Nieuws / Ransomware is datalek!


Ransomware is datalek!


De Autoriteit Persoonsgegevens heeft een artikel gepubliceerd over de vraag hoe men moet handelen in het kader van een datalek als het gevolg van ransomware (Ransomware is malware, kwaadaardige software, die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist).

Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

De verantwoordelijke kan er bij ransom- of cryptoware niet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.

Om de daadwerkelijke omvang van het datalek te bepalen, zal de organisatie onderzoek moeten doen. Hiermee kan de verantwoordelijke bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.

Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.

Dit houdt in dat organisaties (zowel bedrijven als overheden) het datalek bij de Autoriteit Persoonsgegevens moeten melden als dit leidt tot ernstig nadelige gevolgen voor de bescherming van persoonsgegevens, of als een aanzienlijke kans bestaat dat dit gebeurt.

Voor het lezen van het gehele artikel, zie https://autoriteitpersoonsgegevens.nl/nl/nieuws/datalek-door-ransomware-wat-moet-u-doen.