Wat is een datalek eigenlijk? En vier andere vragen over het lekken van persoonsgegevens

Wat is er aan de hand?

Door een lek bij softwareleverancier Nebu uit Wormerveer zijn tientallen bedrijven de dupe geworden van een datalek. Nebu werkt samen met veel marketingbureaus, zoals USP en Blauw. Die bureaus werken op hun beurt weer met tal van bedrijven, zoals NS, VodafoneZiggo, Stadgenoot en Vrienden van Amstel Live. De gegevens van hun klanten liggen nu op straat.

Wat is een datalek eigenlijk?

De term ‘datalek’ is een heel breed begrip, maar waar het op neerkomt is dat een onbevoegde toegang heeft gekregen tot persoonsgegevens van anderen en daarmee aan de haal is gegaan.

Een datalek neemt veel verschillende vormen aan. Een lek kan komen door een hack of cyberaanval, maar ook door een verkeerd verzonden brief. “Wanneer een groep cursisten in een mail in cc wordt gezet in plaats van bcc, waardoor alle mailadressen zichtbaar zijn voor iedere ontvanger, is er ook sprake van een datalek,” zegt Anna Berlee, hoogleraar gegevensbescherming en privacyrecht aan de Open Universiteit. “Het hoeft dus niet expres te zijn.” Sinds 2016 moeten datalekken die tot schade kunnen leiden bij slachtoffers binnen 72 uur gemeld worden bij toezichthouder Autoriteit Persoonsgegevens (AP).

Is een datalek echt zo erg?

Dat hangt onder andere af van de aard van de persoonsgegevens en de schaal van het lek, zegt Berlee. “Stel: een evenementorganisator stuurt per ongeluk een lijst met namen en dieetwensen naar de aanwezigen in plaats van de cateraar. Dat is vervelend, maar niet heel ernstig. Dit verandert zodra een datalek gevoeligere informatie bevat, zoals gezondheidsgegevens, religieuze overtuiging of seksuele oriëntatie.”

Erger wordt het wanneer er bijvoorbeeld kopietjes van identiteitsbewijzen worden aangetroffen. “Dat kunnen criminelen echt gebruiken,” zegt Dennis Davrados, coördinator datalekken bij AP. “Dit soort gegevens wordt actief verhandeld op het dark web.”

Ook wanneer adressen, telefoonnummers en mailadressen zijn gelekt, kan dat vervelende gevolgen hebben. Met die gegevens kan identiteitsfraude worden gepleegd en kunnen mensen worden opgelicht via bijvoorbeeld phishingberichten, babbeltrucs en WhatsAppfraude.

Er lijken de laatste tijd veel meer datalekken te zijn dan eerst. Hoe kan dat?

In 2021 ontving de Autoriteit Persoonsgegevens (AP) 24.866 datalekmeldingen. Dat is een stijging van 4 procent ten opzichte van 2020. Het aantal cyberaanvallen – één soort datalek – steeg met maar liefst 88 procent.

Davrados: “We denken dat het komt doordat we steeds digitaler leven. Ook werken organisaties steeds vaker met ICT-leveranciers, die gegevens op grote servers opslaan. Omdat zij veel persoonlijke gegevens samenbrengen, zijn ze een ideaal doelwit voor cyberaanvallen.”

Toch betekenen de cijfers niet dat er echt meer datalekken zijn. Berlee: “Er is meer aandacht voor datalekken en het privacybewustzijn is gestegen. De boetes die AP heeft opgelegd in het verleden voor te laat gemelde datalekken helpen ook, zoals de boete van bijna een half miljoen voor Booking.”

Wat als je zelf slachtoffer bent geworden van een datalek?

Vaak geeft de verwerkingsverantwoordelijke – verantwoordelijk voor jouw persoonsgegevens – aan wat je het beste kunt doen. Soms is het verstandig om wachtwoorden aan te passen, andere keren is het goed om op te passen voor phishingmails.

Een datalek zelf voorkomen, kan eigenlijk niet. Maar er zijn wel maatregelen die het risico kunnen verkleinen. De belangrijkste: wees kritisch in welke informatie je verstrekt aan organisaties. Davrados: “Er zijn tal van tools die je kunnen helpen. Wanneer je een kopie van je paspoort moet uploaden, download dan de app KopieID van de overheid om een watermerk toe te voegen.” Ook wachtwoordmanagers en mailafschermers (zoals Hide my Email) kunnen handig zijn. Berlee: “En als je een mail niet vertrouwt, bel dan altijd even met de klantenservice van de officiële website.”

Luister naar onze wekelijkse podcast Amsterdam wereldstad: