Juridische vraag: De waarschuwingen die organisaties bij datalekken aan getroffen gebruikers geven zijn vaak onduidelijk, waardoor die onnodig extra risico lopen. Dat las ik eind maart bij Security.nl. Er staat te weinig concrete informatie in, en vaak ontbraken ook de stappen die je zelf kunt nemen om de schade te beperken. Wat voor mij als CISO de vraag opriep, hoe zou het dan wel moeten, nog meer informatie?

Antwoord: Het onderzoek betrof 69 datalekmeldingen waarvan er 37 onder de maat waren. Een kwart van de berichten vermeldt bijvoorbeeld niet welke informatie is gelekt. Ook zijn de berichten over datalekken vaak onvoldoende alarmerend en vertellen bedrijven niet welke maatregelen ze hebben genomen om verder misbruik te voorkomen. In een derde van de mails staat niet wat gebruikers zelf kunnen doen om de schade te beperken. En dat zijn allemaal dingen die er eigenlijk wel in horen van de AVG.

Ik kreeg even juridische jeuk van de passage over modebedrijf Livera, die ik jullie dan ook niet wil onthouden:

In het bericht met de kop ‘Bescherming van persoonsgegevens bij Livera hoogste prioriteit’ wordt eerst de bedrijfsstructuur en de aandacht van Livera voor gegevensbescherming beschreven; pas in de derde alinea wordt vermeld dat het moederbedrijf is gehackt en dat persoonsgegevens van klanten mogelijk zijn ingezien.

Deze is wel erg cru, maar berichten met koppen als “Mededeling naar aanleiding van publiciteit” zie ik ook met enige regelmaat voorbij komen. Gelukkig zijn er ook bedrijven die mensen wel adequaat informeren, door een keurig bericht met uitleg wat er is gelekt, welke stappen men nu heeft genomen en op welke risico’s je nu in het bijzonder zou kunnen letten. Een mooi voorbeeld blijft voor mij het datalek bij de Philips-personeelsadministratie, waarbij men zowaar een dark net monitoring service inhuurde om in de gaten te houden of NAW+bsn gegevens werden verhandeld op het nietdoorzoekbareweb.

Het achterliggende punt blijft natuurlijk: wat zou je nog meer, of nog anders moeten doen? Dan kom je al snel uit bij een schadevergoeding, wat juridisch lastig ligt omdat de schade moeilijk te kwantificeren is. Als de Shell diesel verkoopt vanuit de benzine-pomp, dan kun je vrij eenvoudig je factuur voor het reinigen van je injectiesysteem bij de pomp indienen. Maar bij persoonsgegevens? Ja, je bent kwetsbaarder voor phishing en er zal vast een AI op je profiel worden getraind, maar welk bedrag zet je daar op?

Er zijn vele stichtingen bezig met allerlei massaclaims, waarbij vaak 500 euro opduikt omdat dat eenmalig is toegekend (bij een concreet lek van medische gegevens). Het voelt ergens wat hoog, want is een datalek bij een klanttevredenheidsenqueteur nu dat echt waard? Ook is er altijd die weerstand dat die stichting dan “al dat geld pakt” terwijl het gaat om vergoeding van andermans schade. Maar als de wetgever de bal laat liggen, dan springen particuliere partijen in het gat.

Ik blijf erbij: er moet een staatje komen, het liefst door de AP, net zoals we bij letselschade al lange tijd het Smartengeldboek hebben. Want zelfs als daarin 5 euro had gestaan per betrokkene, dan had de NS nu dus een half miljoen moeten uitkeren en dát maakt niveautje-dassenburcht indruk in de Boardroom.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.