is van een hoog risico na een datalek. Hoe eerder zij hun klanten hierover informeren, des te eerder zij maatregelen kunnen treffen om de impact ervan te verkleinen.
Wolfsen vindt het zorgelijk dat dit in praktijk niet altijd gebeurt. “Mensen moeten erop kunnen vertrouwen dat organisaties goed met hun persoonsgegevens omgaan. Daar hoort ook bij dat een organisatie jou goed informeert als er helaas iets misgaat met jouw gegevens. Want hoe kun jij de regie houden over jouw leven als jou niet verteld wordt wat er met je gegevens gebeurt?”
Digitalisering brengt kansen met zich mee, maar ook risico’s. Dat maakt het volgens de bestuursvoorzitter des te belangrijker om gedupeerden goed te informeren.
AP greep vorig jaar meerdere malen actief in
De Autoriteit Persoonsgegevens controleert nauwlettend of organisaties die slachtoffer zijn van een cyberaanval betrokkenen hierover informeert. Mochten ze dat nalaten, dan kan de toezichthouder ingrijpen.
Dat gebeurde afgelopen jaar na een omvangrijk datalek bij IT-softwareleverancier Nebu. De toezichthouder spoorde meer dan dertig klanten van het Canadese IT-bedrijf aan om slachtoffers te informeren over het datalek. Uiteindelijk deed de Autoriteit Persoonsgegevens dit nadat deze organisaties hadden besloten om dit niet te doen. Zo’n 50.000 slachtoffers werden na interventie van de toezichthouder alsnog geïnformeerd over de cyberaanval.
Als er zich een datalek heeft voorgedaan bij een organisatie, kan de privacywaakhond ook besluiten om een instantie onder verscherpt toezicht te plaatsen. Dat gebeurde bij de gemeente Eindhoven, nadat de toezichthouder signalen had ontvangen dat de gemeente verzaakte om datalekken tijdig te melden. Bij ernstige privacyschendingen en overtredingen kan de Autoriteit Persoonsgegevens besluiten om een boete op te leggen.
