Privacywaakhond: bedrijven melden ernstige cyberaanvallen te vaak niet

Bedrijven die gehackt zijn, onderschatten de gevolgen daarvan. Gebruikers van wie gegevens worden gestolen, worden vaak niet geïnformeerd, ook niet als dat wel moet. Dat constateert de Autoriteit Persoonsgegevens.

Het gaat dan om aanvallen waarbij bijvoorbeeld betaaldata, paspoortgegevens of andere gevoelige data zijn buitgemaakt. Criminelen kunnen dat soort gegevens gebruiken voor gerichte phishing-aanvallen of identiteitsfraude.

"Soms denken bedrijven dat de gestolen data niet zo veel kwaad kunnen, maar soms melden ze het ook gewoon niet omdat ze bang zijn voor imagoschade", zegt Dennis Davrados, coördinator datalekken bij de Autoriteit Persoonsgegevens.

Wettelijk verplicht

Als zogenoemde bijzondere persoonsgegevens werden buitgemaakt, bijvoorbeeld data over seksuele voorkeur of geloof, werden klanten in 62 procent van de gevallen niet geïnformeerd. Dat terwijl het in zo'n geval wettelijk verplicht is, waarschuwt de Autoriteit Persoonsgegevens.

Als kopieën van paspoorten of creditcardgegevens werden gestolen, werden klanten vaker geïnformeerd, maar nog altijd gebeurde dat bij circa 40 procent van de gevallen niet. Ook in die gevallen is het wel verplicht.

Voorkomen

Het is belangrijk dat bedrijven datalekken wél melden, zegt Rebecca Smits van Slachtofferhulp, dat ook slachtoffers van digitale misdrijven bijstaat. "Dan kun je als slachtoffer extra maatregelen nemen en wellicht voorkomen dat criminelen er misbruik van maken", zegt Smits. Al is helemaal voorkomen lastig. "Je kunt niet alles dichttimmeren."

Hoe vaak criminelen gestolen data gebruiken voor aanvallen, is niet bekend. Vorig jaar registreerde Slachtofferhulp 29.000 fraudegevallen, waarvan 5500 gevallen van identiteitsfraude, maar daarbij gaat het zowel om online- als offline-criminaliteit.