Een datalek kan mensen direct raken. Gelekte persoonsgegevens vergroten het risico op oplichting, identiteitsfraude of financieel verlies. Daarom moet je slachtoffers snel en helder informeren.
De wet verplicht organisaties om dat te doen. Een duidelijk waarschuwingsbericht is een belangrijk instrument om schade te beperken. In dit artikel lees je hoe je dat goed aanpakt en welke rol de Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO) hierbij hebben.
Slachtoffers informeren over een datalek vereist directe actie
Snelheid is erg belangrijk. Elke vertraging kan nieuwe slachtoffers opleveren. Zodra duidelijk is dat de risico’s hoog zijn, moet je communiceren.
De Autoriteit Persoonsgegevens (AP) controleert of organisaties slachtoffers tijdig en volledig informeren. Te late of gebrekkige communicatie kan leiden tot boetes en reputatieschade.
De Functionaris gegevensbescherming (FG) bewaakt dat de wettelijke verplichtingen worden nageleefd en adviseert over de inhoud van het bericht. De Privacy Officer ondersteunt bij het verzamelen van de feiten, coördineert interne afstemming en bereidt communicatie voor. Samen zorgen zij dat de boodschap volledig, juist en begrijpelijk is.
Essentiële onderdelen van een effectief waarschuwingsbericht bij een datalek
Een sterk waarschuwingsbericht bevat altijd deze onderdelen:
- Snelle verzending – Verstuur direct, ook als nog niet alle details bekend zijn.
- Helder taalgebruik – Vermijd vaktermen of leg ze uit.
- Feitelijke beschrijving – Vertel wat er is gebeurd.
- Exacte gegevens – Benoem welke gegevens zijn gelekt.
- Gevolgen benoemen – Vertel welke risico’s bestaan voor slachtoffers.
- Concreet advies – Geef praktische stappen om misbruik te voorkomen.
- Maatregelen toelichten – Leg uit welke acties jouw organisatie neemt.
- Contactpunt bieden – Noem een direct aanspreekpunt.
Voorbeelden van duidelijke communicatie bij het informeren van slachtoffers
Fout voorbeeld
“Er heeft een datalek plaatsgevonden. Mogelijk zijn uw gegevens gelekt.”
Goed voorbeeld
“Op 01 augustus was er een datalek bij onze organisatie. Uw naam, e-mailadres en adres zijn gelekt. Het lek kwam door een ransomware-aanval. Criminelen hebben uw gegevens in handen. We onderzoeken of ze online worden geplaatst. U ontvangt uiterlijk (datum) meer informatie.”
Door direct de kern te benoemen, begrijpt de lezer de ernst en kan hij of zij handelen.
Samenwerking tussen de Functionaris gegevensbescherming en de Privacy Officer bij een datalek
- Functionaris Gegevensbescherming
- Toetst of het bericht voldoet aan de AVG.
- Adviseert bestuur en management over wettelijke plichten.
- Controleert of risico’s volledig in beeld zijn.
- Privacy Officer
- Verzamelt informatie over het incident.
- Coördineert contact tussen IT, juridische afdeling en communicatie.
- Schrijft of redigeert het waarschuwingsbericht.
Deze samenwerking zorgt voor snelheid, consistentie en correcte inhoud.
Praktische adviezen voor slachtoffers na een datalek
De inhoud van het advies hangt af van het type gegevens dat is gelekt:
- Bij contactgegevens – Waarschuw voor phishing en belpogingen.
- Bij wachtwoorden – Adviseer directe wijziging op alle accounts.
Geef altijd voorbeelden van hoe fraudeurs te werk gaan, zodat slachtoffers risico’s sneller herkennen.
Maatregelen en opvolging na het informeren van slachtoffers over een datalek
Vertel welke acties je hebt genomen om het lek te stoppen en herhaling te voorkomen. Noem bijvoorbeeld het instellen van extra beveiliging, meerfactorauthenticatie of het inschakelen van externe experts.
Meld dat het datalek bij de AP is gerapporteerd. Dit laat zien dat je verantwoordelijkheid neemt.
Een bereikbaar contactpunt voor slachtoffers van een datalek
Slachtoffers moeten eenvoudig contact kunnen opnemen. Vermeld telefoonnummer, e-mailadres en eventuele chatfunctie. Maak duidelijk dat zowel de FG als de Privacy Officer bereikbaar zijn voor vragen.
