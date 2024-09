Organisaties die met een datalek te maken krijgen informeren slachtoffers onvoldoende, zodat die onvoldoende weten wat de risico's zijn en wat ze zelf kunnen doen, zo stelt de Autoriteit Persoonsgegevens (AP) vandaag. De toezichthouder baseert zich op onderzoek naar de grootste datalekken die vorig jaar bekend werden. Om organisaties in Nederland op weg te helpen heeft de AP concrete voorbeeldteksten voor waarschuwingsberichten over datalekken gepubliceerd.

Uit het onderzoek van de AP blijkt dat organisaties traag zijn met het versturen van waarschuwingsberichten. Gemiddeld gebeurt dit pas na ruim drie weken na ontdekking van het datalek. In bijna de helft van de berichten staat niet duidelijk wat er is gebeurd en welke gegevens er zijn gelekt. Meer dan de helft van alle berichten zijn bovendien niet helder genoeg geschreven. Verder zijn niet alle waarschuwende e-mails voorzien van een alarmerende titel of introductie. Hierdoor bestaat het risico dat de ontvanger het bericht helemaal niet leest.

Organisaties lieten de AP weten dat ze moeite hebben om jargon in hun waarschuwingsberichten te vermijden. Daarnaast zou de vertraging bij het versturen worden veroorzaakt doordat veel verschillende collega’s het bericht moeten goedkeuren. Ook willen organisaties onderzoek naar het datalek afwachten voordat zij mensen informeren, om zo te voorkomen dat zij mensen snel maar onvolledig informeren.

De AP adviseert om snel een bericht te sturen met de informatie die beschikbaar is, waarna de organisatie altijd een aanvullend bericht kan sturen. "Een snel, informatief waarschuwingsbericht helpt jou om je te wapenen", zegt AP-voorzitter Aleid Wolfsen. "Welke gegevens van jou zijn gestolen? Wanneer? Wat kan je hier eventueel nog tegen doen? Datacriminelen worden steeds brutaler in het oplichten en afpersen van mensen. Dus worden waarschuwingsberichten na datalekken steeds belangrijker."