Het kabinet werkt aan een officieel handelingskader dat voorschrijft wat organisaties hun klanten en burgers moeten vertellen na een groot datalek. De aanleiding is de reeks grote inbreuken van het afgelopen jaar, met de hack bij Odido als pijnlijk dieptepunt. Voor elke organisatie die persoonsgegevens beheert betekent dit dat de lat voor je communicatie na een lek omhoog gaat.
Wat het kabinet ontwikkelt
Staatssecretaris Van Bruggen (Justitie en Veiligheid) liet de Tweede Kamer weten dat het kabinet samen met experts, toezichthouders, de Autoriteit Persoonsgegevens en het bedrijfsleven aan dit kader werkt. Het moet organisaties houvast geven over welke informatie slachtoffers zo snel mogelijk horen te krijgen: wat er precies is gebeurd, welke gegevens zijn gelekt, wat de mogelijke gevolgen zijn en welke beschermende maatregelen mensen zelf kunnen nemen. Volgens de brief aan de Kamer komen er ook voorbeeldteksten voor meldingen en richtlijnen die per risicoprofiel verschillen. De AP gaat het kader actief aanbieden aan organisaties op het moment dat ze een datalek melden.
Het kabinet mikt op een kader op korte termijn en informeert de Kamer later dit jaar verder. Het onderwerp staat ook op de agenda van het commissiedebat over de bescherming van persoonsgegevens en grote datalekken op 25 juni.
Waarom dit kader er nu komt
De directe aanleiding is de inbraak bij telecomprovider Odido, waarbij begin dit jaar de gegevens van 6,2 miljoen klantaccounts in handen van criminelen kwamen, inclusief namen, adressen, bankrekeningnummers en gegevens van identiteitsdocumenten. Die omvang en de moeizame communicatie eromheen leidden tot een breed gedragen motie van VVD, CDA, ChristenUnie, D66 en JA21, die om een duidelijk handelingskader vroeg.
De Odido-inbreuk liet zien hoe AI-gedreven aanvallen traditionele beveiliging omzeilen, en hoe de nasleep minstens zo bepalend is als het lek zelf: de manier waarop je betrokkenen informeert, bepaalt of mensen zich kunnen wapenen tegen fraude of in onzekerheid blijven steken.
Wat dit betekent voor jouw bedrijf
Misschien denk je: dit gaat over grote datalekken, niet over mijn bedrijf. Maar de AVG verplicht je nu al om een datalek met risico voor betrokkenen binnen 72 uur bij de AP te melden en de getroffenen te informeren. Dit kader maakt concreet wat 'goed informeren' betekent, en die norm zal doorsijpelen naar elke melding, groot of klein.
De praktische vertaling: zorg dat je vooraf een communicatie-draaiboek hebt. Wie besluit wat naar buiten gaat, welke gegevens kun je per klant terugvinden, en hoe bereik je mensen snel en betrouwbaar? Een organisatie die dat pas tijdens een crisis bedenkt, communiceert te laat en te vaag, precies de fout die de roep om dit kader veroorzaakte. De grootste winst zit dan ook niet in het kader zelf, maar in de voorbereiding die het afdwingt. Wie weet welke persoonsgegevens hij waar bewaart en hoe hij die mensen bereikt, is na een incident in control. Wie dat niet weet, staat in zijn hemd op het moment dat het er het meest toe doet.
Veelgestelde vragen
Klaar voor het moment dat het misgaat
Ik help organisaties grip te krijgen op waar hun persoonsgegevens staan en hoe ze daar betrouwbaar over communiceren: van het in kaart brengen van datastromen tot het bouwen en automatiseren van waar mogelijk self-hosted systemen waarmee je na een incident meteen weet wie je moet bereiken.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
