background branding

Je persoonsgegevens liggen na een datalek op straat, wat nu?

20200513 datalek.jpg

Van 700 patiënten die onder behandeling waren bij het UMC Utrecht zijn hun voor- en achternaam, hun polisnummer, BSN-nummer en een samenvatting van hun medisch dossier gestolen. Dieven hebben computers, harde schijven, processoren en geheugenkaarten gestolen uit een afgesloten ruimte in de polikliniek. Er is aangifte gedaan bij de politie en het datalek is gemeld bij de Autoriteit Persoonsgegevens.

De diefstal werd op maandagochtend 20 april ontdekt. In een afgesloten ruimte stonden tien pc's en de deur was opengebroken. De betrokken patiënten zijn per brief geïnformeerd over de inbraak en welke gegevens zijn buitgemaakt. Het ziekenhuis schrijft in de brief dat de gegevens beschermd zijn met een gebruikersnaam en wachtwoord. Desondanks kunnen criminelen wellicht toegang krijgen tot die gegevens. 'Gezien de omstandigheid dat ook uw Burgerservicenummer onderdeel uitmaakt van de betrokken persoonsgegevens, is er een risico op identiteitsfraude', staat erin de brief.

Wat zijn de gevolgen van zo'n datalek?

De betrokken patiënten maken zich nu zorgen wat kunnen criminelen met de buitgemaakte gegevens? Radar spreekt een gedupeerde. Zij zegt: 'Mijn grootste zorg is wat zijn de gevolgen van zo'n datalek. Wat kunnen ze met mijn gegevens? En wat als iemand nu schade veroorzaakt met de buitgemaakte persoonsgegevens? Ik verbaas mij erover dat het UMC Utrecht op deze vragen geen antwoord weet.'

Geen id-bewijzen

Eric Trinthamer, de woordvoerder van het UMC Utrecht zegt: 'De toegang tot het dossier is beveiligd met een wachtwoord. Maar het ziekenhuis kan ook niet uitsluiten dat de dieven daarom heen kunnen komen en de gegevens alsnog kunnen inzien.' De woordvoerder zegt dat er geen huisadressen, telefoonnummers, mailadressen, rekeningnummers of id-bewijzen op de buitgemaakte harde schijven stonden.

Combinatie van gegevens

Volgens de Autoriteit Persoonsgegevens kunnen fraudeurs niet zoveel met alleen een Burgerservicenummer. 'Je hebt ook een kopie van een identiteitsbewijs nodig. Het gaat om een combinatie van meerdere gegevens.' Mocht je desondanks toch slachtoffer worden van identiteitsfraude doe dan aangifte bij de politie en ga naar het Centraal Meldpunt Identiteitsfraude en- fouten (CMI). Op de site van de Rijksoverheid staat meer informatie over identiteitsfraude.

Pas op voor 'social engineering'

Rejo Zenger van burgerrechtenorganisatie Bits of Freedom zegt dat je altijd beducht moet zijn na zo'n datalek. 'Als criminelen met deze set gegevens niets kunnen, betekent dat niet dat ze niet gebruikt worden om verder te komen. Je moet waken voor gekke telefoontjes en mails waarin mensen meer informatie proberen los te peuteren. Zoals iemand die zich voordoet als medewerker van de Belastingdienst. Hij weet via het datalek je naam en BSN-nummer en deze persoon wil 'checken' of het bankrekeningnummer klopt om je Belastingteruggave of toeslag op te storten. Als ze vervolgens je bankrekening in handen krijgen, kunnen ze bijvoorbeeld met die gegevens spullen bestellen bij een webshop die de mogelijkheid biedt tot achteraf betalen en dan krijgt het slachtoffer van het datalek de rekening thuis. Zenger heeft een Engelstalig voorbeeldfilmpje van 'social engineering', mensen met een vlotte babbel en een zielig verhaal die telefonisch extra informatie lospeuteren:

Nog een paar algemene tips van Bits of Freedom

  • Bescherm je online accounts en e-mail goed
  • Verander voor de zekerheid je wachtwoord
  • Gebruik voor elk account een ander sterk wachtwoord en gebruik eventueel een wachtwoordmanager om je daarbij te helpen
  • Klik niet op links
  • Houd je bankafschriften (online bankieren) extra goed in de gaten of er misbruik gemaakt wordt en trek snel aan de bel
  • Check op grote sociale mediaplatforms of er profielen zijn aangemaakt die gebruik maken van jouw naam en foto.

Schadevergoeding

Volgens de woordvoerster van de Autoriteit Persoonsgegevens (AP)  hebben slachtoffers niet automatisch recht op een schadevergoeding na een datalek. Dit staat op de site van de Autoriteit Persoonsgegevens:

Advies van Autoriteit Persoonsgegevens

Zijn uw gegevens gelekt door een datalek? En heeft u hierdoor schade geleden? Dan heeft u mogelijk recht op een schadevergoeding, maar dit is zeker niet altijd zo.

Voorwaarden schadevergoeding

U heeft volgens artikel 82 van de Algemene verordening gegevensbescherming (AVG) recht op schadevergoeding als u schade lijdt doordat een organisatie in strijd met de AVG handelt en dit deze organisatie kan worden aangerekend.

Een organisatie is niet aansprakelijk als de organisatie bewijst op geen enkele wijze verantwoordelijk te zijn voor het schadeveroorzakende feit.

Dat er een datalek heeft plaatsgevonden, betekent niet automatisch dat de organisatie waar het lek is geweest in strijd met de AVG heeft gehandeld. Niet ieder datalek is verwijtbaar.

Soorten schade

Zowel financiële schade als immateriële schade komen voor vergoeding in aanmerking. Wat immateriële schade precies is, staat niet concreet in de wet. U kunt bijvoorbeeld immateriële schade lijden als u in uw eer bent aangetast of als uw goede naam is geschaad.

Schadevergoeding vragen

Een civiele rechter beoordeelt een vordering om schadevergoeding. De Autoriteit Persoonsgegevens (AP) speelt hierin geen rol. De AP kan u ook geen informatie of advies geven over het bepalen van de schade en over de hoogte van de schadevergoeding.

Ziekenhuis aansprakelijk

Pas als er echt schade voortvloeit uit het datalek, kun je in dit geval het ziekenhuis aansprakelijk stellen. Eric Trinthamer erkent dit. 'De data was bij ons en als aantoonbaar is dat iemand schade lijdt door ons datalek, kan die het ziekenhuis aansprakelijk stellen voor de schade en een claim indienen. We hebben hiervoor een klachtenfunctionaris.'

Geen schade of afpersing mails

Het ziekenhuis heeft inmiddels tientallen telefoontjes ontvangen van bezorgde patiënten wiens gegevens op straat liggen. Tot nu toe zijn er nog geen meldingen geweest van mensen die schade hebben of afpersing mails. 'We hopen dat de dieven uit waren op de hardware en niet op de patiëntendata', zegt woordvoerder Trinthamer.