Wat kan ik doen als slachtoffer van een datalek?

Een lezer vroeg me:

De verhuurder van mijn woning heeft mij laatst gewaarschuwd voor een datalek. Er had een cyberaanval plaatsgevonden op het bedrijf waar mijn verhuurder huurdergegevens registreert. Uit forensisch onderzoek is gebleken dat bij de cyberaanval data zoals persoonsgegevens zijn gekopieerd of onttrokken. Het gaat mogelijk om naam, e-mailadres, telefoonnummer, adresgegevens en bankrekeningnummer. Ik vraag mij af wat ik als slachtoffer hier tegen kan doen?
Het juridisch juiste maar praktisch heel frustrerende antwoord is dat je zorgvuldig bijhoudt welke schade je lijdt door dit datalek, en vervolgens de verhuurder daar aansprakelijk voor stelt.

Ik formuleer het met opzet zo omdat het voor mij een nogal schrijnend punt is dat er zo veel plekken zijn waar persoonsgegevens grootschalig worden opgeslagen (vaak zonder echte noodzaak) en vervolgens vanwege slechte beveiliging komen bloot te liggen. Waarna het slachtoffer weinig anders kan doen dan afwachten tot daar misbruik van wordt gemaakt.

Natuurlijk staat de wet je ook toe om preventieve maatregelen te nemen, als die redelijk zijn om de schade te voorkomen. Maar dat is een beetje lastig hier. Een nieuwe bankrekening nemen is nogal wat, en tegen welk concreet gevaar is dat een preventieve maatregel? Een nieuw e-mailadres voorkomt spam of gerichte phishing van criminelen die alleen het oude kennen. Maar welke financiële schade kun je daar aan koppelen?

Tegelijk moet ik daar tegenover zetten dat er heel vaak niet daadwerkelijk zich meetbare schade voordoet. Ook daarom is het lastig om kwantitatieve uitspraken te doen over wat de schade moet kosten, of welke concrete maatregelen je kunt nemen.

Een cyberverzekering nemen is bijvoorbeeld een veel geopperde mogelijkheid, hoewel je dat natuurlijk moet doen vóór de datadiefstal. Een monitoringdienst die dagelijks het dark web afsurft of je daar verhandeld wordt, het kan maar voelt een tikje overdreven. Vandaar dat ik steeds uitkom bij “afwachten maar” en ongericht “goed opletten”.

Arnoud

9 reacties

  1. Het juridisch juiste maar praktisch heel frustrerende antwoord is dat je zorgvuldig bijhoudt welke schade je lijdt door dit datalek, en vervolgens de verhuurder daar aansprakelijk voor stelt.

    Hoe bewijs je dat schade veroorzaakt wordt door een specifiek datalek, en dan met name als er in het verleden ook al gegevens van je gelekt zijn? (iets wat steeds meer mensen zal gaan treffen)

      1. Een cyberverzekering nemen is bijvoorbeeld een veel geopperde mogelijkheid, hoewel je dat natuurlijk moet doen vóór de datadiefstal.

        Met deze logica heeft een cyberverzekering ook geen zin meer. Die komen dan met “Bewijs maar dat je schade komt van een lek nadat je bij ons verzekerd bent.”

      2. Om maatschappelijk te kunnen functioneren kun je gegevens als naam, adres, telefoonnummer , e-mailadres en bankrekeningnummer niet vertrouwelijk houden. Je kunt van deze dan ook niet aantonen dat ze op een bepaald moment gelekt zijn. Als je de hele lijst hebt van het gelekte van alle huurders hebt, kun je aantonen dat dit uit een bepaalde bron afkomstig is. De paradox is, dat als het gelekte zich tot deze vijf gegevens beperkt, je niet kunt spreken van een lek van “jouw” gegevens, want “jouw” gegevens zijn al alom bekend. Je kunt alleen maar spreken van een lek van de huurderslijst. Een beetje zoals je iemand niet kunt aanspreken op het schenden van een NDA wanneer die informatie die die van jou verkregen heeft naar buiten brengt en blijkt dat die informatie ook al op andere plekken te vinden was.

            1. Als ik gelekte data kwaadwillig zou gebruiken, zou ik alles achter het plusje weglaten. Met andere woorden: met het plusje kan ik misschien het lek traceren, maar wat koop ik daarvoor als het mij niet tegen misbruik van de gelekte data beschermt? Zelf volg ik @franc zijn strategie, maar ik heb dan ook een eigen domein en ben een doorgewinterde IT-er. Voor de meeste mensen is dat te ingewikkeld. Daarnaast gebruik ik voorzichtigheidshalve TrashMail adressen wanneer een e-mailadres maar een paar keer of een paar dagen bruikbaar hoeft te zijn. Overigens ben ik om veiligheidsredenen van mening dat een loginnaam altijd een aantal random letters/cijfers moet bevatten en nooit het e-mailadres van de klant/gebruiker mag zijn.

  2. Een gerelateerde vraag: Wat kun je doen als consument wanneer een organisatie jouw gegevens op een website beschikbaar maakt, natuurlijk “goed beveiligd” met gebruikersnaam en wachtwoord. (Waar iedereen die je bankrekeningnummer en adres kent de “wachtwoord vergeten” procedure succesvol kan afronden.)

    Ik krijg het niet via de telefonische helpdesk gedaan om mijn gegevens van die site verwijderd te houden.

  3. Bits of Freedom ontwikkelde in 2018 een tool, My Data Done Right, die jou in staat stelt om met de Avg in de hand bij bedrijven en instellingen alle informatie op te vragen die zij over jou hebben.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.