Waarschuwingsmails over datalekken vaak gebrekkig

Bij datalekken met een hoog risico, bijvoorbeeld op identiteitsfraude, is een organisatie wettelijk verplicht om de betrokken personen zo snel mogelijk te informeren. Maar bij de helft van de organisaties is de waarschuwing onvolledig of onduidelijk, constateert de Consumentenbond uit een steekproef. Vooral uitleg over wat de gedupeerde zelf kan doen, ontbreekt vaak.

2 miljoen slachtoffers

Zeker 2 miljoen Nederlanders zijn slachtoffer van het recente datalek bij de softwareleveranciers van een aantal marktonderzoekbureaus. Vandaag werd bekend dat ook ongeveer 13.000 inwoners van de gemeenten Leiden, Leiderdorp en Oegstgeest de dupe zijn. Een totaaloverzicht van het lek laat nog op zich wachten; de Autoriteit Persoonsgegevens is bezig met een onderzoek. Hoe groter de hoeveelheid gegevens die cybercriminelen van iemand, hoe groter de kans op bijvoorbeeld een succesvolle phishing-poging. Alle reden dus om de gedupeerden snel en goed te informeren.

Onduidelijke waarschuwingen

Het belangrijkste doel van zo’n informatiebrief of -mail is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd en wat ze zelf kunnen doen om zichzelf te beschermen. Maar juist op die punten laten veel organisaties steken vallen, ontdekte de Consumentenbond. Uit een recente steekproef blijkt dat de helft van de organisaties met een datalek onduidelijke of onvolledige waarschuwingsmailtjes verstuurt aan gedupeerden.

Weinig urgentie

Een bericht aan gedupeerd moet volgens de AVG antwoord geven op de volgende vragen: wat is er gebeurd? (bijvoorbeeld: de gegevens zijn in handen gevallen van een onbevoegde) Wat zijn de waarschijnlijke gevolgen? Welke maatregelen heeft de organisatie genomen? Kan de getroffen persoon zelf iets doen? En waar kan men terecht met vragen? (bijvoorbeeld: bij de functionaris gegevensbescherming van de organisatie).

In de praktijk voldoet amper de helft van de datalekwaarschuwingen hieraan. De Consumentenbond analyseerde 69 waarschuwingsmails uit de afgelopen drie jaar en constateerde dat slechts 32 daarvan duidelijk en volledig waren. Een veelvoorkomende fout is dat de mail een weinig urgente indruk maakt. Zo gaan sommige organisaties uitgebreid in op de ‘voortdurende aandacht’ binnen het bedrijf voor gegevensbescherming, om dan terloops te noemen dat er toch iets verkeerd is gegaan. In een kwart van de berichten ontbreekt informatie over welke gegevens precies zijn gelekt.

Alertheid nodig

In een derde van de berichten staat niet wat gedupeerden zelf kunnen doen om te voorkomen dat ze slachtoffer worden van cybercriminaliteit door het datalek. Is er een wachtwoord gelekt, dan zouden organisaties moeten adviseren om wachtwoorden aan te passen op alle sites waar het slachtoffer het wachtwoord gebruikt. Gaat het om gelekte persoonsgegevens, dan is het zaak om alert te zijn op mails, telefoontjes en sms’jes die bedoeld kunnen zijn om het slachtoffer op te lichten. Ook dat moeten organisaties de gedupeerden wel meegeven.

In een reactie stelt de Autoriteit Persoonsgegevens dat ze organisaties al veel tips geven om betere waarschuwingsmails te sturen. De Consumentenbond concludeert dat de instructies ofwel niet worden begrepen, ofwel niet worden opgevolgd.