Autoriteit Persoonsgegevens: ‘Ransomwarebesmetting kan een datalek zijn’

Indien ransomware bestanden in gijzeling neemt die persoonsgegevens bevatten, wordt dit door de Autoriteit Persoonsgegevens gezien als een datalek. Organisaties zijn dan ook verplicht dergelijke incidenten te melden bij de toezichthouder.

Autoriteit PersoonsgegevensDe ransomware WannaCry zorgde dit weekend voor flinke chaos. Naar schatting zijn 200.000 systemen wereldwijd getroffen door de kwaadaardige software. De Autoriteit Persoonsgegevens meldt dat organisaties die te maken krijgen met een ransomwarebesmetting, vaak vragen hebben over wat zij moeten doen. Zo is het voor veel organisaties niet duidelijk of er sprake is van een datalek dat zij moeten melden bij de toezichthouder en/of betrokkenen.

Criteria

De toezichthouder meldt dat indien bestanden met persoonsgegevens worden versleuteld door ransomware, dit behandeld moet worden als een datalek. Dit betekent in de praktijk dat dezelfde criteria gelden als voor datalekken met een andere oorzaak. Organisaties zijn dan ook verplicht het datalek te melden bij de Autoriteit Persoonsgegevens indien het datalek leidt tot ernstige nadelige gevolgen voor betrokkenen. Melding maken van het incident is ook verplicht indien een aanzienlijke kans bestaat dat dit gebeurt.

Daarnaast moeten bedrijven in sommige gevallen ook de personen van wie zij gegevens verwerken informeren over het datalek door ransomware. Niet melden is alleen toegestaan indien een organisatie gemotiveerd kan onderbouwen waarom deze melding niet nodig is, bijvoorbeeld op basis van onderzochte logbestanden.

Besmetting voorkomen

Tot slot meldt de toezichthouder dat organisaties een besmetting met WannaCry kunnen voorkomen door:

  • de update van Microsoft te installeren (MS17-010)
  • systemen te controleren op het gebruik van het SMB1-protocol (TechNet).

2 Responses to Autoriteit Persoonsgegevens: ‘Ransomwarebesmetting kan een datalek zijn’

  1. Wouter schreef:

    Goedemorgen Rob,

    Er zijn inderdaad enkele fouten in dit artikel geslopen, hartelijk dank voor de tip. Het artikel is aangepast.

  2. Rob schreef:

    Wat een slecht artikel is dit, los van de schrijffouten voegt het helaas als advies of verduidelijking niets toe. De bewering “indien het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens” klopt helaas niet, we hebben het hier over schade voor betrokkenen niet voor de beveiliging.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *