Slachtoffer van een datalek? Dit kunt u doen

Heeft u bericht gehad van een organisatie dat uw gegevens zijn gelekt? Of heeft u het vermoeden dat er een datalek is geweest bij een bepaalde organisatie? Dan leest u op deze pagina wat u kunt doen.

Op deze pagina

Dit kunt u doen als u slachtoffer bent

Krijgt u bericht van een organisatie dat uw persoonsgegevens onderdeel zijn van een datalek? Bijvoorbeeld bij uw bank of telecombedrijf? Dat kan vervelende gevolgen voor u hebben. Toch kunt u vaak nog iets doen om uzelf te beschermen tegen de gevolgen van het datalek. En zo de schade beperken.

Wat u precies kunt doen hangt af van welke gegevens van u zijn gelekt, en wie toegang tot deze gegevens heeft (gehad). De organisatie informeert u hier meestal over in een waarschuwingsbericht. U kunt ook extra informatie vragen bij de organisatie.

Wat kunt u doen? Hieronder enkele tips.

E-mailadres en wachtwoord gelekt? Wijzig uw wachtwoorden

Zijn uw e-mailadres en wachtwoord gelekt? Verander dan voor de zekerheid uw wachtwoord. Gebruikt u hetzelfde wachtwoord op verschillende websites? Verander dan ook op deze websites uw wachtwoord.

E-mailadres of telefoonnummer gelekt? Wees alert op phishing

Phishing is een vorm van fraude waarbij criminelen proberen gegevens van u te achterhalen. Zoals inloggegevens, creditcardinformatie, pincodes of informatie op uw identiteitsbewijs. Dit doen ze door bijvoorbeeld een nepmail te sturen. Hoe meer persoonsgegevens de criminelen van u hebben, hoe echter het kan lijken.

Let daarom goed op als u e-mails, WhatsAppberichtjes, sms’jes of telefoontjes krijgt waarbij iemand zegt contact met u op te nemen namens een bepaalde organisatie. En waarbij diegene bijvoorbeeld aan u vraagt om gegevens door te geven. Of op een link te klikken en vervolgens op een website die vertrouwd lijkt uw gegevens in te vullen.

Check altijd of u ook daadwerkelijk met deze organisatie te maken heeft. Vertrouwt u het niet? Hang dan op of verwijder het bericht. U kunt daarna ook zelf contact opnemen met de organisatie. En klik niet zomaar op een link, maar ga zelf naar de website van de organisatie.

Of een mail die u heeft ontvangen mogelijk een phishingmail is, kunt u herkennen door goed te kijken wat er in het mailtje staat:

  • Komt het e-mailadres overeen met de naam van de organisatie? Wat staat er achter het @-teken?
  • Staat in de aanhef van de mail iets algemeens als ‘Geachte mijnheer/mevrouw’ of staat er daadwerkelijk uw (volledige) naam? Let op: uw naam kan ook zijn afgeleid uit uw e-mailadres. Ook met uw naam in de aanhef kan het dus nog steeds een phishingmail zijn.
  • Staat in de mail de vraag om op een link te klikken om uw gegevens ‘aan te vullen’ of ‘te controleren’?
  • Wordt u onder druk gezet om snel actie te ondernemen? Of wordt u iets beloofd wat te mooi is om waar te zijn?

Identiteitsbewijs gelekt? Zo herkent en voorkomt u identiteitsfraude

Een van de risico's na een datalek is identiteitsfraude. Bij identiteitsfraude maken criminelen misbruik van uw gegevens. Bijvoorbeeld door op uw naam:

  • spullen te kopen zonder te betalen;
  • een lening af te sluiten;
  • een telefoonabonnement af te sluiten.

ID-bewijs

Niet alle datalekken maken identiteitsfraude mogelijk. Met losse gegevens (bijvoorbeeld alleen een BSN) kan een fraudeur niet veel. Het gaat om de combinatie van gegevens. Daarom is het bijvoorbeeld wel een risico als een kopie van uw identiteitsbewijs is gelekt.

Om de kans op identiteitsfraude te verkleinen, meldt u bij uw gemeente dat uw identiteitsbewijs is gestolen. U kunt bij uw gemeente een nieuw identiteitsbewijs aanvragen.

Slachtoffer van identiteitsfraude

Bent u slachtoffer geworden van identiteitsfraude?

Meer informatie over identiteitsfraude

Wilt u meer weten over identiteitsfraude, lees dan:

Tip de AP over een datalek

Heeft u het vermoeden dat er een datalek heeft plaatsgevonden bij een bepaalde organisatie? Dan kunt een datalektip indienen bij de AP over dit mogelijke datalek. Maar eerst is het belangrijk dat u het mogelijke datalek doorgeeft aan de organisatie zelf.

