Wat zijn de gevolgen van het niet melden van een datalek?
Een instinctieve reactie is om een voorval van een datalek niet te melden. Dat is een struisvogelreactie.
- Er wordt bij het melden geen boete uitgedeeld. Alleen bij grove nalatigheid of opzet.
- Juist het niet-melden levert een (extra zware) boete op, als het datalek uitkomt.
- Het is de vraag of men van werknemers kan eisen dat zij een datalek geheimhouden. Alhoewel dat vooral relevant is bij grote datalekken, is het de vraag of (ex-)werknemers hierover zullen blijven zwijgen.
- Het verhullen van een datalek voorkomt in eerste instantie publieke aandacht. Wanneer het lek alsnog boven tafel komt is er sprake van reputatieschade.
- Betrokkenen worden niet geïnformeerd. Dat is vervelend voor hen omdat ze geen maatregelen kunnen nemen zoals het wijzigen van wachtwoorden. Het ligt voor de hand dat mensen die hierdoor schade lijden dit willen verhalen. De claims en rechtzaken hierover brengen kosten met zich mee en leveren negatieve publiciteit op.
Het is pijnlijk en kwalijk als een gebruiker door misbruik van zijn gegevens er achterkomt dat zijn gegevens bij een datalek betrokken zijn, en hij niet geinformeerd was over dat datalek.
Er zijn websites waar informatie over hacks verzameld wordt en waar een kopie van de betroffen data aanwezig is. Hier zijn loginnamen, e-mailadressen en domeinnamen te controleren op aanwezigheid in gehackte databases. Als een account of adres aangetroffen wordt dan is het belangrijk om het wachtwoord van dat account te wijzigen. Wanneer dat wachtwoord ook bij andere websites of diensten gebruikt wordt, moet het daar ook gewijzigd worden. Hackers speculeren erop dat wachtwoorden (en vaak ook account-namen) worden hergebruikt en zullen dit proberen uit te buiten.