icon

Getroffen door WannaCry? Denk ook aan de meldplicht datalekken

Afgelopen weekeinde was “WannaCry” (onder meer ook bekend als “WannaCrypt”) uitgebreid in het nieuws. Wereldwijd zijn honderdduizenden computers geïnfecteerd met deze zogenaamde gijzelsoftware of ransomware, software die de toegang tot een pc blokkeert of bestanden op de geïnfecteerde computer versleutelt totdat losgeld (vandaar ransom) wordt betaald. WannaCry versleutelt bestanden en vraagt een losgeld van enkele honderden dollars, uiteraard te betalen in bitcoins. Volgens verschillende berichten leidt betaling van het losgeld echter niet tot opheffing van de versleuteling. Het betalen van losgeld wordt daarom in het algemeen sterk afgeraden.

Daarmee is de kans groot dat de versleutelde bestanden definitief ontoegankelijk worden. Dat kan – als er geen back-ups zijn gemaakt – ook betekenen dat persoonsgegevens verloren gaan. In dat geval is er een datalek, want ook als persoonsgegevens zijn blootgesteld aan verlies is daar sprake van. Of dat datalek vervolgens ook gemeld moet worden, hangt af van (i) de aard van de gegevens, (ii) de omvang van het lek dan wel (iii) de aard van het lek.

Melding is in ieder geval verplicht als er gevoelige persoonsgegevens, zoals gegevens over ras of financiële informatie betreffende een persoon, verloren zijn gegaan. Ook als het verlies beperkt is gebleven tot gewone persoonsgegevens (zoals naam- en adresgegevens) kan melding nodig zijn. In de eerste plaats als het om relatief veel gegevens gaat, maar ook als de aard van het datalek melding gepast maakt. Met name dat laatste criterium is in het geval van WannaCry in mijn ogen relevant: het zal niet altijd direct duidelijk zijn welke gegevens zijn getroffen, en het is ook nog niet zeker of de versleutelde gegevens wellicht aan derden worden gezonden. Melden zal dus al snel geëigend zijn.

Wanneer er gegevens verloren zijn gegaan als gevolg van de besmetting met WannaCry, en er om die reden een melding moet worden gedaan bij de Autoriteit Persoonsgegevens, zal de infectie ook altijd moeten worden gemeld bij de betrokkenen. Hoe u dat moet doen, leest u in onze eerdere bijdrage. Uiteraard kunt u ook contact met ons opnemen; we adviseren u graag!

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Getroffen door WannaCry? Denk ook aan de meldplicht datalekken

Schrijf u in voor onze nieuwsbrief

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Schrijf u in voor onze nieuwsbrief