Een organisatie kan pas wat tegen een datalek doen als de organisatie weet dat er een datalek is. En pas als de organisatie kennis heeft van een datalek, kan de organisatie verplicht zijn het datalek te melden bij de AP en aan de slachtoffers.

Schadevergoeding voor datalek

Zijn uw gegevens getroffen door een datalek? En heeft u hierdoor schade geleden? Dan heeft u mogelijk recht op een schadevergoeding. Hiervoor gelden wel enkele voorwaarden. U heeft dus niet altijd recht op een schadevergoeding.

Voorwaarden schadevergoeding

Wilt u in aanmerking komen voor een schadevergoeding? Dan gelden deze 3 voorwaarden:

  1. Het datalek is ontstaan omdat de organisatie zich niet aan de Algemene verordening gegevensbescherming (AVG) hield. Bijvoorbeeld omdat de organisatie uw persoonsgegevens niet goed genoeg beveiligde.
  2. U heeft door het datalek schade geleden. U kunt voor zowel financiële schade als immateriële schade een vergoeding vragen. Wat immateriële schade precies is, staat niet concreet in de wet. U kunt bijvoorbeeld immateriële schade lijden als u in uw eer bent aangetast of als uw goede naam is geschaad. Ook kunt u stress hebben omdat u gegronde vrees heeft voor misbruik van uw persoonsgegevens. Sommige persoonsgegevens zijn gevoelig voor misbruik. Zoals creditcardgegevens, niet-afgeschermde kopieën van uw ID-bewijs (niet-afgeschermd betekent dat alle gegevens zichtbaar zijn, zoals uw BSN) en bijzondere persoonsgegevens. Om in aanmerking te komen voor een schadevergoeding, is het niet nodig dat uw gegevens ook echt zijn misbruikt.
  3. De schade die u heeft geleden komt doordat de organisatie zich niet aan de AVG hield er is daar dus een gevolg van (causaal verband).

Geen recht op schadevergoeding

U heeft niet in alle gevallen recht op schadevergoeding. Dat er een datalek is geweest, betekent niet automatisch dat de organisatie in strijd met de AVG heeft gehandeld. Ook moet u kunnen aantonen dat u schade heeft geleden.

Schadevergoeding claimen

Win altijd eerst juridisch advies in voordat u een schadeclaim indient. Een claim dient u in bij de organisatie die verantwoordelijk is voor het datalek. Bent u niet tevreden met de afhandeling van uw claim? Vraag ook dan juridisch advies over de stappen die u verder kunt zetten, zoals naar de rechter gaan.

Let op: De AP speelt hierin geen rol. De AP kan u ook geen informatie of advies geven over de vraag of u recht heeft op schadevergoeding en/of over de hoogte van de schadevergoeding.

Recht op schadevergoeding in de AVG

In artikel 82 AVG staat dat u recht heeft op schadevergoeding als u schade lijdt doordat een organisatie in strijd met de AVG handelt.

Zo houdt u grip op uw gegevens

Organisaties zijn verantwoordelijk voor het goed beveiligen van uw persoonsgegevens. Toch kan een datalek iedere organisatie overkomen. Bijvoorbeeld door een menselijke fout. Gelukkig kunt u zelf ook iets doen om zo veel mogelijk te voorkomen dat bij een datalek uw gegevens op straat liggen. Dit kunt u doen:

  • Gebruik overal een ander wachtwoord. U kunt daarvoor gebruikmaken van een wachtwoordmanager. Die bewaart uw wachtwoorden en kan ook sterke wachtwoorden voor u maken.
  • Biedt een organisatie een extra beveiligde inlogmethode aan? Maak daar dan gebruik van.U moet dan bijvoorbeeld ook een code invoeren die u via uw telefoon krijgt, naast uw gebruikersnaam en wachtwoord. Dit wordt meerfactorauthenticatie of MFA genoemd.
  • Let goed op wie om uw gegevens vraagt en op welke manier. Wees zelf de baas over uw gegevens. Vraagt bijvoorbeeld een bedrijf om gegevens die het helemaal niet nodig heeft om u een dienst te verlenen? Geef uw gegevens dan niet.
  • Maak gebruik van uw privacyrechten. Vraag organisaties bijvoorbeeld om bepaalde gegevens van u te wissen. Bijvoorbeeld als u een account voor een webshop niet meer gebruikt. Hoe minder gegevens organisaties van u hebben, hoe minder risico u loopt.