Een datalek kan ernstige gevolgen hebben voor burgers en bedrijven. Wat kan je als burger zelf doen, en wat is het verantwoordelijke bedrijf jouw verschuldigd?
Het recente incident bij de Nederlandse telecomprovider Odido maakt het nog maar eens duidelijk: een datalek kan iedereen overkomen. We laten onze sporen voortdurend achter wanneer we producten of diensten van bedrijven aankopen. Bedrijven willen zoveel mogelijk gegevens van ons verzamelen om een goed beeld te krijgen van wie hun klanten zijn.
Als burgers kunnen we maar hopen dat er zorgvuldig met die gegevens wordt omgesprongen, maar de praktijk toont helaas dat dit niet altijd het geval is. Persoonsgegevens zijn veel waard voor cybercriminelen om bedrijven onder druk te zetten of, nog erger, zich als jou voor te doen. Maar wat kan je doen als je slachtoffer wordt van een datalek? We leggen de eerste vier vragen die iedereen zich bij een datalek zou moeten stellen voor aan de Belgische Gegevensbeschermingsautoriteit (GBA).
Hoe bescherm je jezelf tegen phishing en fraude?
Wat de risico’s van een datalek zijn, hangt af van de context van het datalek en het soort gegevens die zijn gelekt. In de meeste gevallen zal je als burger een geliefkoosd target voor phishing zijn, zeker wanneer de daders de gegevens publiek maken of te koop zetten in het criminele milieu.
lees ook
Hackers zetten eerste deel gestolen data van Odido op het darkweb
“Blijf waakzaam voor verdachte e-mails, sms’jes, telefoontjes of berichten op apps. Criminelen combineren gelekte data met publiek beschikbare informatie om gerichte, overtuigende phishingmails te sturen of zich telefonisch voor te doen als een medewerker van een bank”, waarschuwt Aurélie Waeterinckx, woordvoerster van de Belgische Gegevensbeschermingsautoriteit, in een schriftelijke reactie.
De GBA geeft enkele concrete tips om jezelf te beschermen:
- Hang op als een instelling u onverwacht belt of een bericht stuurt.
- Deel nooit informatie buiten officiële kanalen.
- Beperk de zichtbaarheid van sociale mediaprofielen.
- Controleer het mailadres van de afzender op subtiele wijzigingen in het domein (bv. ‘0’ ipv ‘o’)
- Wees sceptisch over de inhoud en klik niet op links, zeker wanneer ze exclusieve aanbiedingen of dringende verzoeken bevatten.
Met een goede wachtwoord- en accounthygiëne beperk je het risico dat uitgelekte logingegevens kunnen gebruikt worden om accounts over te nemen. De klassieke regels zijn hier om wachtwoorden niet te herhalen, te veranderen indien nodig en wanneer het kan MFA in te schakelen. Via gratis tools als HaveIBeenPwned.com kan je voor jezelf controleren of gegevens van jou in een gelekte database voorkomen.
Welke gegevens mogen bedrijven van je bewaren?
“In principe kunnen alle soorten persoonsgegevens door organisaties worden verwerkt ter voldoening van een bepaald en gerechtvaardigd doel en indien hiervoor een rechtsgrond aanwezig is”, zegt Waeterinckx. Voor zogenaamde ‘bijzondere categorieën’ van gegevens gelden wel extra regels, zoals biometrische gegevens en gegevens die je rechtstreeks kan aflezen van een identiteitskaart.
Waeterinckx: “Hier geldt het principe van minimale gegevensverwerking: er mogen niet meer gegevens worden verwerkt dan nodig is om het nagestreefde doel te bereiken. Daarnaast geldt ook het principe van minimale opslag, wat betekent dat bedrijven die gegevens niet langer mogen bewaren dan nodig.”
Ga je op hotel, dan kan je tegenwoordig niet inchecken zonder je identiteitskaart te laten scannen. Voor identiteitskaartgegevens gelden ook strikte, specifieke regels omwille van de gevoeligheid van de gegevens als die zouden uitlekken. GBA adviseert om ook zelf voorzichtig met je identiteitskaart om te springen. “Die kopieën worden vaak goed bewaard, maar niet altijd. Als diensten toch jouw identiteitskaart opvragen om daar een kopie van te nemen, maak dan onnodige informatie onleesbaar”, schrijft de woordvoerder.
