De Nederlandse Consumentenbond concludeert op basis van een steekproef dat veel organisaties consumenten niet goed genoeg informeren bij datalekken. Dat meldde Tweakers onlangs. In de steekproef bleken 37 van de 69 onderzochte waarschuwingen voor datalekken onduidelijk: er staat te weinig concrete informatie in, en vaak ontbraken ook de stappen die je zelf kunt nemen om de schade te beperken. Het riep de vraag op: hoe zou het dan wel moeten, nog meer informatie?
Ik kreeg even juridische jeuk van de passage over modebedrijf Livera, die ik jullie dan ook niet wil onthouden:
In het bericht met de kop ‘Bescherming van persoonsgegevens bij Livera hoogste prioriteit’ wordt eerst de bedrijfsstructuur en de aandacht van Livera voor gegevensbescherming beschreven; pas in de derde alinea wordt vermeld dat het moederbedrijf is gehackt en dat persoonsgegevens van klanten mogelijk zijn ingezien.Deze is wel erg cru, maar berichten met koppen als “Mededeling naar aanleiding van publiciteit” zie ik ook met enige regelmaat voorbij komen. Gelukkig zijn er ook bedrijven die mensen wel adequaat informeren, door een keurig bericht met uitleg wat er is gelekt, welke stappen men nu heeft genomen en op welke risico’s je nu in het bijzonder zou kunnen letten. Een mooi voorbeeld blijft voor mij het datalek bij de Philips-personeelsadministratie, waarbij men zowaar een dark net monitoring service inhuurde om in de gaten te houden of NAW+bsn gegevens werden verhandeld op het nietdoorzoekbareweb.
Het achterliggende punt blijft natuurlijk: wat zou je nog meer, of nog anders moeten doen? Dan kom je al snel uit bij een schadevergoeding, wat juridisch lastig ligt omdat de schade moeilijk te kwantificeren is. Als de Shell diesel verkoopt vanuit de benzine-pomp, dan kun je vrij eenvoudig je factuur voor het reinigen van je injectiesysteem bij de pomp indienen. Maar bij persoonsgegevens? Ja, je bent kwetsbaarder voor phishing en er zal vast een AI op je profiel worden getraind, maar welk bedrag zet je daar op?
Er zijn vele stichtingen bezig met allerlei massaclaims, waarbij vaak 500 euro opduikt omdat dat eenmalig is toegekend (bij een concreet lek van medische gegevens). Het voelt ergens wat hoog, want is een datalek bij een klanttevredenheidsenqueteur nu dat echt waard? Ook is er altijd die weerstand dat die stichting dan “al dat geld pakt” terwijl het gaat om vergoeding van andermans schade. Maar als de wetgever de bal laat liggen, dan springen particuliere partijen in het gat.
Ik blijf erbij: er moet een staatje komen, het liefst door de AP, net zoals we bij letselschade al lange tijd het Smartengeldboek hebben. Want zelfs als daarin 5 euro had gestaan per betrokkene, dan had de NS nu dus een half miljoen moeten uitkeren en dát maakt niveautje-dassenburcht indruk in de Boardroom.
Arnoud PS: Vergeet je niet in te tekenen voor mijn boek? Zie onder!
Hoe kijk je in dit verband tegen de checkjehack website van de politie? Ik vind het onhandig dat je alleen een mail krijgt als je daadwerkelijk gehakt zou zijn. Ook is het mij niet duidelijk of dit één lek betreft of velen (en welke dan).
Wat ik daar een nadeel aan vindt is dat je daar voor zover ik zie enkel een mailadres op kan geven. Ik heb een catchall ingesteld staan en gebruik per winkel/site een ander adres, dus ik heb daar niet veel aan. Bij Haveibeenpwned kun je ook op domein kijken, maar voor zover ik zie biedt de politie die optie niet.
Bij catchall en bedrijven is de lijst onhandig. Ik heb contact met de politie gezocht en uit gelegd (voordat dat berepen werd waren we even verder) waarom zoeken op domein een goede aanvulling zou zijn. Het “is doorgegeven” en ” we gaan er naar kijken” . Zoeken op domein is echter zo logisch dat ik me niet kan voorstellen dat ze daar zelf niet over nadenken.
“Het voelt ergens wat hoog, want is een datalek bij een klanttevredenheidsenqueteur nu dat echt waard?”
Dat hangt ook af weke enquête het is. Ik kan me voorstellen dat niet iedereen zit te wachten op een enquête lek bij een hotel.
Inderdaad, het hangt er natuurlijk sterk van af welk bedrijf die enquete liet uitvoeren. Dat uitkomt dat je klant bent bij bol.com is niet zo opzienbarend, maar als je klant bent bij een afkickkliniek, een parenclub, of een reisorganisatie die singlesreizen voor homosexuelen organiseert dan kan je een doelwit worden voor chantage.
Het meest waarschijnlijke scenario tegenwoordig is een gerichte phishingaanval op basis van de gelekte informatie, en dan doet het er niet toe of het schaamtevol is. Dag, met DHL wij leveren uw Amazon bestelling (ordernr XXX zoals gelekt) maar daar zitten inklaringskosten op van 37,50 kunt u dat even overmaken via de link die we zometeen sturen? Door een foutje aan onze kant moet dit binnen 24 uur.
Ja, dat klopt, maar ik had het meer over het potentieel voor schade, zowel financiele als imagoschade. Wat ik bedoelde te zeggen is dat je niet zomaar even een tabelletje met wat standaard schadevergoedingen kan opstellen om uit te laten keren als een bedrijf een datalek heeft, omdat het potentieel voor schade enorm verschilt van bedrijf tot bedrijf. Dat gerichte phising het meest waarschijnlijk is is waar, maar het gegeven “Jan Pietersen heeft een boek over tuinieren gekocht bij col.bom” heeft minder potentieel voor schade dan het gegeven “Prinses Amalia is klant bij een afkickkliniek voor drugsverslaafden”.