Ransomware: meldplicht datalekken of niet?

Bij de aanval van ransomware WannaCry werd het voor de hele wereld in één klap duidelijk dat digitale bedreigingen als deze niet kunnen worden genegeerd. Op vrijdag 12 mei werden binnen enkele uren meer dan 22 miljoen computers aangevallen tijdens de grootste cyberaanval die ooit werd geregistreerd. Miljoenen mensen en organisaties raakten gegevens kwijt. Cybersecurity staat plots bovenaan veel agenda’s. Ondanks deze wereldwijde aandacht voor ransomware hebben veel mensen nog een heleboel vragen over een infectie.

Moet u een ransomware-aanval melden?

De meest gestelde vraag is of er bij een ransomware-aanval een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens. In deze blogpost geven we daarom toelichting op de huidige Wet bescherming persoonsgegevens (Wbp) en het (al dan niet verplicht) melden van datalekken.

Hoewel er de laatste tijd veel meer aandacht voor is, is de Wet bescherming persoonsgegevens is niet nieuw. Ze is al actief sinds 2001 en werd opgesteld als voorloper op de aankomende Algemene Verordening Gegevensbescherming, internationaal ook bekend als de General Data Protection Regulation (GDPR). De wet beschrijft voornamelijk vier punten:

  • Verzamel geen gegevens die niet noodzakelijk zijn.
  • Beveilig persoonsgegevens voldoende.
  • Ga zorgvuldig om met personeelsgegevens.
  • Geef de betrokkene inzicht in de over hem of haar vergaarde gegevens.

Wanneer er onbevoegd of onbedoeld toegang is verkregen tot persoonsgegevens spreken we over een datalek. Ook wanneer er onbevoegd of onbedoeld persoonsgegevens worden vernietigd, gewijzigd of gepubliceerd geldt dit als een datalek. Kortom: we hebben te maken met een datalek wanneer er een inbreuk heeft plaatsgevonden op de beveiliging van persoonsgegevens. Een aantal voorbeelden:

  • Een kwijtgeraakte USB-stick, met daarop een bestand met namen en telefoonnummers;
  • Een gestolen bedrijfslaptop;
  • Een poststuk met persoonsgegevens dat onbevoegd wordt geopend;
  • Een hacker die toegang krijgt tot bedrijfssystemen.

Geldt een ransomware-infectie als datalek?

De vraag die wij met regelmaat krijgen is of een ransomware-infectie een datalek is. Het antwoord hierop is duidelijk: ja. Wanneer bestanden ongewenst worden gecodeerd door een derde, heeft die persoon toegang gehad tot deze bestanden. De volgende vraag is of er een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens. Het is moeilijk om hier een eenduidig antwoord op te geven, want er spelen een aantal factoren mee.

Het probleem is dat je er tijdens een infectie niet vanuit kunt gaan dat deze beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Mede daarom wordt het betalen van het geëiste losgeld afgeraden. Er kan dus toegang zijn verkregen tot persoonsgegevens zonder dat dit direct zichtbaar is. Ook kunnen persoonsgegevens zijn gekopieerd of gewijzigd.

Om na te gaan of een ransomware-infectie moet worden gemeld bij de Autoriteit Persoonsgegevens moet hetzelfde beleid worden gevolgd als bij ieder ander datalek. Dit houdt in dat een melding alleen nodig is wanneer het lek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als een aanzienlijke kans bestaat dat dit zal gebeuren. Je dient dus zelf deze inschatting te maken. Zijn de bestanden door een eigen vorm van encryptie normaal ook al ontoegankelijk gemaakt voor onbevoegden? Dan kan de melding aan de betrokkenen eventueel achterwege worden gelaten. Wanneer er wordt getwijfeld aan de adequaatheid van uw eigen technische beschermingsmaatregelen, dan is het verplicht om het datalek aan de betrokkenen te melden.

Wat gebeurt er na de melding bij de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens slaat de melding op in een register met alle ontvangen meldingen over datalekken. Bij inhoudelijke vragen over de melding neemt zij contact met u op. In zeldzame gevallen kan er, eventueel in combinatie met andere meldingen, een onderzoek worden gestart naar de naleving van de privacywetgeving. Meestal zult u echter geen reactie krijgen op een melding.

Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, zult u waarschijnlijk eerst een ‘bindende aanwijzing’ ontvangen.

Ransomware-preventiescan

Voorkomen is uiteraard beter dan genezen, maar helaas is een infectie nooit helemaal uit te sluiten. Wel zijn er een groot aantal voorzorgsmaatregelen die kunnen worden getroffen om de kans op en de impact van een ransomware-uitbraak te reduceren. OGD helpt u graag om duidelijk te krijgen of uw ict-omgeving en -beveiliging voldoen aan de huidige maatstaven. Speciaal voor de huidige cyberdreigingen heeft OGD een ransomware-preventiescan ontwikkeld. Deze scan geeft u een duidelijk beeld van de staat van uw huidige beveiliging tegen ransomware en geeft u een praktisch adviesrapport om deze te verbeteren.