Slachtoffer van Ransomware? Vergeet de meldplicht datalekken niet!

Terug naar articles

29 juni, 2017

Anonimiseren en Pseudonimiseren | Considerati

Deze week werd Nederland opnieuw opgeschrikt door een grootschalige ransomware-aanval. Door ransomware worden bestanden ontoegankelijk gemaakt en moet een betaling worden gedaan om die toegang te herstellen. Dit zal bij veel organisaties leiden tot onrust, waarbij de initiële acties zijn gericht op het beperken van de schade en het zoeken naar oplossingen. Vergeet daarnaast echter niet om bij uw incident-response rekening te houden met de eventuele toepasselijkheid van de meldplicht datalekken uit de Wet bescherming persoonsgegevens (Wbp).

De aanval deze week doet denken aan de uitbraak van het WannaCry virus eerder dit jaar. Die besmetting bleef in Nederland beperkt. De ransomware van deze week, NotPetya gedoopt, heeft echter wel reeds zijn weg naar Nederland gevonden, met als eerste grote slachtoffer het Rotterdamse containerbedrijf APM Terminals. De eerste signalen wijzen erop dat de ransomware zich verspreidt via malafide e-mails, waarna toegang tot het systeem (en de documenten die zich daarin bevinden) wordt versleuteld. De ransomware kan zich vervolgens verder via het bedrijfsnetwerk verspreiden naar andere computers. De ransomware lijkt daarin anders te werken dan de eerdergenoemde WannaCry variant. Ook zijn er signalen dat NotPetya eerder is gericht op het wissen van bestanden, dan om het vragen van losgeld, waarmee betwijfeld kan worden of er wel sprake is van ransomware, of eerder van cryptoware of een wiper.

Wanneer door de besmetting persoonsgegevens ontoegankelijk worden gemaakt, of niet meer met zekerheid kan worden gesteld dat de gegevens niet zijn gekopieerd of aangepast, is sprake van een datalek in de zin van de Wbp. De Autoriteit Persoonsgegevens stelt daarnaast het volgende: “De verantwoordelijke kan er bij ransom- of cryptoware niet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.”

U moet een dergelijke besmetting melden bij de Autoriteit Persoonsgegevens wanneer het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. Hiervoor moet u onderzoek doen. Daarbij geldt wel dat het datalek – wanneer meldplichtig – binnen 72 uur bij de Autoriteit Persoonsgegevens moet worden gemeld.

Onderzoek daarom goed de impact van de ransomware op uw organisatie: zijn persoonsgegevens ontoegankelijk geworden, kunt u geen back-ups terugzetten en kunt u niet uitsluiten dat gegevens zijn aangepast of gekopieerd? Dan is er een grote kans dat u dit incident moet melden bij de AP en eventueel aan betrokkenen.

Hulp nodig bij deze afweging? Neem dan gerust contact met ons op.

Considerati20150514_-Nathalie0003
Nathalie Falot

Senior Juridisch Adviseur

Gerelateerde blogs

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.