De Autoriteit Persoonsgegevens (AP) krijgt geregeld vragen over datalekken waarbij ransomware of cryptoware is aangetroffen. Moet een organisatie dit melden aan de AP? Moeten betrokkenen, de mensen van wie de persoonsgegevens zijn, worden geïnformeerd? En wat kan een organisatie doen nadat een aanval is vastgesteld?

De AP heeft als onderdeel van de campagne Alert Online informatie over ransomware en datalekken op haar site geplaatst.
Ransomware betekent letterlijk gijzelingssoftware. Ransomware is malware, kwaadaardige software, die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist, bijvoorbeeld via prepaidkaarten of Bitcoin.
Besmetting verloopt vaak via besmette bestanden, zoals een e-mailbijlage of via advertenties op internet die een lek in niet-geüpdatete software misbruiken. Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.

Datalek
Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.
De verantwoordelijke kan er bij ransom- of cryptoware niet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.
Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

Omvang inbreuk
Om de daadwerkelijke omvang van het datalek te bepalen, zal de organisatie onderzoek moeten doen. Hiermee kan de verantwoordelijke bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.
Als een verantwoordelijke geen onderzoek doet, moet hij ervan uit gaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.

Melden Autoriteit Persoonsgegevens
Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.
Dit houdt in dat organisaties (zowel bedrijven als overheden) het datalek bij de Autoriteit Persoonsgegevens moeten melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Informeren betrokkenen
Organisaties moeten de betrokkenen in sommige gevallen ook informeren over het datalek. Dit moet als het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Meer informatie ransomware
De AP heeft een aantal vragen en antwoorden op een rij gezet voor organisaties die te maken hebben met een datalek waarbij ransomware is aangetroffen.

Alert Online
Van 3 tot 14 oktober vindt de campagne Alert Online plaats. Het thema van deze campagne is Cybersecurity Skills. Deze skills zijn noodzakelijk voor cybersecure gedrag. Daar hoort ook een adequate beveiliging van persoonsgegevens en het op een juiste wijze omgaan met datalekken bij.