Een groot datalek waarbij persoonsgegevens van miljoenen Nederlanders op straat lagen. In 2023 zorgde dit voor een flinke mediastorm. De Autoriteit Persoonsgegevens (AP) benutte al deze media-aandacht om hun toezicht en missie extra onder de aandacht te brengen.
Wie in maart 2023 het nieuws checkte, kon er niet omheen. Door een ransomware-aanval waren persoonsgegevens van 2,5 miljoen Nederlanders gelekt. Doelwit van deze aanval was Nebu, een bedrijf dat software voor klantenonderzoek levert. Bij een ransomware-aanval breken hackers digitaal in bij een organisatie en versleutelen de privacygevoelige bestanden. Ze eisen vervolgens losgeld om de bestanden weer toegankelijk te maken. Özlem Sehirli-Kaya, afdelingshoofd Datalekken bij de Autoriteit Persoonsgegevens (AP), weet het nog goed: “Nadat Nebu het lek bij ons had gemeld, informeerden zij hun afnemers, waaronder NS, Vodafone Ziggo en zorgverzekeraar CZ. Die lichtten vervolgens weer hun eigen klanten in, waardoor het nieuws in no time breed in de media verscheen.”
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de bescherming van persoonsgegevens en naleving van de privacywetgeving. Daarnaast doet de AP onderzoek naar meldingen van datalekken. Is de (verwachte) impact groot, dan zijn organisaties verplicht om een datalek te melden. Zij maken die afweging op basis van een risico-inschatting: welke gegevens zijn gelekt, hoeveel mogelijke slachtoffers zijn betrokken en hoe ernstig kunnen de gevolgen zijn?
Voer voor de pers
Dagelijks krijgt de AP zo’n vijftig meldingen van datalekken. “We bepalen aan de hand van risico-indicatoren hoe ernstig het lek is: het aantal slachtoffers, het type persoonsgegevens en de verhouding tussen die twee. Komen door een hack mailadressen van honderdduizend mensen in verkeerde handen? Of gaat het om minder mensen, maar wel om gegevens die gevoeliger zijn, zoals medische dossiers? Vervolgens kijken we mee of een organisatie de juiste acties onderneemt om het lek te stoppen en betrokkenen te informeren”, licht Sehirli-Kaya toe.
Datalekken met veel impact op de maatschappij halen vaak het nieuws. “Bij Nebu ging het om privégegevens van miljoenen Nederlanders, zoals namen, telefoonnummers en mailadressen. Daarmee kunnen hackers op grote schaal fraude plegen.”
Zeg ja tegen de media
De media overspoelden de AP met vragen en persverzoeken. “In principe werken we altijd mee aan mediaverzoeken over datalekken. Want zo kunnen we grote groepen burgers en organisaties voorlichten over het belang van databescherming. Waarbij we benadrukken hoe belangrijk het is dat organisaties goede afspraken maken als ze andere partijen inhuren die hun data verwerken.”
“Via media lichten we burgers en organisaties voor over het belang van databescherming.”
In 2023 kreeg de AP ruim 25.000 meldingen van een datalek. Sehirli-Kaya ziet dat bedrijven de risico’s van een lek nog vaak te laag inschatten en daardoor slachtoffers ten onrechte niet informeren. “Niet elke organisatie is zich ervan bewust dat criminelen met alleen een telefoonnummer of e-mailadres al veel schade kunnen aanrichten. Als je als consument dan niet weet dat jouw gegevens gelekt zijn, kun je niets doen om jezelf te beschermen. En dus proberen we het belang van databescherming via de media ook bij bedrijven tussen de oren te krijgen. En praktische handvatten te geven aan bedrijven én consumenten: wat doe je als er persoonlijke gegevens zijn gelekt? En hoe voorkom je het waar mogelijk?
