Slachtoffer van een datalek? Dit kunt u doen

Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?

Direct een datalek melden of datalektip geven

Dit kunt u doen als u slachtoffer bent

Krijgt u bericht van een organisatie dat uw persoonsgegevens zijn getroffen door een datalek? Bijvoorbeeld van uw bank of telecombedrijf? Kijk dan eerst goed wat er is precies is gelekt over u. Vervolgens kunt u dit doen:

Wijzig uw wachtwoord

Zijn uw e-mailadres en wachtwoord gelekt? Verander dan voor de zekerheid uw wachtwoord. Gebruikt u hetzelfde wachtwoord op verschillende websites? Verander dan ook op deze websites uw wachtwoord.

Wees alert op phishing

Phishing is een vorm van fraude waarbij criminelen proberen gegevens van u te achterhalen. Zoals inloggegevens, creditcardinformatie, pincodes of informatie op uw identiteitsbewijs. Dit doen ze door bijvoorbeeld een nepmail te sturen. Hoe meer persoonsgegevens de criminelen van u hebben, hoe echter het kan lijken.

Let daarom goed op als u e-mails, WhatsAppberichtjes, sms’jes of telefoontjes krijgt waarbij iemand zegt contact met u op te nemen namens een bepaalde organisatie. En waarbij diegene bijvoorbeeld aan u vraagt om gegevens door te geven. Of op een link te klikken en vervolgens op een website die vertrouwd lijkt uw gegevens in te vullen.

Check altijd of u ook daadwerkelijk met deze organisatie te maken heeft. Vertrouwt u het niet? Hang dan op of verwijder het bericht. U kunt daarna ook zelf contact opnemen met de organisatie. En klik niet zomaar op een link, maar ga zelf naar de website van de organisatie.

Of een mail die u heeft ontvangen mogelijk een phishingmail is, kunt u herkennen door goed te kijken wat er in het mailtje staat:

• Komt het e-mailadres overeen met de naam van de organisatie? Wat staat er achter het @-teken?
• Staat in de aanhef van de mail iets algemeens als ‘Geachte mijnheer/mevrouw’ of staat er daadwerkelijk uw (volledige) naam? Let op: uw naam kan ook zijn afgeleid uit uw e-mailadres. Ook met uw naam in de aanhef kan het dus nog steeds een phishingmail zijn.
• Staat in de mail de vraag om op een link te klikken om uw gegevens ‘aan te vullen’ of ‘te controleren’?
• Wordt u onder druk gezet om snel actie te ondernemen? Of wordt u iets beloofd wat te mooi is om waar te zijn?

Zo herkent en voorkomt u identiteitsfraude

Een van de risico's na een datalek is identiteitsfraude. Bij identiteitsfraude maken criminelen misbruik van uw gegevens. Bijvoorbeeld door op uw naam:

• spullen te kopen zonder te betalen;
• een lening af te sluiten;
• een telefoonabonnement af te sluiten.

Tip: Houd na een datalek in de gaten of u vreemde dingen ziet gebeuren op uw bankrekening. En of u mailtjes krijgt over aankopen die u helemaal niet heeft gedaan.

Combinatie van gegevens

Niet alle datalekken maken identiteitsfraude mogelijk. Met losse gegevens (bijvoorbeeld alleen een BSN) kan een fraudeur niet veel. Het gaat om de combinatie van gegevens. Daarom is het bijvoorbeeld wel een risico als een kopie van uw identiteitsbewijs is gelekt.

Tip: Wees voorzichtig met wat u op sociale media en andere plekken op internet plaatst. Hoe meer informatie van u openbaar beschikbaar is, hoe makkelijker het is voor een fraudeur om extra gegevens van u te vinden. En die te combineren met de gelekte gegevens.

Slachtoffer van identiteitsfraude

Bent u slachtoffer geworden van identiteitsfraude?

• Meld dit dan bij  het Centraal Meldpunt Identiteitsfraude (CMI). Het CMI helpt u om de gevolgen van identiteitsfraude op te lossen.
• Doe daarnaast aangifte bij de politie van identiteitsfraude.

Meer informatie over identiteitsfraude

Wilt u meer weten over identiteitsfraude, lees dan:

• de brochure Geef oplichters geen kans: Identiteitsfraude van het ministerie van BZK.
• Online identiteitsfraude op de website van de politie.
• Identiteitsfraude op de website van de Rijksoverheid.

