Het Data & Insights Network werkt aan een binnenkort te verschijnen protocol datalekken, een standaard voor de sector. Daarmee wil de branche het risico op datalekken zoveel mogelijk beperken en direct handelend optreden. Dat dat welkom is blijkt wel uit een onderzoek van de Autoriteit Persoonsgegevens (AP). Organisaties geven slachtoffers van datalekken onvoldoende informatie.
▼
Door het gebrek aan informatie raken slachtoffers van een datalek onvoldoende doordrongen van het risico op misbruik van hun persoonsgegevens. Ze weten niet goed wat zij zelf kunnen doen om de risico’s op bijvoorbeeld online oplichting te verkleinen. In Nederland zijn organisaties verplicht om mensen te waarschuwen zodra er een ernstig datalek is. Bijvoorbeeld na een cyberaanval op een database vol klantgegevens. Of als patiëntgegevens uit een ziekenhuis onverhoopt op straat komen te liggen.
Cyberaanvallen
De AP heeft voor een onderzoek ruim 50 van de grootste datalekken van 2023 op een rij gezet. Gegevens van zo’n 10 miljoen mensen werden geraakt door deze lekken, die vooral werden veroorzaakt door cyberaanvallen.
De AP heeft vervolgens de waarschuwingsberichten onder de loep genomen die de betrokken organisaties aan de slachtoffers stuurden. De belangrijkste conclusies zijn:
- Organisaties zijn vaak veel te traag met hun waarschuwingsberichten. Gemiddeld versturen ze die pas ruim drie weken nadat zij een datalek hebben ontdekt – terwijl snelheid juist is geboden.
- In bijna de helft van de berichten staat niet duidelijk wat er is gebeurd en welke gegevens er zijn gelekt. Meer dan de helft van alle berichten zijn bovendien niet helder genoeg geschreven.
- In waarschuwende e-mails ontbreekt het soms aan een alarmerende titel of introductie. Met als risico dat de ontvanger het bericht zelfs helemaal niet leest.
Jargon vermijden
Organisaties zeggen zelf via een aanvullende (geanonimiseerde) enquête dat:
- zij vaak moeite hebben om jargon te vermijden in hun waarschuwingsberichten.
- vertraging bij het versturen van waarschuwingsberichten onder meer komt doordat veel verschillende collega’s het bericht moeten goedkeuren.
- zij soms eerst onderzoek naar het datalek willen afwachten voordat zij mensen informeren, om zo te voorkomen dat zij mensen snel maar onvolledig informeren. De AP adviseert om snel een bericht te sturen met de informatie die beschikbaar is, waarna de organisatie altijd een aanvullend bericht kan sturen.