De ransomware-aanval bij IT-bedrijf Nebu was een van de grootste datalekken van de afgelopen jaren. Nebu informeerde zelf de organisaties waar ze klantonderzoek voor deden, maar die meldplicht lag bij de getroffen organisaties. In totaal moesten 190 organisaties hun eigen klanten en de toezichthouder informeren over het datalek. 34 getroffen bedrijven kwamen hun meldplicht niet na, waardoor veel consumenten niet op de hoogte waren dat hun gegevens gelekt waren. De AP greep in bij 34 organisaties en wees hen op de meldplicht. Daardoor zijn nog eens 50.000 extra mensen geïnformeerd en konden zij ook alert zijn op mogelijke fraude. (Bron: Datalekrapportage 2023.)
Geen commentaar is geen optie
Ja zeggen tegen de pers betekent goed nadenken over je boodschap, aldus Sehirli-Kaya. “Wat kun je vertellen en wat niet? Dat is wikken en wegen. De meldingsbereidheid van bedrijven staat bij ons op nummer 1. We willen hen stimuleren te blijven melden, dus onze medewerking aan een verhaal of tv-programma moet dat niet in de weg staan.’
Ook mag een mediaoptreden het lopende onderzoek naar een lek niet beïnvloeden. “Je kunt als toezichthouder per ongeluk vertrouwelijke informatie geven. Een partij die aan het eind van zo’n onderzoek van ons een boete krijgt, kan dan naar de rechter stappen en zeggen dat het onderzoek niet goed is uitgevoerd, waardoor de boete misschien weer van tafel gaat.” Zo’n onderzoek kan lang duren, zag AP ook bij Nebu. “Bij dit lek waren veel partijen betrokken, maar Nebu was in het begin moeilijk bereikbaar. Het duurde daarom lang voordat we wisten wat er precies gebeurd was. Dat vertraagde enorm. Al die tijd deel je dan geen inhoudelijke informatie. Maar dat betekent niet dat we op elke vraag moeten antwoorden dat we er niets over kunnen zeggen.
Liever gebruiken we zo’n vraag als kapstok: we beamen dat dit een voorbeeld is van hoe het mis kan gaan, waarschuwen voor risico’s en vertellen hoe je ze voorkómt. We kunnen dan weliswaar niet alle ins en outs geven, maar wel uitleggen dat het incident laat zien dat je als organisatie moet opletten met welk it-bedrijf je in zee gaat, hoe ze data beveiligen en welke afspraken je daarover maakt. En dat je als consument basismaatregelen moet nemen, zoals een goed wachtwoord aanmaken en tweestapsverificatie instellen.
Uitdaging in 3, 2, 1
Ook tv-programma’s meldden zich bij de AP, zoals het actualiteitenprogramma Op1 van de NPO. Dit keer schoof er geen bestuurder of woordvoerder aan, maar Sehirli-Kaya zelf. “Het bestuur belde me de ochtend voor de uitzending of ik bij Op1 het verhaal kon doen. Spannend, want ik had dat nog niet eerder gedaan. Maar door te kiezen voor een vakinhoudelijk expert, wilden we vertrouwen en deskundigheid uitstralen.”
“Wat weten we, wat kan ik zeggen en hoe doe ik dat in drie minuten?”
Binnen een paar uur bereidde Sehirli-Kaya zich voor. “Wat weten we al, wat kan ik zeggen en hoe krijg ik dat in drie minuten zendtijd uitgelegd, zodat iedereen het begrijpt? Een flinke klus, want op dat moment wisten we heel weinig. In de auto naar de studio was ik nog volop aan het bellen met mijn team en de woordvoerder. Dat was best stressvol.”
Trots en merkbare impact
Ondanks de hectiek kijkt Sehirli-Kaya tevreden terug op de uitzending. “Ik was behoorlijk zenuwachtig, maar het was een mooie kans om ons werk toe te lichten en zichtbaar te maken.” De impact van haar optreden was ook binnen de AP merkbaar. “Collega’s vonden het geweldig om iemand anders dan een bestuurder op tv te zien. Daarnaast gaf het mijn team een enorme boost. Die spanning, adrenaline en de positieve reacties na afloop – je maakt het allemaal samen mee en dat deed ons goed.” Alle media-aandacht gaf ook het imago van de AP als werkgever een boost. “Ik hoor nog steeds bij sollicitatiegesprekken dat sollicitanten ons mediaoptreden zo inspirerend vonden.”
