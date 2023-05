Hoe weet je of je gegevens in een datalek zitten, en wat kun je dan doen?

Wat is een datalek?

De oogst tot nu toe: de Nederlandse Spoorwegen, VodafoneZiggo, Heineken, verzekeraar CZ, marktonderzoeker USP, de Nederlandse Golf Federatie, ArboNed, vervoersbedrijf Trevvel, Vrienden van Amstel LIVE, pensioenfondsen PME en PFZW: allemaal zijn ze dit jaar getroffen door een datalek. Half april stond de teller bij de Autoriteit Persoonsgegevens op 156 bedrijven die slachtoffer zijn van een lek (ontstaan op 10 maart) bij een leverancier van software aan marktonderzoekers.

Miljoenen klantgegevens liggen op straat, of beter: staan ergens op internet. Leveranciers van software aan andere grote bedrijven zijn extra kwetsbaar, blijkt opnieuw, omdat ze een knooppunt zijn. Een kwetsbaarheid in hun programma's betekent dat miljoenen of soms miljarden mensen die klant zijn bij een van hun afnemers de dupe zijn. Dit soort digitale infrastructuur is om die reden een belangrijk doelwit van hackers. En juist die knooppunt-bedrijven hebben vaak hun beveiliging niet op orde, zegt Bernold Nieuwesteeg, beveiligingsexpert van de Erasmus Universiteit. "Er is geen gesprek geweest tussen leverancier en afnemer over hoe ze gegevens van mensen beveiligen."

Het gaat bij zo'n datalek niet altijd om gevoelige informatie zoals inloggegevens. Vaak zijn het e-mailadressen en namen, soms telefoonnummers. Als de buitenwereld persoonsgegevens kan zien van klanten van een webwinkel, gemeentekantoor of zorgverzekeraar, geldt het als datalek. Onder persoonsgegevens wordt alles verstaan waarmee een persoon te herleiden is. Dus namen, mailadressen, telefoonnummers, maar ook combinaties van postcodes en huisnummers en telefoonnummers.

Is het erg als je gegevens in zo'n datalek zitten?

Criminelen gebruiken mailadressen om spam te sturen, of phishingberichten: communicatie om slachtoffers geld af te troggelen. Denk aan appjes van uw uitwonende 'dochter' vanaf een ander nummer omdat ze haar telefoon en portemonnee kwijt is en geld nodig heeft voor de betaling van studieboeken. Of een mail waarin uw 'energiebedrijf' een flinke terugbetaling belooft vanwege lagere kosten, u hoeft alleen maar even in te loggen met de gegevens van uw bank. Mensen die op deze manier geld kwijtraken, zeggen achteraf altijd: ik dacht dat ik hier nooit in zou trappen.

Nóg vervelender: als ook je wachtwoord is gelekt. Mensen gebruiken vaak hetzelfde wachtwoord voor verschillende diensten. Dus met het gelekte wachtwoord van LinkedIn kan een kwaadwillende misschien ook bij uw spaarrekening.

Bovendien combineren criminelen gebruiksgegevens van mensen vaak met de cookies waarin het surfgedrag van hun slachtoffers is opgeslagen. Op die manier krijgen ze zo'n gedetailleerd beeld van een uniek persoon, dat ze identiteitsfraude kunnen plegen. Alle persoonsgegevens vormen ze dan tot een digitale 'vingerafdruk', waarmee ze zich voor kunnen doen als iemand anders. Begin april arresteerde de politie bij Operatie Cookiemonster wereldwijd 119 verdachten, onder wie zeventien Nederlanders. Ze zouden op deze manier bankrekeningen hebben geplunderd en mensen en bedrijven hebben afgeperst.

Hoe weet je of je slachtoffer bent van een datalek?

Getroffen organisaties moeten het lek vrijwel altijd melden bij hun klanten. (Staat uw mailadres korte tijd voor iedereen zichtbaar op het interne bedrijfsnetwerk, dan is dat geen datalek.) Ook moeten organisaties het lek altijd melden bij de Autoriteit Persoonsgegevens (AP). De AP kan boetes uitdelen als blijkt dat bijvoorbeeld een telefoonprovider te slordig met klantgegevens is omgesprongen.

Zelf controleren of uw mailadres of telefoonnummer voorkomt in bekende datalekken? De politie heeft daarvoor de dienst Check je hack, die een mail stuurt als uw mailadres voorkomt in een lek. Troy Hunt, dé Australische expert op het gebied van internetveiligheid, richtte in 2013 de website haveibeenpwned.com op. (Pwned staat voor PowNed, een term die in de videogamecultuur wordt gebruikt voor iemand met ruime cijfers verslaan.) Hunt houdt er (internationale) datalekken bij die je kunt doorzoeken op mailadres of telefoonnummer. Ook geeft de website desgewenst een seintje als je mailadres in een nieuw lek voorkomt.

Uitputtend is zijn website niet, zegt beveiligingsexpert Nieuwesteeg. "Op de website staan alleen de bestanden die Hunt kan vinden, en hij vindt niet alles."

Wat kunt u ertegen doen?

Niet veel, helaas. Er bestaat niet zoiets als 'ontlekken', er is ook geen helpdesk waar hackers uw gegevens op verzoek uit een dataset verwijderen.

Wel zijn er een paar manieren om uzelf beter te beveiligen. Bijvoorbeeld door een wachtwoordmanager unieke, sterke (moeilijk te raden) wachtwoorden te laten maken voor verschillende diensten. Sommige van die wachtwoordmanagers hebben een dienst die het internet afspeurt en u waarschuwen als uw wachtwoord voorkomt in een datalek. Pas op met het meteen aanpassen van een wachtwoord als dat gebeurt. Er is een kans dat criminelen meekijken, omdat ze uw inloggegevens toch al hebben.

U kunt natuurlijk uw mailadres veranderen, of van telefoonnummer wisselen. Maar dat is met de hoeveelheid accounts bij webwinkels, parkeerdiensten van de gemeente, nieuwsbrieven van de kinderopvang en berichten van de Belastingdienst een taak die zo een week in beslag kan nemen.