Steeds meer datalekken: wat betekent dat voor jou?

Sander Bockting werd ook het slachtoffer van een datalek. Hij had een speciaal e-mailadres dat hij enkel gebruikt voor zijn communicatie met zijn energieleverancier, NLE. Juist op dat e-mailadres ontving hij ineens een phishingmail uit naam van zijn bank. De juiste persoonsgegevens, zoals zijn naam en rekeningnummer, waren al ingevuld.

Daarom doet Sander navraag bij NLE. In eerste instantie krijgt hij te horen dat hij geen onderdeel was van het datalek dat bij hen had plaatsgevonden. Maar de gelekte gegevens zijn direct te herleiden naar de leverancier, dus geeft Sander niet op. Uiteindelijk weet NLE hem te vertellen dat hij niet in de groep 'zekere gevallen' viel en daarom geen melding heeft gehad.

NLE laat aan Kassa weten volgens de AVG te hebben gehandeld en zich ook te hebben gehouden aan de termijn waarbinnen persoonsgegevens bewaard mogen blijven.

De berichten over nieuwe datalekken lijken elkaar de afgelopen tijd in een rap tempo op te volgen. Volgens tech-deskundige en jurist Danny Mekić moeten bedrijven een datalek  volgens de AVG direct melden bij de toezichthouder en ook bij klanten die een hoog risico lopen dat hun gegevens in verkeerde handen zijn gekomen. Deze risicoafweging kan er echter voor zorgen dat niet alle klanten geïnformeerd worden, terwijl zij mogelijk toch onderdeel van het lek zijn geweest.

Mekić geeft drie tips om jezelf te kunnen beschermen:

1. Gebruik altijd een uniek wachtwoord voor elke site en gebruik een wachtwoordmanager.
2. Met een extra sim kun je een extra telefoonnummer aanmaken, dat je enkel gebruikt voor webshops.
3. Maak unieke e-mailadressen aan voor de bedrijven waar je interactie mee hebt of een account bij hebt. Dezek un je bij de meeste e-mailprogramma's gemakkelijk aamaken door te zoeken naar 'subaccounts'. Je kunt dan bijvoorbeeld een e-mailadres aanmaken met 'je naam' plus 'naam bedrijf'. Zo kun je het direct zien als er bij een van die partijen een datalek is, doordat je op dat e-mailadres ineens een phishingmail ontvangt uit naam van een bank of een andere instantie die dat e-mailadres helemaal niet kan hebben.

Voor stap 3 hebben we een extra uitleg voor Gmail-gebruikers. Stel: je mailadres is 'kassa@gmail.com'. Dan kun je voor Facebook het adres 'kassa+facebook@gmail.com' gebruiken. E-mails naar dat adres komen dan ook in jouw mailbox terecht, maar je kunt daaraan zien hoe de afzender aan je gegevens komt.

De Autoriteit Persoonsgegevens, de toezichthouder, geeft aan te weinig menskracht en budget te hebben om de meeste datalekken te onderzoeken. In 2019 werd bijvoorbeeld maar 0,3 procent van de datalekken verder onderzocht door de toezichthouder. Ook kan het een half jaar duren voor je bericht krijgt op een melding. De complete reactie van de toezichthouder lees je hieronder.