Document toolboxDocument toolbox


Cyber Response Team

4.3 Informeer de slachtoffers van datalekken

Owned by Raf Geuns (Unlicensed)
Last updated: 30 Nov, 2023
2 min read

Indien het cyberveiligheidsincident gepaard gaat met een datalek met een hoog risico voor de slachtoffers, dien je deze personen op de hoogte te brengen. Deze verantwoordelijkheid komt toe aan de verantwoordelijke voor de gegevensverwerking. 

Het is van belang om hierbij na te denken over een geschikt communicatiemiddel. Dit zal natuurlijk afhangen van een aantal factoren, zoals het aantal getroffenen en de mate waarin de slachtoffers gekend zijn. Bij een beperkt aantal slachtoffers is het mogelijk om de getroffenen persoonlijk te contacteren, wanneer het over een groot aantal slachtoffers gaat zijn bredere kanalen mogelijks geschikter (denk aan de lokale website en media). Let wel op, ook indien gekozen werd voor een bredere communicatie, bijvoorbeeld omdat vele slachtoffers niet gekend zijn, is het de verantwoordelijkheid van het lokaal bestuur om hun identiteit te achterhalen. 

Het opzetten van een elementair callcenter voor getroffenen vraagt uitzonderlijke inspanningen, maar kan ook een belangrijk hulpmiddel zijn om reputatieschade zoveel mogelijk te vermijden. 

De kennisgeving moet verstaanbaar zijn voor de getroffenen en dient zeker volgende informatie te bevatten: 

  • Naam van de verantwoordelijke voor de gegevensverwerking

  • Contactgegevens voor bijkomende informatie

  • Een samenvatting van het incident, met de vermoedelijke timing en omstandigheden

  • De aard van de betrokken gegevens

  • Mogelijke gevolgen voor de getroffenen

  • De genomen maatregelen om het lek te verhelpen en mogelijke schade te beperken 

Gezien de mogelijke implicaties van deze communicatie met betrekking tot de positie en aansprakelijkheid van het lokaal bestuur, is het aangewezen om juridisch advies in te winnen - intern of extern - voor de kennisgeving naar betrokkenen. 

Om de gevolgen voor de getroffenen zoveel als mogelijk te beperken, kan het nodig of wenselijk zijn om contact op te nemen met externe partijen, denk bijvoorbeeld aan: 

  • Derde partijen zoals serviceproviders, indien dit de impact kan verkleinen 

  • Banken of creditcard firma’s, indien ook bankgegevens blootgesteld zijn 

Dit is een document voor publiek gebruik.