blog

    Last van cybercrime? Vergeet de meldplicht datalekken niet!

    Last van cybercrime? Vergeet de meldplicht datalekken niet!

    Als je geen toegang meer hebt tot bepaalde bestanden omdat er bijvoorbeeld sprake is van een ransomware of cryptoware aanval is dat enorm schrikken. Hopelijk lukt het om het aantal versleutelde bestanden binnen de perken te houden. Dan komt de beslissing of al dan niet betaald zal worden om de bestanden weer ‘vrij te krijgen’. Als met betaling of met een goede back up de bestanden weer in tact zijn is het nog niet voorbij, want om hoge boetes te voorkomen zal ook voldaan moeten worden aan de meldplicht datalekken.

    Cybercrime

    Bijna iedere dag zijn er berichten over cybercrime. Systemen worden gehackt, grote hoeveelheden data liggen op straat, bedrijven liggen tijdelijk plat door malware aanvallen of een laptop met medische gegevens wordt gestolen. Toch weten veel Nederlandse ondernemingen niet wat ze moeten doen in geval van cybercrime, zoals ook de Nationaal Coördinator voor Terrorismebestrijding en Veiligheid (NCTV) aankaart. In opdracht van de NCTV is de campagne Alert online gestart voor zowel burgers als bedrijven en organisaties. 

    Wat te doen bij ransomware?

    In het kader van de campagne Alert online heeft de Autoriteit Persoonsgegevens informatie over ransomware en datalekken op haar website geplaatst. In geval van ransomware is sprake van een datalek, omdat er toegang tot de bestanden moet zijn geweest om deze te kunnen versleutelen. Bovendien waarschuwt de Autoriteit Persoonsgegevens dat er bij ransom- of cryptoware niet van kan worden uitgegaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan dus het hele systeem en alle gekoppelde bestanden raken. Er zal nader moeten worden onderzocht welke gegevens zijn geraakt en wat daarmee is gebeurd. Deze informatie is ook nodig bij de melding van het datalek.

    Meldplicht datalekken

    Om te beoordelen of de ransomware aanval gemeld moet worden moet worden bepaald of er mogelijke ernstige nadelige gevolgen voor de bescherming van persoonsgegevens zijn. Als er persoonsgegevens van gevoelige aard zijn gelekt of er is een grote hoeveelheid persoonsgegevens geraakt dan kan er vanuit worden gegaan dat van dergelijke gevolgen sprake is. In dat geval zal binnen 72 uur na ontdekking via het meldloket een melding moeten worden gedaan bij de Autoriteit Persoonsgegevens (AP). Daarnaast zullen ook de betrokkenen moeten worden geïnformeerd als dit incident ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer. Denk daarvoor bijvoorbeeld aan een hack op inloggegevens of kopieën van ID bewijzen die zijn kwijtgeraakt.

    Om te beoordelen of een ransomware aanval of een ander beveiligingsincident gemeld moet worden kan deze checklist een hulpmiddel zijn.

    Heb je een datalek en weet je niet of je een melding moet doen, neem dan contact op met Monique Hennekens