Volgens de Autoriteit Persoonsgegevens (AP) hebben veel organisaties vragen over datalekken bij een infectie met ransomware. Is er sprake van een datalek als bestanden/computers gegijzeld zijn door deze vorm van malware? Moet dit gemeld worden aan de AP en/of aan de berokkenen?
“Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Om te bepalen of een organisatie dit datalek moet melden bij de AP, gelden dezelfde criteria als voor datalekken met een andere oorzaak,” is te lezen op de website van de AP.
Direct melden, tenzij…
Kortom: als het datalek ernstige nadelige consequenties heeft, of kan hebben, voor de bescherming van persoonsgegevens dan dient dit gemeld te worden bij de autoriteit. “De AP verwacht dat organisaties het datalek direct melden aan alle betrokkenen van wie (mogelijk) persoonsgegevens van gevoelige aard zijn getroffen. Tenzij een organisatie gemotiveerd, bijvoorbeeld met onderzoek van logfiles, kan onderbouwen waarom deze melding niet nodig is,” aldus de Nederlandse privacywaakhond.
WannaCry
Verder raadt de AP alle organisaties aan om de Microsoft-update MS17-010 te installeren en werkplekken te checken op het gebruik van het SMBv1-protocol. Dit om besmettingen met WannaCry af te wenden.