Wat gebeurt er als een bedrijf, organisatie of de overheid u een e-mail stuurt met een onderwerpregel die luidt “strikt privé en vertrouwelijk – kennisgeving van een databreuk”?
“U bent aangeslagen na het lezen van de e-mail: hoe ernstig is de datalek en welke actie wordt er ondernomen, of is het slechts een kleine inbreuk?”
Als er normaal een aan u geadresseerde brief aankomt met de aanduiding ‘privé en vertrouwelijk’, betekent dit dat niemand anders deze mag openen. Maar bij een e-mail is het onzinnig te denken dat u de enige bent die deze kan lezen. In feite staat er in de e-mail vertel het aan niemand, anders loopt u mogelijk juridisch gevaar.
“Het is duidelijk dat het proberen het datalek stil te houden niet echt kansrijk is”
Is het acceptabel om te vragen of een melding van een datalek “strikt privé en vertrouwelijk” te noemen, aangezien dit kan worden uitgelegd als een ondeskundige poging om het incident te verzwijgen.
“De kennisgeving per e-mail is gemarkeerd als privé en vertrouwelijk vanwege de aard van de communicatie, die bedoeld is voor de betrokken personen. Gezien de inhoud van de e-mail wilde men dit duidelijk maken, daarom is de e-mail gemarkeerd als privé en vertrouwelijk.”
Dit slaat duidelijk nergens op. E-mails die naar een persoon worden gemaild, gaan naar die persoon. Als je niet wilt dat mensen de informatie delen, vraag het dan beleefd en vriendelijk – maar aangezien je de controle over je persoonlijke gegevens bent kwijtgeraakt, mag men niet verwachten dat je daar gelukkig van wordt.
Getroffen door een datalek criminelen kunnen je naam, e-mailadres, fysieke adres en de laatste vier cijfers van betaalkaarten, samen met de vervaldatum kunnen hebben buitgemaakt.
“betaalkaart informatie mag niet worden misbruikt voor frauduleuze transacties, dus u hoeft uw betaalkaart niet op deze basis te annuleren”
Ondanks de melding van een inbreuk, weet u niet of u op de een of andere manier een verhoogd risico loopt.
Op basis van de blootgestelde gegevens, loopt u het grootste op social engineering – bijvoorbeeld door gebeld te worden door een fraudeur die de gestolen informatie wil gebruiken om aanvullende details te achterhalen, zoals u volledige creditcardnummer.
Ook loopt u het risico lopen op identiteitsdiefstal doordat er dingen in u naam worden aangevraagd. Er zijn diensten die dit monitoren, “ze helpen u bijvoorbeeld bij het opsporen van mogelijk misbruik van uw persoonlijke gegevens, ook om redenen die verder gaan dan dit incident, en biedt u ondersteuning voor identiteitsbewaking, gericht op de identificatie en oplossing van identiteitsdiefstal.”
Wanneer bedrijven, organisaties of de overheid een datalek melden staan ze met een nul achter. Omdat ze vertrouwd waren u privé-informatie en de opdracht hadden deze te beschermen, en dat hebben niet gedaan. Daarom is het een goed uitgangspunt dat ze elke mogelijke stap moeten nemen om de gevolgen te beheersen. Iets doen dat eruitziet alsof je het probeert je fouten te verzwijgen, is dan een nee-nee.
“De prioriteit is dan om duidelijk te identificeren wie (en niet) betrokken zijn bij een incident en om precies te bepalen om welke informatie het gaat, zodat ze u kunnen uitleggen wat er is gebeurd en u laten weten wat u kunt doen als reactie op dit incident”