Het datalek bij Odido leidde ertoe dat de gegevens van 6,5 miljoen klanten uitlekten. Kan het telecombedrijf hiervoor juridisch worden vervolgd? En welke stappen kun je zelf zetten om misbruik van gegevens te voorkomen? Economieredacteur Tim Wijkman-van Aalst geeft antwoord op lezersvragen.
Is Odido aansprakelijk voor het datalek en kan het juridisch vervolgd worden?
"In het uiterste geval kan Odido juridisch vervolgd worden. Maar dat gebeurt doorgaans alleen als vast komt te staan dat een bedrijf zijn beveiliging niet op orde had en dat dit op het moment van het datalek al bekend was. Je spreekt dan over 'verwijtbaar handelen'."
"De Autoriteit Persoonsgegevens houdt toezicht op bedrijven en organisaties en bekijkt of die de privacy van hun klanten of gebruikers voldoende beschermen. Ook bij datalekken zoals nu bij Odido controleert de toezichthouder of bedrijven daar volgens de regels mee omgaan."
"De Autoriteit Persoonsgegevens kan boetes van maximaal 4 procent van de jaaromzet van een bedrijf opleggen. Maar in de praktijk doet de toezichthouder dat alleen als een bedrijf totaal niet meewerkt met de toezichthouder en ook ernstig in gebreke is gebleven bij het beveiligen van de persoonsgegevens."
"Bij Odido is het datalek ontstaan door een cyberaanval. Hoewel bedrijven er doorgaans veel aan doen om dat te voorkomen, is een datalek door een cyberaanval nooit helemaal uit te sluiten. Zolang een bedrijf kan aantonen dat het er alles aan heeft gedaan om het datalek te voorkomen, zal de toezichthouder niet snel tot vervolging overgaan."
Hoe controleer je je gegevens bij het BKR, zoals wordt aangeraden?
"Via mijnkredietregistratie.nl kun je zien welke leningen en kredieten bij het BKR op jouw naam geregistreerd staan. Als daar leningen of kredieten tussen staan die je niet herkent, neem dan direct contact op met de financiële dienstverlener achter dit krediet. De kans dat anderen op jouw naam een krediet afsluiten is overigens extreem klein, omdat financiële dienstverleners uitgebreide identiteitscontroles uitvoeren."
Hoe risicovol is het uitlekken van je BSN-nummer en/of rekeningnummer?
"Je bankrekeningnummer en je burgerservicenummer (BSN) behoren tot de gevoeligste persoonlijke gegevens. Wie deze gegevens in handen heeft, kan die gegevens misbruiken om jouw identiteit te misbruiken."
"Dit soort data kan ook misbruikt worden om meerdere datalekken aan elkaar te koppelen. Op die manier kunnen kwaadwillenden nog meer informatie over jou verzamelen en inzetten om de kans te vergroten dat jij in een gerichte phishing- of oplichtingscampagne trapt."
Wat kun je zelf doen om identiteitsfraude tegen te gaan naar aanleiding van het lek?
"Je kunt er heel weinig aan doen om te voorkomen dat jouw identiteit wordt misbruikt. Meestal merk je pas dat er identiteitsfraude wordt gepleegd als het te laat is. Bijvoorbeeld doordat je rekeningen krijgt voor dingen die je nooit hebt besteld."
"Als je slachtoffer bent van identiteitsfraude is altijd de eerste stap aangifte doen bij de politie. Daarnaast kun je ook een melding maken bij het Centraal Meldpunt Identiteitsfraude. Alle tips en informatie kun je lezen op de website van de Rijksoverheid."
Welke gegevens zijn er gelekt? En zitten hier ook de gegevens van voormalige klanten bij?
"Bij het datalek zijn naam- en adresgegevens, bankgegevens en gegevens van het identiteitsbewijs buitgemaakt. Van sommige klanten zijn al deze data gelekt, van andere klanten bijvoorbeeld alleen de naam- en adresgegevens. Odido heeft klanten per e-mail op de hoogte gebracht welke gegevens mogelijk zijn gelekt."
"Odido houdt er rekening mee dat de gegevens van maximaal 6,5 miljoen mensen zijn buitgemaakt bij het datalek. Het gaat zowel om huidige klanten als om mensen die in het verleden klant zijn geweest. Formeel bewaart Odido gegevens van klanten maximaal twee jaar na beëindiging van het contract. Dat is het bedrijf wettelijk verplicht."
"Uit mailtjes die de provider naar getroffen mensen heeft gestuurd, blijkt dat ook mensen die vijf jaar geleden al bij Odido zijn weggegaan een melding hebben ontvangen dat hun data zijn gelekt. Dat suggereert dat ook klanten die al langer dan twee jaar weg zijn bij de provider slachtoffer zijn geworden van het datalek."
Welke stappen kan Odido ondernemen naar aanleiding van het datalek?
"Bij grote datalekken zoals dit is het gebruikelijk dat getroffen bedrijven experts inhuren die weten hoe ze met een cyberincident moeten omgaan. Deze experts zijn gespecialiseerd in het in kaart brengen welke data en hoeveel data zijn buitgemaakt en hoe dat is gedaan."
"Daarnaast kunnen deze experts ook onderhandelen met de cybercriminelen, om te proberen de data verwijderd te krijgen. Het kan zijn dat de cybercriminelen daar losgeld voor vragen."
"Dit hele proces vindt zoveel mogelijk achter gesloten deuren plaats, om het onderzoek en eventuele onderhandelingen niet te schaden. Vaak wordt pas maanden later voor het publiek duidelijk wat een bedrijf heeft ondernomen om de gevolgen van het datalek te beperken."
Source: Nu.nl economisch