Bij een datalek als gevolg van een cyberaanval verzuimt het gros van organisaties aan betrokkenen door te geven dat hun gegevens zijn gelekt. Dit meldt de Autoriteit Persoonsgegevens (AP) in het jaarlijkse overzicht van datalekmeldingen in Nederland.
Organisaties zijn wettelijk verplicht om betrokkenen te waarschuwen als er sprake is van een datalek. Volgens de AP schatten organisaties de risico’s van een cyberaanval (toolbox) in zeven van de tien gevallen te laag in. Het gevolg is dat zij betrokkenen niet op de hoogte brengen als hun gegevens op straat zijn komen te liggen als gevolg van een incident. Die personen weten dus niet dat hun gegevens in handen zijn van cybercriminelen en kunnen zich dus ook niet wapenen tegen mogelijke pogingen tot fraude.
In het jaaroverzicht (pdf) is te lezen dat de AP in 2023 in totaal meer dan 25.000 datalekmeldingen ontving. In 2023 ging het bij datalekken ruim 1.300 keer om een cyberaanval. Cybercriminelen richten hun pijlen vaak op IT-leveranciers. Deze organisaties worden vaak gevraagd om grote hoeveelheden persoonsgegevens te beheren. Om deze reden zijn zij een interessant doelwit voor cybercriminelen.
Als criminelen toegang hebben tot gegevens, zoals telefoonnummers en e-mailadressen, kunnen zij veel schade aanrichten. Zo kunnen zij onder andere betaalverzoeken sturen. Ook kunnen zij met een kopie van andermans paspoort proberen een lening af te sluiten. Het is dus van belang dat organisaties voldoen aan hun informatieplicht bij datalekken. De AP houdt in de gaten of organisaties die slachtoffers moeten informeren dit ook daadwerkelijk doen. De AP kan desgewenst ook ingrijpen als dit niet gebeurt.