Column


Column Friederike van der Jagt

Blijf alert bij een datalek door ransomware: melden!

Afgelopen weekend las ik op nu.nl een interview met de nieuwe voorzitter van de Autoriteit Persoonsgegevens (AP), Aleid Wolfsen. Wolfsen is verheugd over de boetebevoegdheden van de AP. En, zo waarschuwt hij, die boetes komen eraan want er lopen momenteel ‘tientallen’ onderzoeken.

Deze onderzoeken zijn volgens Wolfsen met name gestart naar aanleiding van datalekmeldingen door bedrijven. Sinds 1 januari jongstleden zijn bedrijven namelijk verplicht om ernstige datalekken te melden aan de AP en in bepaalde gevallen ook aan de personen van wie persoonsgegevens gelekt zijn. Het achterliggende doel is om bedrijven op deze manier meer bewust te maken van de noodzaak van de beveiliging van persoonsgegevens. Het feit dat een datalek plaatsvindt, kan namelijk iets zeggen over het beveiligingsniveau en de omgang met persoonsgegevens binnen een bedrijf.

Het is echter de vraag of de AP met de uitspraak van Wolfsen niet juist bereikt dat bedrijven afzien van het melden van datalekken, nu de AP aangeeft dat vele onderzoeken – en mogelijke boetes – voortvloeien uit dergelijke meldingen. Wellicht nemen bedrijven waar de privacy niet op orde is liever het risico de datalekken niet te melden. Gelet op de beperkte menskracht van de AP, is het namelijk maar de vraag of zij in dat geval op de radar van de toezichthouder belanden…

Wel of niet melden?
Indien bedrijven een datalek niet melden, riskeren zij een boete van maximaal 820.000 euro of tien procent van hun jaaromzet. Een fikse boete dus, terwijl het voor bedrijven niet altijd duidelijk is of ze een datalek nu wel of niet moeten melden. De AP heeft in november vorig jaar een eerste set beleidsregels uitgegeven die bedrijven hierbij moet helpen. In aanvulling daarop publiceerde de AP vorige week, in het kader van de jaarlijks door ECP Nederland georganiseerde Alert Online-campagne, informatie over de meldplicht datalekken bij ransomware.

Bij ransomware wordt een computer door kwaadaardige software (malware) ‘gegijzeld’: als het getroffen bedrijf weer toegang wil, zal het hiervoor moeten betalen. In de praktijk blijkt echter dat betaling zelden tot het vrijgeven van de computer(s) leidt. Een meer geavanceerde vorm van ransomware is cryptoware. Bij cryptoware worden de bestanden op de computer versleuteld waardoor zij niet meer toegankelijk zijn.

Onbevoegde toegang
Hoe kan er bij ontoegankelijke bestanden toch sprake zijn van een datalek? Veel bestanden bevatten persoonsgegevens. Om deze bestanden te infecteren met cryptoware, zal er onbevoegde toegang geweest moeten zijn tot de bestanden. Deze onbevoegde toegang kan er ook toe hebben geleid dat persoonsgegevens in de bestanden zijn gekopieerd, gemanipuleerd of verkocht. En een datalek kan daardoor groter en ernstiger zijn dan aanvankelijk gedacht. Tel daarbij op dat ransomware zich ook gemakkelijk verspreidt naar andere onderdelen van het systeem, zoals harde schijven en usb-sticks.

De informatie van de AP geeft geen nieuwe regels voor het melden van datalekken, maar wil vooral verduidelijken dat ook ransomware kan leiden tot meldingsplichtige datalekken. De nieuwe door de AP opgestelde vragen en antwoorden verwijzen dan ook steeds terug naar de algemene beleidsregels. Kort gezegd: indien u geconfronteerd wordt met ransomware, dient u eerst te bezien of door de ransomware bestanden zijn versleuteld die persoonsgegevens bevatten. Indien dit het geval is, zult u moeten bepalen of het datalek ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens die in de bestanden staan, of dat de aanzienlijke kans bestaat dat deze gevolgen zich zullen voordoen. Komt u tot de conclusie dat dit zo is, dan zult u het datalek moeten melden bij de AP. Als het lek waarschijnlijk ook ongunstige gevolgen heeft voor de personen van wie de gegevens gelekt zijn, dan moet u hen ook informeren.

Impliciete onderzoeksplicht
Van belang is dat u er door de gemakkelijke verspreiding van ransomware niet vanuit mag gaan dat slechts één bestand besmet is. Volgens de AP is er geen onderzoeksplicht, maar zal de omvang van de besmetting onzeker blijven als u geen nader onderzoek doet. U kunt dan niet uitsluiten dat persoonsgegevens zijn gekopieerd, gemanipuleerd of verkocht. De AP raadt daarom aan om digitaal forensisch onderzoek te doen of om de functionaliteiten van de ransomware te laten analyseren.

De AP lijkt derhalve toch een impliciete onderzoeksplicht op te leggen. Uiteraard blijft voorkomen beter dan genezen: zorg dat uw besturingssysteem en software altijd up to date zijn, investeer in goede antivirussoftware, maak back-ups en creëer awareness bij iedereen binnen het bedrijf. Voor dit laatste verwijs ik graag naar de site van Alert Online: print bijvoorbeeld eens de Alert Online placemats voor in de bedrijfskantine of laat medewerkers de online Cyberskillstest doen. Want wees eerlijk: u zit niet te wachten op ransomware en zeker niet op een boete van de AP als gevolg van een (al dan niet gemeld) datalek. Blijf dus alert!


Lees meer over