Schadevergoeding voor datalek

Zijn uw gegevens getroffen door een datalek? En heeft u hierdoor schade geleden? Dan heeft u mogelijk recht op een schadevergoeding. Hiervoor gelden wel enkele voorwaarden. U heeft dus niet altijd recht op een schadevergoeding.

Voorwaarden schadevergoeding

Wilt u in aanmerking komen voor een schadevergoeding? Dan gelden deze 3 voorwaarden:

1. Het datalek is ontstaan omdat de organisatie zich niet aan de Algemene verordening gegevensbescherming (AVG) hield. Bijvoorbeeld omdat de organisatie uw persoonsgegevens niet goed genoeg beveiligde.
2. U heeft door het datalek schade geleden. U kunt voor zowel financiële schade als immateriële schade een vergoeding vragen. Wat immateriële schade precies is, staat niet concreet in de wet. U kunt bijvoorbeeld immateriële schade lijden als u in uw eer bent aangetast of als uw goede naam is geschaad. Ook kunt u stress hebben omdat u gegronde vrees heeft voor misbruik van uw persoonsgegevens. Sommige persoonsgegevens zijn gevoelig voor misbruik. Zoals creditcardgegevens, niet-afgeschermde kopieën van uw ID-bewijs (niet-afgeschermd betekent dat alle gegevens zichtbaar zijn, zoals uw BSN) en bijzondere persoonsgegevens. Om in aanmerking te komen voor een schadevergoeding, is het niet nodig dat uw gegevens ook echt zijn misbruikt.
3. De schade die u heeft geleden komt doordat de organisatie zich niet aan de AVG hield er is daar dus een gevolg van (causaal verband).

Geen recht op schadevergoeding

U heeft niet in alle gevallen recht op schadevergoeding. Dat er een datalek is geweest, betekent niet automatisch dat de organisatie in strijd met de AVG heeft gehandeld. Ook moet u kunnen aantonen dat u schade heeft geleden.

Schadevergoeding claimen

Win altijd eerst juridisch advies in voordat u een schadeclaim indient. Een claim dient u in bij de organisatie die verantwoordelijk is voor het datalek. Bent u niet tevreden met de afhandeling van uw claim? Vraag ook dan juridisch advies over de stappen die u verder kunt zetten, zoals naar de rechter gaan.

Let op: De AP speelt hierin geen rol. De AP kan u ook geen informatie of advies geven over de vraag of u recht heeft op schadevergoeding en/of over de hoogte van de schadevergoeding.

Recht op schadevergoeding in de AVG

In artikel 82 AVG staat dat u recht heeft op schadevergoeding als u schade lijdt doordat een organisatie in strijd met de AVG handelt.

Tip de AP over een datalek

Heeft u het vermoeden dat er een datalek heeft plaatsgevonden bij een bepaalde organisatie? Dan kunt een datalektip indienen bij de AP over dit mogelijke datalek. Maar eerst is het belangrijk dat u het mogelijke datalek doorgeeft aan de organisatie zelf.

Een organisatie kan pas wat tegen een datalek doen als de organisatie weet dat er een datalek is. En pas als de organisatie kennis heeft van een datalek, kan de organisatie verplicht zijn het datalek te melden bij de AP en aan de slachtoffers.

Zo voorkomt u een datalek

Organisaties zijn verantwoordelijk voor het goed beveiligen van uw persoonsgegevens. Toch kan een datalek iedere organisatie overkomen. Bijvoorbeeld door een menselijke fout. Gelukkig kunt u zelf ook iets doen om zo veel mogelijk te voorkomen dat bij een datalek uw gegevens op straat liggen. Dit kunt u doen:

• Gebruik niet overal hetzelfde wachtwoord. U kunt daarvoor gebruikmaken van een wachtwoordmanager. Die bewaart uw wachtwoorden en kan ook sterke wachtwoorden voor u maken.
• Biedt een organisatie een inlogmethode aan waarbij u niet alleen uw gebruikersnaam en wachtwoord moet invoeren, maar daarnaast bijvoorbeeld een code per sms? Maak daar dan gebruik van. Dit wordt meerfactorauthenticatie of MFA genoemd.
• Let goed op wie om uw gegevens vraagt en op welke manier. Wees zelf de baas over uw gegevens. Vraagt bijvoorbeeld een bedrijf om gegevens die het helemaal niet nodig heeft om u een dienst te verlenen? Geef uw gegevens dan niet.
• Maak gebruik van uw privacyrechten. Vraag organisaties bijvoorbeeld om bepaalde gegevens van u te wissen. Hoe minder gegevens organisaties van u hebben, hoe minder risico u loopt.