Slachtoffer van een datalek? Dit kunt u doen

Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?

Direct een datalek melden of datalektip geven

Dit kunt u doen als u slachtoffer bent

Krijgt u bericht van een organisatie dat uw persoonsgegevens zijn getroffen door een datalek? Bijvoorbeeld van uw bank of telecombedrijf? Kijk dan eerst goed wat er is precies is gelekt over u. Vervolgens kunt u dit doen:

Wijzig uw wachtwoord

Zijn uw e-mailadres en wachtwoord gelekt? Verander dan voor de zekerheid uw wachtwoord. Gebruikt u hetzelfde wachtwoord op verschillende websites? Verander dan ook op deze websites uw wachtwoord.

Wees alert op phishing

Phishing is een vorm van fraude waarbij criminelen proberen gegevens van u te achterhalen. Zoals inloggegevens, creditcardinformatie, pincodes of informatie op uw identiteitsbewijs. Dit doen ze door bijvoorbeeld een nepmail te sturen. Hoe meer persoonsgegevens de criminelen van u hebben, hoe echter het kan lijken.

Let daarom goed op als u e-mails, WhatsAppberichtjes, sms’jes of telefoontjes krijgt waarbij iemand zegt contact met u op te nemen namens een bepaalde organisatie. En waarbij diegene bijvoorbeeld aan u vraagt om gegevens door te geven. Of op een link te klikken en vervolgens op een website die vertrouwd lijkt uw gegevens in te vullen.

Check altijd of u ook daadwerkelijk met deze organisatie te maken heeft. Vertrouwt u het niet? Hang dan op of verwijder het bericht. U kunt daarna ook zelf contact opnemen met de organisatie. En klik niet zomaar op een link, maar ga zelf naar de website van de organisatie.

Of een mail die u heeft ontvangen mogelijk een phishingmail is, kunt u herkennen door goed te kijken wat er in het mailtje staat:

• Komt het e-mailadres overeen met de naam van de organisatie? Wat staat er achter het @-teken?
• Staat in de aanhef van de mail iets algemeens als ‘Geachte mijnheer/mevrouw’ of staat er daadwerkelijk uw (volledige) naam? Let op: uw naam kan ook zijn afgeleid uit uw e-mailadres. Ook met uw naam in de aanhef kan het dus nog steeds een phishingmail zijn.
• Staat in de mail de vraag om op een link te klikken om uw gegevens ‘aan te vullen’ of ‘te controleren’?
• Wordt u onder druk gezet om snel actie te ondernemen? Of wordt u iets beloofd wat te mooi is om waar te zijn?

Zo herkent en voorkomt u identiteitsfraude

Een van de risico's na een datalek is identiteitsfraude. Bij identiteitsfraude maken criminelen misbruik van uw gegevens. Bijvoorbeeld door op uw naam:

• spullen te kopen zonder te betalen;
• een lening af te sluiten;
• een telefoonabonnement af te sluiten.

Tip: Houd na een datalek in de gaten of u vreemde dingen ziet gebeuren op uw bankrekening. En of u mailtjes krijgt over aankopen die u helemaal niet heeft gedaan.

Combinatie van gegevens

Niet alle datalekken maken identiteitsfraude mogelijk. Met losse gegevens (bijvoorbeeld alleen een BSN) kan een fraudeur niet veel. Het gaat om de combinatie van gegevens. Daarom is het bijvoorbeeld wel een risico als een kopie van uw identiteitsbewijs is gelekt.

Tip: Wees voorzichtig met wat u op sociale media en andere plekken op internet plaatst. Hoe meer informatie van u openbaar beschikbaar is, hoe makkelijker het is voor een fraudeur om extra gegevens van u te vinden. En die te combineren met de gelekte gegevens.

Slachtoffer van identiteitsfraude

Bent u slachtoffer geworden van identiteitsfraude?

• Meld dit dan bij  het Centraal Meldpunt Identiteitsfraude en -fouten (CMI). Het CMI helpt u om de gevolgen van identiteitsfraude op te lossen.
• Doe daarnaast aangifte bij de politie van identiteitsfraude.

Meer informatie over identiteitsfraude

Wilt u meer weten over identiteitsfraude, lees dan:

• de brochure Geef oplichters geen kans: Identiteitsfraude van het ministerie van BZK.
• Online identiteitsfraude op de website van de politie.
• Identiteitsfraude op de website van de Rijksoverheid.

Schadevergoeding voor datalek

Zijn uw gegevens getroffen door een datalek? En heeft u hierdoor schade geleden? Dan heeft u mogelijk recht op een schadevergoeding.

U heeft volgens artikel 82 AVG recht op schadevergoeding als u schade lijdt doordat een organisatie in strijd met de AVG handelt. En dit deze organisatie kan worden verweten.

Een organisatie is niet aansprakelijk als de organisatie bewijst op geen enkele manier verantwoordelijk te zijn voor het datalek waardoor u schade heeft.

Dat er een datalek heeft plaatsgevonden, betekent niet automatisch dat de organisatie in strijd met de AVG heeft gehandeld. Niet ieder datalek is de schuld van de organisatie waar het datalek heeft plaatsgevonden.

Soorten schade

U kunt voor zowel financiële schade als immateriële schade een vergoeding vragen. Wat immateriële schade precies is, staat niet concreet in de wet. U kunt bijvoorbeeld immateriële schade lijden als u in uw eer bent aangetast of als uw goede naam is geschaad.

Schadevergoeding vragen

Een civiele rechter beoordeelt een vordering om schadevergoeding. De AP speelt hierin geen rol. De AP kan u ook geen informatie of advies geven over het bepalen van de schade en over de hoogte van de schadevergoeding.

Tip de AP over een datalek

Heeft u het vermoeden dat er een datalek heeft plaatsgevonden bij een bepaalde organisatie? Dan kunt een datalektip indienen bij de AP over dit mogelijke datalek. Maar eerst is het belangrijk dat u het mogelijke datalek doorgeeft aan de organisatie zelf.

Een organisatie kan pas wat tegen een datalek doen als de organisatie weet dat er een datalek is. En pas als de organisatie kennis heeft van een datalek, kan de organisatie verplicht zijn het datalek te melden bij de AP en aan de slachtoffers.

Zo voorkomt u een datalek

Organisaties zijn verantwoordelijk voor het goed beveiligen van uw persoonsgegevens. Toch kan een datalek iedere organisatie overkomen. Bijvoorbeeld door een menselijke fout. Gelukkig kunt u zelf ook iets doen om zo veel mogelijk te voorkomen dat bij een datalek uw gegevens op straat liggen. Dit kunt u doen:
 

• Gebruik niet overal hetzelfde wachtwoord. U kunt daarvoor gebruikmaken van een wachtwoordmanager. Die bewaart uw wachtwoorden en kan ook sterke wachtwoorden voor u maken.
• Biedt een organisatie een inlogmethode aan waarbij u niet alleen uw gebruikersnaam en wachtwoord moet invoeren, maar daarnaast bijvoorbeeld een code per sms? Maak daar dan gebruik van. Dit wordt meerfactorauthenticatie of MFA genoemd.
• Let goed op wie om uw gegevens vraagt en op welke manier. Wees zelf de baas over uw gegevens. Vraagt bijvoorbeeld een bedrijf om gegevens die het helemaal niet nodig heeft om u een dienst te verlenen? Geef uw gegevens dan niet.
• Maak gebruik van uw privacyrechten. Vraag organisaties bijvoorbeeld om bepaalde gegevens van u te wissen. Hoe minder gegevens organisaties van u hebben, hoe minder risico u loopt.