Wat je kunt doen om geen slachtoffer te worden van een datalek

© ANP
REGIO - 'Gegevens van duizenden mensen liggen op straat.' Het is een zin die met regelmaat op nieuwswebsites verschijnt. Ook afgelopen maandag, toen bekend werd dat de persoonlijke gegevens van mogelijk honderdduizenden mensen in verkeerde handen zijn gevallen door een lek bij het bedrijf Ticketcounter. Het gaat onder anderen om bezoekers van Avifauna, de Uithof, Duinrell, de Keukenhof en meerdere musea in de regio. Hoe je te wapenen tegen het leed dat een datalek heet?

Wat is een datalek en hoe erg is het?

'De laatste jaren vormen datalekken een groeiende dreiging voor organisaties en personen', schrijft het Nationaal Cyber Security Centrum al in 2014 in een factsheet. In een notendop houdt een datalek in, dat hackers via het internet een ingang weten te vinden in de bestanden van een bedrijf, vaak doordat bedrijven deze niet goed hebben beveiligd. In die bestanden staan bijvoorbeeld de gegevens van klanten: e-mailadres, wachtwoorden, rekeningnummer, adres, creditcardgegevens et cetera.
'Als na een datalek persoonsgegevens van jou in handen komen van criminelen, kan dat grote gevolgen hebben', legt woordvoerder Quinten Snijders van Autoriteit Persoonsgegevens (AP) uit. 'Zo kunnen criminelen jouw persoonsgegevens gebruiken voor identiteitsfraude. Bij identiteitsfraude kopen die criminelen bijvoorbeeld spullen op jouw naam, of sluiten ze een lening of telefoonabonnement af op jouw naam.'

Wat is aan aan de hand bij Ticketcounter?

En je kind dat plotseling appt dat je nu geld moet overmaken, zodat hij zijn huur kan betalen? Dat is mogelijk ook een gevolg van een datalek. 'Phising is een ander risico, waarbij criminelen jou benaderen om nóg meer gegevens van jou te verkrijgen, uiteindelijk ook met het doel jou geld afhandig te maken', legt Snijders uit. 'Ze kunnen je vertrouwen wekken, omdat ze bijvoorbeeld je naam, adres en geboortedatum weten dankzij een datalek.'
In het geval van de datalek bij Ticketcounter, een website waarop je toegangskaarten kunt kopen voor onder meer Duinrell, Avifauna, de Uithof en de Keukenhof, wisten hackers zich een weg te banen naar de gegevens van de klanten die in de periode periode medio 2017 tot en met 4 augustus vorig jaar via de website een kaartje voor zo'n attractie hebben gekocht.

Vertrouwelijke gegevens verkeerd opgeslagen

'Gegevens die vertrouwelijk waren, zijn op een verkeerde plek opgeslagen', zegt directeur van Ticketcounter Sjoerd Bakker maandag tegen de NOS. Het ging volgens hem om 1,5 miljoen tot 1,8 miljoen verschillende e-mailadressen. Avifauna reageerde maandag geschokt op het nieuws en ook Duinrell betreurt de situatie, laat het attractiepark dinsdag aan Omroep West weten. 'Wij zijn nu in gesprek met Ticketcounter om ervoor te zorgen dat deze situatie zich in de toekomst niet meer kan herhalen', aldus een woordvoerder van het park. De Keukenhof heeft vooralsnog niet gereageerd op vragen van Omroep West.
Al lijkt een datalek voor jou misschien een ver-van-je-bed-show, dat is het zeker niet. Zodra jij je opgeeft voor een nieuwsbrief of één keer een account aanmaakt om Duinrellkaartjes te kopen, sta je bij een bedrijf in het systeem.

Hoe weet je dat jij slachtoffer bent van een datalek?

In zeer serieuze gevallen is een bedrijf verplicht de betrokkenen en de Autoriteit Persoonsgegevens (AP) te informeren over een datalek. Deze verplichting geldt als er volgens AP een 'hoog risico' aan de lek hangt. Dat is wanneer het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. Of er bij het lek van Ticketcounter sprake is van een hoog risico is niet bekend, wel laat attractiepark Duinrell weten dat het alle gasten gaat informeren over het datalek. 'Zij kunnen dan door hun mailadres in te vullen op een speciale pagina, achterhalen welke gegevens bekend zijn gemaakt', aldus de woordvoerder van het pretpark.
LAM museum uit Lisse werkt ook samen met Ticketcounter. LAM heeft ook een speciale pagina ingericht op de website, voor mensen die tussen augustus 2018 en augustus 2020 een reservering hebben gemaakt. Maar bedrijven zijn niet in alle gevallen verplicht om een lek te melden aan AP en aan de betrokkenen. Zelf kun je altijd controleren of jouw emailadres ergens in de krochten van het internet staat. Dat kan bijvoorbeeld gratis via deze website.

Ik weet dat mijn gegevens zijn gelekt. Wat nu?

Tip één lijkt logisch, maar o zo belangrijk: verander direct uw wachtwoord. Om te weten of jouw wachtwoord 'hackproof' is, kun je hem testen via de wachtwoordkraaktest. Daar leer je al snel dat een wachtwoord van zeven tekens, bestaande uit enkel kleine letter, door een hacker binnen tachtig milliseconden is gekraakt. Een wachtwoord met hoofdletters, kleine letters, cijfers en langer dan vijftien tekens: dan is een hacker 17 miljoen jaar bezig om de code te kraken.
Houd verder rekeningen in de gaten en blokkeer deze, indien nodig, direct. Staat er werkgerelateerde informatie op de gegevens die zijn gelekt? Informeer dan ook je werkgever. 'Stel dat je gegevens zijn gelekt, dan loop je géén direct risico. Het is echter altijd belangrijk dat je waakzaam en alert bent op verdachte berichten of verzoeken via de mail, telefoon, sms, Whatsapp of andere communicatiemiddelen', tips LAM-museum aan de betrokken bezoekers. 'Ga hier nooit op in en klik niet op onbekende links.'

Heeft aangifte doen zin?

'Het is zeker aan te bevelen om dit te doen als blijkt dat er misbruik gemaakt is van uw gegevens of als u financiële schade heeft geleden', aldus het factsheet van het Nationaal Cyber Security Centrum. Als er aangifte is gedaan, kijkt de politie naar overeenkomsten bij andere aangiftes, die mogelijk naar één en dezelfde hacker wijzen.