Moet je een ransomware-aanval als datalek melden?

Moet je op grond van de AVG een datalek melden bij de Autoriteit persoonsgegevens (AP) na een ransomware uitbraak? 

Versleuteling van persoonsgegevens en privacyrisico’s

Omdat er binnen vrijwel elke organisatie persoonsgegevens aanwezig zijn, zal een ransomware uitbraak tevens de nodige privacyrisico’s met zich meebrengen. Bij een ransomware uitbraak mag je er niet vanuit gaan dat je gegevens alleen versleuteld zijn. Mogelijk zijn je gegevens ook gekopieerd, vernietigd of gewijzigd. De AP raadt aan om altijd direct een melding te doen wanneer persoonsgegevens mogelijk zijn getroffen door bijvoorbeeld ransomware. De gevolgen zullen bij zo’n aanval namelijk niet meteen duidelijk zijn.

Recent zijn er twee grote aanvallen met ransomware in het nieuws geweest. Universiteit Maastricht en GWK Travelex. In een symposium heeft de Universiteit Maastricht openheid gegeven van hetgeen zich rondom de aanval heeft afgespeeld. 

Ransomware is tot een lucratieve business geworden. Na een eerste besmetting kijken de cybercriminelen zorgvuldig of het slachtoffer de moeite waard is. Hoeveel losgeld kunnen ze eisen? Vervolgens richten ze hun pijlen en zijn ze vaak weken bezig om verder in de systemen door te dringen voor ze de boel op slot gaan zetten.

Wat is ransomware?

Ransomware is software die door cybercriminelen wordt gebruikt om data op computersystemen te blokkeren. Vervolgens bieden de criminelen een oplossing aan om de data weer vrij te krijgen. Er wordt losgeld gevraagd, veelal in de vorm van bitcoins.

Hoe werkt ransomware?

Ransomware kan op verschillende manieren op je computersystemen terechtkomen. Het is een softwarebestand dat de ransomware op je computer installeert. Dit bestand komt je computer binnen, bijvoorbeeld doordat je een onveilige link opent of een e-mailbijlage activeert. Nadat er één computer is besmet verspreidt de ransomware zich als een olievlek over het hele netwerk. Wanneer de ransomware voldoende verspreid is wordt het geactiveerd waarmee er zoveel mogelijk data wordt versleuteld. Met een beetje pech wordt ook je backup versleuteld.

Kun je ransomware voorkomen?

Het symposium van de Universiteit Maastricht waarnaar ik in het begin van dit artikel verwijs geeft een goede inkijk in wat er gebeurt bij een uitbraak en hoe dit is ontstaan. Vervolgens kun je beredeneren hoe je de kans op een uitbraak met ransomware kunt verkleinen. Ik zeg bewust “verkleinen” omdat het vrijwel onmogelijk is om het volledig te voorkomen. Je kunt natuurlijk virus- en ransomwarescanners inzetten naast een goede firewall. Welke investering er gedaan moet worden om zowel de technische kant als de mate van cyberbewust handelen op orde te krijgen, is goed vast te stellen door middel van een security-audit. 

Cyberveiligheid gaat niet alleen om techniek

Cyberveiligheid beperkt zich niet tot technische maatregelen. Het gaat ook om de mate waarin je medewerkers zich bewust zijn van de risico’s en de mate waarin zij hiernaar handelen. Het is verrassend om te zien dat je ICT systemen vaak al veiliger kunnen maken door alleen al systeemupdates uit te voeren. Om het cyberbewust handelen van je medewerkers te verhogen zijn er tal van tools die hier in kunnen bijdragen; van zeer eenvoudige online trainingen tot systemen die het gebruikersgedrag volledig monitoren en waar nodig bijsturen. 

Datalek onder de AVG

De Algemene Verordening Gegevensbescherming (AVG) kent een meldplicht bij datalekken. De AVG spreekt in dit kader van een “inbreuk in verband met persoonsgegevens”. De werkgroep Gegevensbescherming heeft zich in een richtlijn uit 2017 uitgesproken over de omvang van het begrip “datalek”. In art. 4 onder punt 12 van de richtlijn wordt een definitie voor een inbreuk in verband met persoonsgegevens, ofwel een datalek gegeven. ”Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. 

Meldplicht datalekken

In twee specifieke artikelen is er een meldplicht voor datalekken opgenomen: art. 33 AVG geeft regels voor de melding aan de Autoriteit Persoonsgegevens (AP), art. 34 AVG geeft regels voor de melding aan de betrokkene. Art. 42 UAVG geeft een uitzondering op art. 34 AVG voor bepaalde financiële ondernemingen. 

Melding maken van een datalek bij de Autoriteit Persoonsgegevens?

Wanneer ransomware de data heeft versleuteld die persoonsgegevens bevat, is er sprake van een datalek. Er is immers toegang geweest tot de data om deze te kunnen versleutelen. Indien het waarschijnlijk is dat het datalek leidt tot een risico voor de privacy van de personen wiens gegevens het betreft, moet het datalek worden gemeld bij de Autoriteit Persoonsgegevens.

Je dient een datalek te melden binnen 72 uur nadat je bekend bent geraakt met het datalek. Vakantie, weekend, ziekte, drukte, etc zijn geen geldige excuses om het niet op tijd te melden. Zijn de risico’s van een datalek hoog voor de betrokkenen? Dan dien je ook de betrokken personen zelf zo snel mogelijk te informeren.

Voorbereiden op een datalek

Ik adviseer organisaties om zich voor te bereiden op de mogelijke impact en op de consequenties van een ransomware uitbraak. Dit vanuit het perspectief van bedrijfscontinuïteit, als vanuit het perspectief van privacy en persoonsgegevens. Het kan je enorm helpen door op voorhand een draaiboek klaar te hebben liggen waarin de te nemen stappen zijn vastgesteld. Bij een ransomware uitbraak zal er snel sprake zijn van een datalek die bij de AP moet worden gemeld. Het is dus verstandig om bij een uitbraak direct juridisch advies in te winnen.

Bron: juridict.nl

#communityAim2Secure

#Aim2Legal

#Aim2Incidents