Gedupeerden slecht geïnformeerd over datalekken

Bij een datalek krijgen onbevoegden toegang tot persoonsgegevens, of gegevens worden per ongeluk verwijderd of gewijzigd. De laatste tijd zijn er steeds meer hacks bij IT-bedrijven. Deze leiden tot datalekken met honderdduizenden persoonsgegevens, die in handen komen van criminelen.

Wettelijke plicht

Ontdekt een organisatie een datalek, dan is het belangrijk dat zij de betrokken personen zo snel mogelijk informeert. Welke gegevens zijn (mogelijk) vrijgekomen en wat kunnen criminelen met de informatie doen? De organisatie is wettelijk verplicht betrokkenen te informeren als bij het datalek gevoelige gegevens vrijkomen. Of als de gegevens voor fraude misbruikt kunnen worden.

69 datalekmailtjes

292 leden van het Consumentenbond panel stuurden na een oproep enkele honderden datalekwaarschuwingsmailtjes ('u bent onderdeel van een datalek') aan ons door. Na ontdubbeling bleven er 69 mailtjes over voor een nadere analyse. Alle bekeken berichten zijn hooguit 3 jaar oud.

De kwaliteit van de waarschuwingen valt tegen: 

• Amper de helft (32) is duidelijk en volledig.
• De andere helft (37) heeft een of meerdere verbeterpunten  

Checklist

Elke e-mail controleerden we op 5 punten:

1. Is hij voldoende alarmerend in de kop en aanhef? 
2. Maakt de e-mail duidelijk wat er is gelekt?
3. Vertelt de e-mail welke veiligheidsmaatregelen zijn genomen?
4. Meldt de e-mail wat de ontvanger kan/moet doen? 
5. Staat er waar de ontvanger terecht kan met vragen? 

Weinig urgente indruk

Een voorbeeld waar het misgaat. De mail van modemerk Livera maakt een weinig urgente indruk met de kop ‘Bescherming van persoonsgegevens bij Livera hoogste prioriteit’.

Het bericht begint met een heel verhaal over de bedrijfsstructuur en de ‘voortdurende aandacht’ van het bedrijf voor gegevensbescherming. Pas in de derde alinea staat dat het moederbedrijf gehackt is en dat persoonsgegevens (naam, adres, e-mailadres en telefoonnummer) mogelijk zijn ingezien. 

Welke gegevens 

Een waarschuwing moet duidelijk maken wélke gegevens zijn gelekt. Die informatie ontbreekt bij een kwart van de berichten. Bijvoorbeeld in de mail van LastPass, nota bene een producent van wachtwoordsoftware. Lastpass ontdekte vorig jaar dat het klantenbestand door hackers was ingezien.

In de waarschuwingsmail van Lastpass staat niet dat e-mailadressen van klanten zijn gelekt en welke risico’s dat oplevert (onder andere phishing). Die informatie zit verstopt op een pagina waar je terechtkomt als je doorklikt naar ‘updates’ op het dataleknieuws.

Wat je zelf kunt doen

In een derde van de geanalyseerde berichten staat niet wat je zelf kunt doen om schade na het datalek zo veel mogelijk te voorkomen. Zoals alert zijn op phishingberichten, telefoontjes en sms’jes als het telefoonnummer is gelekt. Soms ontbreekt het advies om wachtwoorden aan te passen op alle websites waar je het gelekte wachtwoord gebruikt. 

Lees ook: beperk de schadelijke gevolgen van een datalek.  

Waarschuwingen moeten beter

We hebben de Autoriteit Persoonsgegevens (AP) voorgesteld melders van datalekken instructies te geven voor betere waarschuwingsmails. De kwaliteit van de waarschuwingen is nu te vaak onvoldoende. De AP reageert dat ze melders al de nodige tips geven.

Dan rest één conclusie: de instructies worden niet altijd goed opgevolgd óf niet goed begrepen. Dit onderwerp verdient hoe dan ook meer aandacht, erkent ook de Autoriteit Persoonsgegevens.