Voel je je toch niet comfortabel met welke gegevens bedrijven over je hebben, weet dan dat je onder de GDPR-wet het recht hebt te eisen om die gegevens te laten verwijderen. Bedrijven zijn verplicht om ‘binnen redelijke termijn’ te reageren op dergelijke verzoeken. Maak hier een goede gewoonte van: Hoe meer data een organisatie over je verwerkt, hoe groter het risico op lekken, en dus op schade.
Zijn bedrijven verplicht je te contacteren?
Zijn jouw gegevens betrokken geraakt bij een datalek, dan ben je daar liefst zo snel mogelijk vanop de hoogte. In dat geval krijg je wellicht liever een persoonlijk bericht met verontschuldiging van het verantwoordelijke bedrijf dan dat je in het nieuws over het datalek moet lezen. De GDPR voorziet duidelijke richtlijnen voor in welke situaties bedrijven hun klanten persoonlijk op de hoogte moeten brengen.
lees ook
Een datalek in je organisatie: wat nu?
In de eerste plaats moeten bedrijven de lokale autoriteit, zoals de GBA in België, binnen 72 uur verwittigen als “waarschijnlijk een risico kan betekenen voor de rechten en vrijheden van betrokkenen”, verduidelijkt Waeterinckx. “Als het lek een hoog risico inhoudt voor de getroffen personen, moet het bedrijf ook zo snel mogelijk communiceren met de betrokkenen zelf, zodat die beschermende maatregelen kunnen nemen”. Dit is vooral essentieel wanneer het gaat om gevoelige gegevens die kunnen leiden tot identiteitsfraude, discriminatie, financiële of reputatieschade.
De kans is waarschijnlijk dat een bedrijf jou op de hoogte zal stellen, maar het kan ook zijn dat je een datalek ontdekt dat nog niet gekend is. Licht in dat geval dan ook het bedrijf in kwestie onmiddellijk in, verkieselijk via mail met screenshots als bewijs. De DPO (Data Protection Officer) is dan de persoon bij wie je moet zijn.
Overheidsinstellingen en organisaties die ‘systematisch en op grote schaal’ met persoonsgegevens omgaan, zijn onder de GDPR-wet verplicht een DPO aan te stellen. Inmiddels hebben ook veel organisaties die daar niet wettelijk toe verplicht zijn een DPO op de loonlijst. Een studie door de EDPB, het overkoepelende privacyorgaan van de Europese Unie, gepubliceerd in 2024 concludeerde echter dat DPO’s het vaak met beperkte tijd en middelen moeten stellen.
Heb je recht op compensatie?
Odido maakte zich niet populair door in zijn communicatie duidelijk te stellen dat getroffen klanten geen compensatie hoefden te verwachten. Het bedrijf gaf als argument dat de gelekte gegevens ‘geen direct’ risico vormden. Als toezichthouder heeft de GBA daar geen eindoordeel in te vellen, verduidelijkt Waeterinckx.
“De GBA is een onafhankelijke autoriteit die toezicht uitoefent op de toepassing van de AVG (GDPR) en andere bepalingen die over privacy gaan.” Burgers kunnen een bemiddelingsverzoek of een formele klacht indienen bij de autoriteit als zij menen dat een bedrijf schuld heeft aan een datalek of zijn verantwoordelijkheid niet is nagekomen. De autoriteit zal dan een onderzoek starten en indien een inbreuk wordt vastgesteld, een eventuele passende sanctie opleggen.
Voor wie een schadevergoeding wenst, blijft de weg naar de burgerlijke rechtbank noodzakelijk. Die zal over fout, schade en oorzakelijk verband oordelen. “De GBA is geen burgerlijke rechtbank die schadevergoeding mag eisen”, voegt Waeterinckx toe.
Een datalek is voor geen enkele burger of organisatie prettig. Slachtoffers doen er goed aan snel en kritisch te handelen: meld het lek indien nodig, beveilig je accounts onmiddellijk en wees extra alert voor phishing. De basis blijft: zuinig en zorgvuldig omgaan met persoonsgegevens, want voorkomen is nog altijd beter dan genezen.