Slachtoffer van een datalek? Dit kunt u doen
Heeft u bericht gehad van een organisatie dat uw gegevens zijn gelekt? Of heeft u het vermoeden dat er een datalek is geweest bij een bepaalde organisatie? Dan leest u op deze pagina wat u kunt doen.
Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?
Direct een datalek melden of datalektip geven
Op deze pagina
Dit kunt u doen als u slachtoffer bent
Krijgt u bericht van een organisatie dat uw persoonsgegevens onderdeel zijn van een datalek? Bijvoorbeeld bij uw bank of telecombedrijf? Dat kan vervelende gevolgen voor u hebben. Toch kunt u vaak nog iets doen om uzelf te beschermen tegen de gevolgen van het datalek. En zo de schade beperken.
Wat u precies kunt doen hangt af van welke gegevens van u zijn gelekt, en wie toegang tot deze gegevens heeft (gehad). De organisatie informeert u hier meestal over in een waarschuwingsbericht. U kunt ook extra informatie vragen bij de organisatie.
Een datalek kan ontstaan door een hack. Maar ook het (onbedoeld) vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens kan een datalek zijn. Denk aan een verloren dossier of een verkeerd geadresseerde brief.
Het is goed om te weten dat een datalek op zichzelf geen overtreding van de AVG is. Maar onvoldoende beveiliging wel. Een organisatie overtreedt de AVG ook als deze een datalek niet meldt aan de AP en slachtoffers, als dat wel had gemoeten.
Wat kunt u doen? Hieronder enkele tips.
E-mailadres en wachtwoord gelekt? Wijzig uw wachtwoorden
Zijn uw e-mailadres en wachtwoord gelekt? Verander dan voor de zekerheid uw wachtwoord. Gebruikt u hetzelfde wachtwoord op verschillende websites? Verander dan ook op deze websites uw wachtwoord.
E-mailadres of telefoonnummer gelekt? Wees alert op phishing
Phishing is een vorm van fraude waarbij criminelen proberen gegevens van u te achterhalen. Zoals inloggegevens, creditcardinformatie, pincodes of informatie op uw identiteitsbewijs. Dit doen ze door bijvoorbeeld een nepmail te sturen. Hoe meer persoonsgegevens de criminelen van u hebben, hoe echter het kan lijken.
Let daarom goed op als u e-mails, WhatsAppberichtjes, sms’jes of telefoontjes krijgt waarbij iemand zegt contact met u op te nemen namens een bepaalde organisatie. En waarbij diegene bijvoorbeeld aan u vraagt om gegevens door te geven. Of op een link te klikken en vervolgens op een website die vertrouwd lijkt uw gegevens in te vullen.
Check altijd of u ook daadwerkelijk met deze organisatie te maken heeft. Vertrouwt u het niet? Hang dan op of verwijder het bericht. U kunt daarna ook zelf contact opnemen met de organisatie. En klik niet zomaar op een link, maar ga zelf naar de website van de organisatie.
Of een mail die u heeft ontvangen mogelijk een phishingmail is, kunt u herkennen door goed te kijken wat er in het mailtje staat:
- Komt het e-mailadres overeen met de naam van de organisatie? Wat staat er achter het @-teken?
- Staat in de aanhef van de mail iets algemeens als ‘Geachte mijnheer/mevrouw’ of staat er daadwerkelijk uw (volledige) naam? Let op: uw naam kan ook zijn afgeleid uit uw e-mailadres. Ook met uw naam in de aanhef kan het dus nog steeds een phishingmail zijn.
- Staat in de mail de vraag om op een link te klikken om uw gegevens ‘aan te vullen’ of ‘te controleren’?
- Wordt u onder druk gezet om snel actie te ondernemen? Of wordt u iets beloofd wat te mooi is om waar te zijn?
Identiteitsbewijs gelekt? Zo herkent en voorkomt u identiteitsfraude
Een van de risico's na een datalek is identiteitsfraude. Bij identiteitsfraude maken criminelen misbruik van uw gegevens. Bijvoorbeeld door op uw naam:
- spullen te kopen zonder te betalen;
- een lening af te sluiten;
- een telefoonabonnement af te sluiten.
Tip: Houd na een datalek in de gaten of u vreemde dingen ziet gebeuren op uw bankrekening. En of u mailtjes krijgt over aankopen die u helemaal niet heeft gedaan.
ID-bewijs
Niet alle datalekken maken identiteitsfraude mogelijk. Met losse gegevens (bijvoorbeeld alleen een BSN) kan een fraudeur niet veel. Het gaat om de combinatie van gegevens. Daarom is het bijvoorbeeld wel een risico als een kopie van uw identiteitsbewijs is gelekt.
Om de kans op identiteitsfraude te verkleinen, meldt u bij uw gemeente dat uw identiteitsbewijs is gestolen. U kunt bij uw gemeente een nieuw identiteitsbewijs aanvragen.
Tip: Wees voorzichtig met wat u op sociale media en andere plekken op internet plaatst. Hoe meer informatie van u openbaar beschikbaar is, hoe makkelijker het is voor een fraudeur om extra gegevens van u te vinden. En die te combineren met de gelekte gegevens.
Slachtoffer van identiteitsfraude
Bent u slachtoffer geworden van identiteitsfraude?
- Meld dit dan bij het Centraal Meldpunt Identiteitsfraude (CMI). Het CMI helpt u om de gevolgen van identiteitsfraude op te lossen.
