Wat is een datalek eigenlijk en wat doe je eraan?

Met een datalek gaan ernstige risico’s gepaard, zoals oplichting of identiteitsfraude. Wanneer jouw persoonsgegevens zijn betrokken bij een datalek, kan dit dus grote gevolgen hebben. Maar wat is een datalek nu eigenlijk? En wat kan je hier als slachtoffer van een datalek aan doen?

De bescherming van persoonsgegevens is een grondrecht. De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder die dit grondrecht bewaakt. De AP moet er dan ook voor zorgen dat bedrijven en organisaties zich aan de privacywetgeving houden.

Wanneer is sprake van een datalek?

Volgens de AP is sprake van een datalek wanneer sprake is van toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegeven bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.

Vaak gaat het om gelekte computerbestanden. Geprinte bestanden kunnen trouwens evengoed een datalek vormen. Andere voorbeelden van een datalek zijn cyberaanvallen, zoals hacking, malware of phishing. Zoekgeraakte USB-sticks, gestolen laptops en verkeerd geadresseerde e-mails kunnen ook als datalek worden beschouwd.

Datalekken in Nederland

Met de alsmaar toenemende digitalisering neemt ook het risico op (ernstige) datalekken toe. Dit geldt ook zeker voor het sterk gedigitaliseerde Nederland. We zitten in de top 3 van Europese landen waar de meeste datalekken worden gemeld. Dit betekent ook dat we in Nederland extra aandacht moeten hebben voor fundamentele vraagstukken als privacy, bescherming van persoonsgegevens en cybersecurity. 

Groeiend aantal datalekmeldingen na cybersecurity-incident

Organisaties krijgen steeds vaker te maken met een datalek. Dit blijkt onder meer uit de Cybersecuritymonitor van het CBS. Grote organisaties – met meer dan 250 werknemers – zijn het kwetsbaarst. In 2020 waren de meeste datalekmeldingen afkomstig uit de sector gezondheid en welzijn (30%). Gevolgd door de financiële dienstverlening en overheid (beide 22%).

Opvallend is het aantal meldingen door overheidsinstanties, dat in één jaar tijd met 13% steeg. Volgens de AP kwam dit vooral doordat er meer persoonsgegevens werden afgegeven of verstuurd aan de verkeerde ontvanger.

Ook het aantal meldingen naar aanleiding van hacking, malware of phishing-incidenten steeg flink. Namelijk met 30% ten opzichte van het jaar daarvoor. Vooral grote organisaties lijken hiervan het doelwit te zijn. Waarschijnlijk omdat zij persoonsgegevens van veel mensen verwerken. In 2019 was ook al een stijging van dit soort cyberaanvallen zichtbaar. Toen van 25% ten opzichte van 2018.

Datalek komt vaak van binnenuit

Tot op heden zijn datalekken en werknemers geen gelukkig huwelijk gebleken. Van alle datalekken die grote bedrijven in 2019 meldden, werd maar liefst een kwart veroorzaakt door eigen personeel. Het gaat dan bijvoorbeeld om medewerkers die per ongeluk een USB-stick verliezen.

Slechts 5% van de meldingen werd veroorzaakt door een aanval van buitenaf. Ruim de helft van de bedrijven die ICT veiligheidsincidenten rapporteerden gaf aan hiervoor kosten te hebben gemaakt. Een veiligheidsincident kan een organisatie dan ook duur komen te staan.

GGD-datalek

Eén van de meest bekende voorbeelden van een datalek was dat bij de GGD eerder dit jaar. Dit betrof een datalek in twee computersystemen voor het maken van testafspraken en bron- en contact onderzoek. Daarin stonden op dat moment de persoonsgegevens van 6,5 miljoen Nederlanders. Qua omvang is dit dan ook het grootste datalek dat Nederland ooit heeft gekend.

Ook het type persoonsgegevens dat werd gelekt, maakt dat dit datalek extra gevoelig ligt. Zo gaat het onder meer om BSN-nummers en medische gegevens. Bovendien was het een overheidsinstantie die voor deze gevoelige informatie verantwoordelijk was.

Meldplicht datalekken bij de Autoriteit Persoonsgegevens

Organisaties moeten een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Deze meldplicht volgt uit de Algemene Verordening Gegevensbescherming (AVG). Dit hoeft alleen niet wanneer het onwaarschijnlijk is dat er risico’s zijn voor de privacy van betrokkenen. Organisaties die een datalek niet melden zijn in overtreding met de AVG. De AP kan in dat geval een hoge boete opleggen.

Toch merkt de AP steeds vaker op dat organisaties niet alle datalekken op tijd melden. Een organisatie was in zo’n geval al eerder op de hoogte van het datalek. Dit blijkt dan bijvoorbeeld uit een klacht, tip of de melding zelf. In haar Rapportage Datalekken 2020 geeft de AP aan dit te beschouwen als een ernstige zaak.

De meldplicht is van belang omdat het de AP in staat stelt snel in te grijpen. Dit is bijvoorbeeld nodig wanneer betrokkenen ten onrechte niet zijn geïnformeerd. Een ander voorbeeld is wanneer de organisatie onvoldoende onderzoek heeft gedaan naar de omvang van het datalek.

Wat te doen bij een datalek?

