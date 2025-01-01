Organisaties die te maken krijgen met een datalek, waarbij ook kopieën van identiteitskaarten of paspoorten worden gestolen, doen er verstandig aan om hun personeel te adviseren een nieuw identiteitsbewijs aan te vragen. Het advies is afkomstig van project Melissa, een samenwerkingsverband van het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse cybersecuritybedrijven dat zich bezig houdt met de bestrijding van ransomware (pdf).

Project Melissa heeft een nieuw document gepubliceerd waarin het beschrijft wat organisaties die zijn getroffen door een datalek kunnen doen om secundair slachtofferschap te voorkomen. Hierbij worden mensen die slachtoffer zijn van een datalek opnieuw slachtoffer, alleen dan van fraude of ander misbruik dat met de gestolen gegevens is gepleegd. Denk bijvoorbeeld aan identiteitsfraude of WhatsAppfraude waarbij criminelen zich door middel van de gestolen data als het slachtoffer voordoen.

In het adviesdocument wordt organisaties aangeraden wat ze naar medewerkers kunnen communiceren, hoe ze voorkomen dat medewerkers slachtoffer worden van identiteitsfraude, hoe medewerkers die (alsnog) slachtoffer worden zijn te begeleiden en wat er kan worden gedaan om schade door datadiefstal (in de toekomst) te beperken. "Het is belangrijk om na een datadiefstal slachtoffers transparant te informeren over welke data (mogelijk) van hen gestolen zijn. Wees daarbij zo compleet mogelijk, zodat zij bij een eventueel gebruik van hun data door kwaadwillenden niet worden verrast", krijgen organisaties het advies.

Wanneer er digitale kopieën van persoonlijke identiteitsbewijzen zijn gestolen is het volgens project Melissa een verstandige maatregel om het identiteitsbewijs te vervangen door een nieuwe en de oude ongeldig te laten verklaren door de gemeente. "Het is goed om dit aan de getroffen medewerkers te adviseren en uitleg te geven hoe zij dit moeten regelen. Het is prettig voor medewerkers als zij een stappenplan van de organisatie ontvangen over hoe zij nieuwe identiteitsbewijzen kunnen aanvragen en hun oude ongeldig kunnen laten verklaren", laat het document verder weten. Daarin staat ook dat organisaties ervoor kunnen kiezen om de vervanging van id-bewijzen geheel of gedeeltelijk aan de medewerker te vergoeden.

Dataminimalisatie

Volgens project Melissa blijkt in de praktijk dat veel organisaties worstelen met het beheer van de data met persoonsgegevens. "Het is belangrijk om in elk geval te identificeren welke informatie in een organisatie aanwezig is en waar deze is opgeslagen." Daarbij wordt ook het belang van dataminimalisatie benadrukt. "Data die er niet zijn, kunnen ook niet worden gestolen. Een open deur zo lijkt het, maar het komt helaas vaak voor dat er veel meer gegevens aanwezig zijn dan strikt noodzakelijk is."