Slechte waarschuwingsberichten na datalekken
De AP stelt dat slechte waarschuwingsberichten na datalekken ervoor zorgen dat slachtoffers onnodig risico lopen
Uit onderzoek van de Autoriteit Persoonsgegevens (AP) blijkt dat waarschuwingsberichten bij datalekken vaak niet voldoen aan de wettelijke vereisten van de Algemene Verordening Gegegensbescherming en de Richtlijn gegevensbescherming bij rechtshandhaving. In 2023 werden 53 grote datalekken onderzocht, waarbij geen enkele organisatie aan alle wettelijke vereisten voldeed. Slechts twee organisaties voldeden aan zeven van de acht criteria. Zo zijn veel berichten onduidelijk, komen te laat en benoemen de gevolgen van het datalek onvoldoende.
Organisaties geven aan dat interne afstemming en gebrek aan kennis over heldere taal en de gevolgen van datalekken de kwaliteit van de berichten beïnvloeden. Dit brengt slachtoffers in gevaar, vooral bij hoge risico’s zoals phishing. Het toont aan dat er nog veel verbetering nodig is om slachtoffers adequaat te informeren en te beschermen tegen de gevolgen van datalekken. De AP heeft daarom aanbevelingen en voorbeeldteksten gepubliceerd om organisaties te helpen betere waarschuwingsberichten te schrijven. Ook zal de AP strenger gaan controleren op de inhoud van deze berichten om zo slachtoffers beter te beschermen.
Uit het onderzoek kwam naar voren dat veel organisaties moeite hebben om jargon te vermijden en dat veel verschillende collega's eerst het bericht moeten goedkeuren. Vaak wachten ze eerst op onderzoek, wat vertraging veroorzaakt. Dit kan slachtoffers in gevaar brengen, omdat criminelen misbruik kunnen maken van de gelekte gegevens. Een goed waarschuwingsbericht bij een datalek moet duidelijk en snel zijn. Het moet de gelekte gegevens, de gebeurtenis, de gevolgen voor slachtoffers, advies voor slachtoffers, maatregelen van de organisatie en een contactpunt bevatten. Veel organisaties hebben hier nog onvoldoende kennis over.
De AP adviseert om duidelijk te zijn over de risico’s en gevolgen van een datalek om zo slachtoffers beter te informeren en te beschermen. Organisaties blijven zelf verantwoordelijk voor de kwaliteit van hun berichten en moeten deze gaan aanpassen aan de specifieke situatie van het datalek. Organisaties moeten daarbij transparant zijn, zelfs als nog niet alle informatie beschikbaar is. Voorlopige berichten kunnen slachtoffers al waarschuwen.
Organisaties moeten goed met persoonsgegevens omgaan. De Autoriteit Persoonsgegevens (AP) houdt daar toezicht op en doet er regelmatig onderzoek naar. Als een organisatie zich niet aan de regels houdt, kan de AP ingrijpen. Ook als een organisatie betrokkenen niet goed of tijdig informeert.
Heeft u geen tijd om de aanbevelingen van de AP door te nemen, of heeft u hulp nodig om uw processen aan te passen en te laten werken? Wij adviseren uiteraard graag hierover. Neem vrijblijvend contact met ons op voor de mogelijkheden.