- Doe daarnaast aangifte bij de politie van identiteitsfraude.
Meer informatie over identiteitsfraude
Wilt u meer weten over identiteitsfraude, lees dan:
- de brochure Geef oplichters geen kans: Identiteitsfraude van het ministerie van BZK.
- Identiteitsfraude op de website van de politie.
- Identiteitsfraude op de website van de Rijksoverheid.
Tip de AP over een datalek
Heeft u het vermoeden dat er een datalek heeft plaatsgevonden bij een bepaalde organisatie? Dan kunt een datalektip indienen bij de AP over dit mogelijke datalek. Maar eerst is het belangrijk dat u het mogelijke datalek doorgeeft aan de organisatie zelf.
Een organisatie kan pas wat tegen een datalek doen als de organisatie weet dat er een datalek is. En pas als de organisatie kennis heeft van een datalek, kan de organisatie verplicht zijn het datalek te melden bij de AP en aan de slachtoffers.
Schadevergoeding voor datalek
Zijn uw gegevens getroffen door een datalek? En heeft u hierdoor schade geleden? Dan heeft u mogelijk recht op een schadevergoeding. Hiervoor gelden wel enkele voorwaarden. U heeft dus niet altijd recht op een schadevergoeding.
Voorwaarden schadevergoeding
Wilt u in aanmerking komen voor een schadevergoeding? Dan gelden deze 3 voorwaarden:
- Het datalek is ontstaan omdat de organisatie zich niet aan de Algemene verordening gegevensbescherming (AVG) hield. Bijvoorbeeld omdat de organisatie uw persoonsgegevens niet goed genoeg beveiligde.
- U heeft door het datalek schade geleden. U kunt voor zowel financiële schade als immateriële schade een vergoeding vragen. Wat immateriële schade precies is, staat niet concreet in de wet. U kunt bijvoorbeeld immateriële schade lijden als u in uw eer bent aangetast of als uw goede naam is geschaad. Ook kunt u stress hebben omdat u gegronde vrees heeft voor misbruik van uw persoonsgegevens. Sommige persoonsgegevens zijn gevoelig voor misbruik. Zoals creditcardgegevens, niet-afgeschermde kopieën van uw ID-bewijs (niet-afgeschermd betekent dat alle gegevens zichtbaar zijn, zoals uw BSN) en bijzondere persoonsgegevens. Om in aanmerking te komen voor een schadevergoeding, is het niet nodig dat uw gegevens ook echt zijn misbruikt.
- De schade die u heeft geleden komt doordat de organisatie zich niet aan de AVG hield er is daar dus een gevolg van (causaal verband).
Geen recht op schadevergoeding
U heeft niet in alle gevallen recht op schadevergoeding. Dat er een datalek is geweest, betekent niet automatisch dat de organisatie in strijd met de AVG heeft gehandeld. Ook moet u kunnen aantonen dat u schade heeft geleden.
Schadevergoeding claimen
Win altijd eerst juridisch advies in voordat u een schadeclaim indient. Een claim dient u in bij de organisatie die verantwoordelijk is voor het datalek. Bent u niet tevreden met de afhandeling van uw claim? Vraag ook dan juridisch advies over de stappen die u verder kunt zetten, zoals naar de rechter gaan.
Let op: De AP speelt hierin geen rol. De AP kan u ook geen informatie of advies geven over de vraag of u recht heeft op schadevergoeding en/of over de hoogte van de schadevergoeding.
Recht op schadevergoeding in de AVG
In artikel 82 AVG staat dat u recht heeft op schadevergoeding als u schade lijdt doordat een organisatie in strijd met de AVG handelt.
Zo houdt u grip op uw gegevens
Organisaties zijn verantwoordelijk voor het goed beveiligen van uw persoonsgegevens. Toch kan een datalek iedere organisatie overkomen. Bijvoorbeeld door een menselijke fout. Gelukkig kunt u zelf ook iets doen om zo veel mogelijk te voorkomen dat bij een datalek uw gegevens op straat liggen. Dit kunt u doen:
- Gebruik overal een ander wachtwoord. U kunt daarvoor gebruikmaken van een wachtwoordmanager. Die bewaart uw wachtwoorden en kan ook sterke wachtwoorden voor u maken.
- Biedt een organisatie een extra beveiligde inlogmethode aan? Maak daar dan gebruik van.U moet dan bijvoorbeeld ook een code invoeren die u via uw telefoon krijgt, naast uw gebruikersnaam en wachtwoord. Dit wordt meerfactorauthenticatie of MFA genoemd.
- Let goed op wie om uw gegevens vraagt en op welke manier. Wees zelf de baas over uw gegevens. Vraagt bijvoorbeeld een bedrijf om gegevens die het helemaal niet nodig heeft om u een dienst te verlenen? Geef uw gegevens dan niet.
- Maak gebruik van uw privacyrechten. Vraag organisaties bijvoorbeeld om bepaalde gegevens van u te wissen. Bijvoorbeeld als u een account voor een webshop niet meer gebruikt. Hoe minder gegevens organisaties van u hebben, hoe minder risico u loopt.
Bekijk ook
Privacyverhaal
Gerrit (72) werd slachtoffer van een datalek én een auto-inbraak. Toeval? "Ik merk in ieder geval dat het automatisme van 'gewoon geven wat ze vragen' er een beetje vanaf is bij mij."