Het kabinet werkt aan een handelingskader voor slachtoffers van grote datalekken. Staatssecretaris Van Bruggen informeerde de Tweede Kamer over de voortgang. Het beleidskader, dat voortkomt uit een motie naar aanleiding van het Odido-datalek, moet slachtoffers concreet inzicht geven in hun rechten en opties.
De aanleiding ligt zoals genoemd bij het grootschalige datalek bij Odido in februari, waarbij de gegevens van ruim zes miljoen mensen werden gestolen. In maart dienden VVD, CDA, ChristenUnie, D66 en JA21 een motie in die het kabinet opriep zo’n leidraad te ontwikkelen, samen met toezichthouders, data-experts en het bedrijfsleven. De Tweede Kamer nam die motie vervolgens unaniem aan. Nu, ruim drie maanden later, zijn er concrete stappen gezet.
Organisaties moeten slachtoffers actief informeren
Kern van het handelingskader is dat organisaties die door een groot datalek zijn getroffen, slachtoffers zo snel mogelijk duidelijke en betrouwbare informatie moeten geven. Van Bruggen schrijft dat die informatie waar mogelijk op de persoon moet zijn toegesneden. “Zij hebben het recht te weten wat er is gebeurd, welke gegevens zijn gelekt, wat de mogelijke gevolgen zijn, en wat zij zelf kunnen doen aan maatregelen om risico’s te beperken.”
Concreet betekent dit dat het kader voorbeeldteksten bevat en handelingsperspectieven biedt bij uiteenlopende risicoprofielen. Getroffen organisaties moeten bovendien duidelijk maken welke acties ze hebben genomen en welke beveiligingsmaatregelen ze doorvoeren. Daarnaast moeten slachtoffers worden geïnformeerd over hun opties bij opgelopen schade.
Rol van de Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens speelt een centrale rol in de verspreiding van het beleidskader. Van Bruggen schrijft dat de AP de informatie uit het kader kan aanbieden aan organisaties als onderdeel van de bestaande meldingsprocedure voor datalekken. Zo worden richtlijnen direct ingebed in lopende processen.
Het kader wordt opgesteld in overleg met relevante instanties, betrokken toezichthouders en vertegenwoordigers van het bedrijfsleven. Een exacte opleverdatum noemt de staatssecretaris niet. Wel schrijft ze dat het streven erop is gericht het kader “op korte termijn af te ronden”. De Tweede Kamer wordt later dit jaar opnieuw geïnformeerd.
Naast het grote datalek bij provider Odido, zijn er afgelopen tijd nog veel meer grote instanties getroffen in ons land. Daarbij kan gedacht worden aan de relatief recente hack op Instructure of de hack van sportschool Basic Fit, waarbij gegevens werden gestolen van 200.000 Nederlanders. Ook in de zorgsector hebben recent grote hacks plaatsgevonden, waaronder die op ChipSoft. In juli 2025 werden nog gegevens van honderdduizenden vrouwen buitgemaakt na een aanval op Clinical Diagnostics.