Autoriteit Persoonsgegevens: ‘Ransomwarebesmetting kan een datalek zijn’

  1. 16 mei 2017
  2. 0 reacties

Indien ransomware bestanden in gijzeling neemt die persoonsgegevens bevatten, wordt dit door de Autoriteit Persoonsgegevens gezien als een datalek. Organisaties zijn dan ook verplicht dergelijke incidenten te melden bij de toezichthouder.

De ransomware WannaCry zorgde dit weekend voor flinke chaos. Naar schatting zijn 200.000 systemen wereldwijd getroffen door de kwaadaardige software. De Autoriteit Persoonsgegevens meldt dat organisaties die te maken krijgen met een ransomwarebesmetting, vaak vragen hebben over wat zij moeten doen. Zo is het voor veel organisaties niet duidelijk of er sprake is van een datalek dat zij moeten melden bij de toezichthouder en/of betrokkenen.

Criteria

De toezichthouder meldt dat indien bestanden met persoonsgegevens worden versleuteld door ransomware, dit behandeld moet worden als een datalek. Dit betekent in de praktijk dat dezelfde criteria gelden als voor datalekken met een andere oorzaak. Organisaties zijn dan ook verplicht het datalek te melden bij de Autoriteit Persoonsgegevens indien het datalek leidt tot ernstige nadelige gevolgen voor betrokkenen. Melding maken van het incident is ook verplicht indien een aanzienlijke kans bestaat dat dit gebeurt.

Daarnaast moeten bedrijven in sommige gevallen ook de personen van wie zij gegevens verwerken informeren over het datalek door ransomware. Niet melden is alleen toegestaan indien een organisatie gemotiveerd kan onderbouwen waarom deze melding niet nodig is, bijvoorbeeld op basis van onderzochte logbestanden.

Besmetting voorkomen

Tot slot meldt de toezichthouder dat organisaties een besmetting met WannaCry kunnen voorkomen door:

  • de update van Microsoft te installeren (MS17-010)
  • systemen te controleren op het gebruik van het SMB1-protocol (TechNet).
Meer over
Lees ook
Nieuwe malware gebruikt Windows om Android-apparaten te infecteren

Nieuwe malware gebruikt Windows om Android-apparaten te infecteren

Een nieuwe vorm van Android-malware dringt smartphones en tablets binnen via Windows-machines. De malware infecteert in eerste instantie de Windows-machine en wacht af tot een Android-smartphone of -tablet met de computer wordt verbonden. Zodra dit gebeurt dringt de malware het mobiele apparaat binnen en nestelt zich in Android. Het gaat om de ma1

Eric Schmidt: 'Data opslaan buiten de VS houdt de NSA zeker niet buiten'

Eric Schmidt: 'Data opslaan buiten de VS houdt de NSA zeker niet buiten'

Microsoft maakte gisteren bekend onder andere Europese gebruikers de mogelijkheid te gaan geven hun data buiten de Verenigde Staten op te slaan. Microsoft wil hiermee gebruikers meer veiligheid bieden tegen de spionagepraktijken van de inlichtingendienst NSA. Eric Schmidt, CEO van Google, stelt echter dat de maatregel van Microsoft geen enkele zin1

Microsoft laat gebruikers data buiten de VS opslaan

Microsoft laat gebruikers data buiten de VS opslaan

Microsoft gaat gebruikers de mogelijkheid bieden hun data voortaan buiten de Verenigde Staten op te slaan. Met de maatregel wil Microsoft het voor de Amerikaanse inlichtingendienst NSA onmogelijk maken de gebruikers binnen de wet te bespioneren. Het Amerikaanse IT-bedrijf is door de NSA in verlegenheid gebracht nadat bleek dat ook het interne ser1