Autoriteit Persoonsgegevens: ‘Ransomwarebesmetting kan een datalek zijn’

Indien ransomware bestanden in gijzeling neemt die persoonsgegevens bevatten, wordt dit door de Autoriteit Persoonsgegevens gezien als een datalek. Organisaties zijn dan ook verplicht dergelijke incidenten te melden bij de toezichthouder.

De ransomware WannaCry zorgde dit weekend voor flinke chaos. Naar schatting zijn 200.000 systemen wereldwijd getroffen door de kwaadaardige software. De Autoriteit Persoonsgegevens meldt dat organisaties die te maken krijgen met een ransomwarebesmetting, vaak vragen hebben over wat zij moeten doen. Zo is het voor veel organisaties niet duidelijk of er sprake is van een datalek dat zij moeten melden bij de toezichthouder en/of betrokkenen.

Criteria

De toezichthouder meldt dat indien bestanden met persoonsgegevens worden versleuteld door ransomware, dit behandeld moet worden als een datalek. Dit betekent in de praktijk dat dezelfde criteria gelden als voor datalekken met een andere oorzaak. Organisaties zijn dan ook verplicht het datalek te melden bij de Autoriteit Persoonsgegevens indien het datalek leidt tot ernstige nadelige gevolgen voor betrokkenen. Melding maken van het incident is ook verplicht indien een aanzienlijke kans bestaat dat dit gebeurt.

Daarnaast moeten bedrijven in sommige gevallen ook de personen van wie zij gegevens verwerken informeren over het datalek door ransomware. Niet melden is alleen toegestaan indien een organisatie gemotiveerd kan onderbouwen waarom deze melding niet nodig is, bijvoorbeeld op basis van onderzochte logbestanden.

Besmetting voorkomen

Tot slot meldt de toezichthouder dat organisaties een besmetting met WannaCry kunnen voorkomen door:

• de update van Microsoft te installeren (MS17-010)
• systemen te controleren op het gebruik van het SMB1-protocol (TechNet).