Een datalek, hoe erg is dat? Vijf vragen over gelekte gegevens
Datalekken bij bedrijven waardoor de gegevens van soms wel miljoenen Nederlanders op straat komen te liggen zijn regelmatig in het nieuws. Waakhond Autoriteit Persoonsgegevens zegt vandaag dat iedereen in Nederland ervan uit kan gaan dat diens persoonlijke gegevens al gelekt zijn of nog gelekt zullen worden.
Maar hoe erg is het eigenlijk als dat gebeurt, en kun je er iets tegen doen? In dit artikel zetten we vijf vragen en antwoorden over gelekte data op een rijtje.
Wat is een datalek?
Een datalek is het onbedoeld vrijkomen van vertrouwelijke of gevoelige informatie van een organisatie of persoon. Vaak wordt gedacht dat dit het resultaat is van een digitale aanval, maar dat is lang niet altijd het geval. Van alle meldingen die de Autoriteit Persoonsgegevens binnenkrijgt, gaat het in nog geen 10 procent van de gevallen om een hack.
Veel vaker komt het voor dat bijvoorbeeld een e-mail of brief met persoonlijke informatie naar de verkeerde persoon wordt verstuurd. Het kan ook gebeuren dat een laptop of aktetas met persoonlijke documenten kwijtraakt. In deze gevallen spreekt de privacytoezichthouder ook van een datalek.
Wat kan er met mijn data gebeuren?
Dat hangt af van welke gegevens er precies gelekt zijn en welke informatie er nog meer van jou openbaar is, zegt Chelsea Bruijn. Zij is data privacy specialist bij adviesbureau KPMG.
Als er al eerder data van je is gelekt en je deelt veel informatie via sociale media, is de kans groter dat je doelwit wordt van gerichte phishing via e-mail of telefoon. "Een babbeltruc van criminelen kan een stuk geloofwaardiger overkomen naarmate zij over meer persoonsgegevens van jou beschikken", zegt Bruijn.
Volgens Floor Terra, adviseur bij Privacy Company, kunnen ook verouderde gegevens interessant zijn voor criminelen. Een gelekt wachtwoord kun je relatief eenvoudig wijzigen, maar met iemands vorige woonadres of oud telefoonnummer kan een cybercrimineel een geloofwaardig profiel van iemand samenstellen.
Hoe erg is dat?
Dat hangt af van het soort datalek, zegt Terra. Als het gaat om een verkeerd geadresseerde brief, zijn de gevolgen vaak te overzien. Maar bij een gerichte digitale aanval kunnen de consequenties erg vervelend zijn, zelfs als je denkt dat je niets te verbergen hebt.
Volgens Bruijn kan zo'n aanval leiden tot een verhoogd risico op identiteitsfraude, financiële fraude, oplichting, reputatieschade, chantage of een eventuele doorverkoop van jouw gegevens aan andere criminelen.
Wat kan ik doen om te voorkomen dat mijn data worden gelekt?
Helaas kan je vaak weinig doen tegen een datalek, meent Terra. Veel organisaties hebben nou eenmaal bepaalde gegevens nodig voor hun dienstverlening.
Wel kun je ervoor zorgen dat je niet méér informatie verstrekt dan strikt noodzakelijk is. Als een veld niet verplicht is, vul het dan ook niet in.
Wat kan ik doen als mijn data zijn gelekt?
Op de website haveibeenpwned.com kan je controleren of jouw e-mailadres betrokken is geweest bij een datalek. Als dat zo is, is het raadzaam om het wachtwoord van de desbetreffende dienst te veranderen.
Bruijn benadrukt verder dat een bedrijf verplicht is om je op de hoogte te stellen als jouw persoonlijke data betrokken zijn bij een datalek en het waarschijnlijk is dat dit voor jou een hoog risico met zich meebrengt. Probeer bij het bedrijf te achterhalen om welke gegevens het gaat, zodat je hiermee rekening kunt houden en extra alert kunt zijn op verdachte berichten en telefoontjes.
Als je niet bent geïnformeerd over een datalek en ontdekt dat jouw persoonsgegevens in verkeerde handen terecht zijn gekomen, is het verstandig de Autoriteit Persoonsgegevens in te lichten. Die kan dan een onderzoek instellen.
