Waarschuwingsberichten van organisaties met een datalek voldoen niet altijd aan de wettelijke eisen, zo blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP). De berichten zijn vaak onduidelijk, worden te laat verstuurd en geven niet voldoende aan wat de gevolgen van het datalek zijn.
De AP onderzocht de 53 grootste datalekken van 2023. Bij een datalek zijn organisaties volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht slachtoffers hierover te informeren. Deze datalekken leidden dan ook tot 26.140.791 waarschuwingsberichten, maar volgens de AP voldeed geen enkele aan alle wettelijke eisen.
Een goed waarschuwingsbericht beschrijft wat er gelekt is, hoe dat is gebeurd, wat de gevolgen zijn voor de slachtoffers, wat de slachtoffers kunnen doen en welke maatregelen de organisatie neemt. Ook is het verplicht om een contactpunt te noemen.
In meer dan de helft van de berichten staat echter niet duidelijk omschreven hoe het lek ontstaan is en wat de gevolgen kunnen zijn. In 47% ontbreekt ook informatie over de gegevens die gelekt zijn. Slachtoffers kunnen daardoor het risico op misbruik van hun persoonsgegevens niet inschatten.
Ook zijn organisaties erg traag met het versturen van de waarschuwingsberichten. Gemiddeld worden berichten pas drie weken na de ontdekking van het lek verstuurd. Bij een datalek is echter snelheid geboden, bijvoorbeeld om mensen tijdig alert te maken op het risico van phishing.
Uit een enquête bij de organisaties blijkt dat zij het lastig vinden om jargon te vermijden in hun waarschuwingsbericht. Verder willen ze niet het risico lopen dat ze mensen onvolledig informeren. Daarom wordt er te lang gewacht met het opstellen van de waarschuwingsberichten, die vaak ook nog eens door verschillende collega’s goedgekeurd moeten worden.
De AP heeft inmiddels concrete aandachtspunten en voorbeeldteksten opgesteld om organisaties te helpen met tijdig én helder communiceren over datalekken. Organisaties blijven wel zelf verantwoordelijk voor de communicatie na een datalek.