Een organisatie die jouw persoonsgegevens heeft gelekt moet dit dus melden. Daarnaast zal deze instantie – wanneer mogelijk sprake is van een groot risico – je moeten informeren over het feit dát jouw gegevens zijn gelekt. Maar wat kan je daar dan vervolgens het beste mee doen?

Controleer welke persoonsgegevens er zijn gelekt

Controleer in de eerste plaats goed wat er gelekt is. Dit hangt af van wat een bedrijf of organisatie je gevraagd heeft te delen. Bij een webwinkel kan het gaan om adresgegevens, terwijl een overheidsinstantie bijvoorbeeld ook om je BSN kan vragen. Een eventuele melding van een datalek (aan jou) wordt vaak per e-mail gedaan. Daarin staat ook vermeld om welke gegevens het precies gaat.

Van een datalek waarbij je een minder groot risico loopt zal je niet altijd een melding ontvangen. In dat geval zijn er websites waarop je kunt checken of bepaalde gegevens – zoals telefoonnummer of e-mailadres – betrokken zijn geweest bij een datalek. haveibeenpwned.com en scatteredsecrets.com zijn hier voorbeelden van.

Wachtwoord wijzigen

Bevinden zich onder de gelekte gegevens wachtwoorden, dan is het zaak dat je deze zo snel mogelijk aanpast. Doe dit ook voor andere websites wanneer je daarvoor hetzelfde wachtwoord gebruikt. In veel gevallen proberen hackers jouw wachtwoorden namelijk ook op andere accounts uit. Hetzelfde wachtwoord voor meerdere websites of accounts gebruiken is daarom nooit verstandig.

Blokkeer creditcards en betaaldiensten

Is bij een datalek jouw creditcarddata gelekt of werd bijvoorbeeld jouw PayPal-account gehackt? Zorg er dan voor dat je deze creditcard of betaaldienst blokkeert. Zo voorkom je dat deze data of diensten misbruikt kunnen worden om betalingen mee te doen. Neem bij twijfel altijd contact op met je bank of creditcardmaatschappij.

Blijf alert na een datalek

Voor wachtwoorden, creditcards of betaalgegevens geldt dat je deze kunt wijzigen of blokkeren. Voor veel andere persoonsgegevens kan dat niet. Aan een woonadres of BSN zit je behoorlijk vast. Geef je BSN daarom alleen af als je hier wettelijk toe verplicht bent.

Ook deze data kan gebruikt worden voor oplichting of identiteitsfraude. Wees daarom altijd waakzaam voor mogelijke aanvallen.

Recht op schadevergoeding bij een datalek

Als blijkt dat jij – door toedoen van een datalek – schade hebt geleden, dan heb je mogelijk recht op een schadevergoeding. Dat bepaalt de Algemene Verordening Gegevensbescherming. In dit verband kunnen twee soorten schade worden onderscheiden. Als jouw gegevens (al) zijn misbruikt, dan heb je mogelijk recht op een schadevergoeding van de materiele schade.

Staat enkel vast dát jouw persoonsgegevens zijn gelekt, dan heb je mogelijk recht op een vergoeding van de immateriële schade.    

Slachtoffers leven tenslotte in onzekerheid met het feit dát hun persoonsgegevens op enig punt misbruikt kunnen worden. In het verleden heeft de rechter hiervoor schadevergoedingen toegekend van zo’n € 500,-. Zelf een (kostbare) procedure starten is daarom niet altijd rendabel. Een collectieve procedure biedt daarom uitkomst.

Collectieve actie

Op basis van de AVG en de Wet Afwikkeling massaschade in collectieve actie (‘’WAMCA’’) is het sinds 2020 mogelijk om een collectieve schadevergoedingsactie in te stellen, ook voor een datalek. Deze collectieve actie – ook wel “class action” of “massaschade-procedure” genoemd – is een procedure waarin je met een grote groep actie onderneemt en schadevergoeding vordert.

Een collectieve actie wordt uitgevoerd door een belangenorganisatie, die daarbij de belangen van haar achterban behartigt. In de meeste gevallen kun je hieraan deelnemen op een no cure no pay-basis. De kostenvergoeding bedraagt dan een bepaald percentage van de ontvangen schadevergoeding. Wordt de schadevergoeding niet toegewezen? Dan betaal je ook niets.

Nut van deelname aan een collectieve actie

Naast een mogelijke schadevergoeding, geven dit soort collectieve acties een belangrijk signaal af. Neem het GGD-datalek. Datalekken bij overheidsinstanties nemen toe, terwijl de privacywetgeving van hen zelf afkomstig is. De overheid is een van de grootste dataverwerkers van persoonsgegevens en heeft hierin dan ook een voorbeeldfunctie.

Burgers moeten er op kunnen vertrouwen dat de overheid zorgvuldig met hun gegevens omgaat. Een reeks ernstige incidenten toont echter aan dat de overheid haar zaken niet op orde heeft. De schade wordt telkens als een voldongen feit aan de burger gepresenteerd.

Stichting ICAM start daarom een collectieve rechtszaak tegen het ministerie van VWS. Want dat ministerie is uiteindelijk verantwoordelijk voor de getroffen GGD-systemen. ICAM vordert €500 per persoon voor iedereen van wie gegevens in de IT-systemen van de GGD zitten. Voor iedereen bij wie daadwerkelijk vast komt te staan dat gegevens zijn gestolen, vordert de stichting een hoger bedrag, namelijk €1.500.