Bedrijven en organisaties die door een datalek worden getroffen, informeren hun klanten vaak onvoldoende over het voorval. Meer dan de helft van de waarschuwingen is te vaag of er ontbreekt relevante informatie. Dat kan en moet anders om slachtoffers beter te beschermen.
Dat zegt de Consumentenbond. De belangenorganisatie bestudeerde 69 datalekmeldingen van onder meer webshops, IT-bedrijven, scholen en garages.
Getroffen bedrijven waarschuwen onvoldoende voor gevaren van een datalek
Van de 69 meldingen waren er 37 onduidelijk of ontbrak er cruciale informatie. Een kwart van de waarschuwingen gaf bijvoorbeeld niet aan welke gegevens er waren ingezien of gestolen door hackers of cybercriminelen. Tegelijkertijd wijzen bedrijven en organisaties hun klanten onvoldoende op de risico’s van een datalek, of wat gedupeerden kunnen doen om de gevolgen van de datadiefstal te beperken.
Tot slot zijn getroffen instanties terughoudend als het gaat om de maatregelen die ze hebben genomen om vertrouwelijke of privacygevoelige gegevens beter te beschermen en herhaling in de toekomst te voorkomen.
Datalekmelding Livera viel op
De waarschuwing van modemerk Livera springt er volgens de Consumentenbond met kop en schouders bovenuit. Gedupeerde klanten ontvingen een bericht van het kledingbedrijf met als kop ‘Bescherming van persoonsgegevens bij Livera hoogste prioriteit’. Vervolgens beschreef het bedrijf de bedrijfsstructuur en gaf het haarzelf een klop op de schouders voor de ‘voortdurende aandacht’ voor gegevensbescherming.
Pas in de derde alinea van het bericht ging Livera in op het voorval. Toen merkte het modebedrijf op dat er mogelijk privégegevens van klanten waren ingezien, waaronder namen, woonadressen, e-mailadressen en telefoonnummers.
Consumentenbond overhandigt onderzoeksresultaten aan AP
Sandra Molenaar, directeur van de Consumentenbond, vindt dat bedrijven en organisaties die door een datalek zijn getroffen beter hun best moeten doen om slachtoffers hierover in te lichten. “Criminelen kunnen gelekte gegevens misbruiken. Bijvoorbeeld voor babbeltrucs of phishing. Daarom is het belangrijk om consumenten goed te informeren als hun gegevens op straat liggen.”
Veel organisaties doen dat volgens Molenaar niet. “Ze vergeten cruciale informatie te delen en soms lijken ze meer bezig met de bescherming van hun reputatie dan met de zorg voor hun klanten. Dat is heel kwalijk. Organisaties lijken zich niet te realiseren dat consumenten daardoor onnodig extra risico’s lopen. Dat moet echt anders.”
De Consumentenbond heeft de onderzoeksresultaten gedeeld met de Autoriteit Persoonsgegevens. De toezichthouder ontvangt jaarlijks meer dan 20.000 datalekmeldingen. In 2021 kwamen er bij de privacywaakhond 88 procent meer meldingen van cyberaanvallen binnen.
