Afgelopen weekend stonden de media bol van berichten over de nieuwste vorm van ransomware genaamd WannaCry. Deze ransomware versleutelt bestanden op de geïnfecteerde pc, zodat de gebruiker geen toegang meer heeft tot de versleutelde bestanden, of helemaal niet meer de pc kan gebruiken. Om deze gijzeling op te heffen dient een bedrag betaalt te worden (ransom) aan de hackers. Als je dit als bedrijf overkomt, dan kan dat je bedrijf stilleggen. Als je als bedrijf persoonsgegevens verwerkt, moet je dan ook een melding doen van een datalek bij de Autoriteit Persoonsgegevens? In deze bijdrage zal ik deze route verkennen.
Ransomware is de term voor schadelijke software die je pc op slot zet, waardoor je deze niet meer kan gebruiken. Er verschijnt een boodschap op het scherm, waarop instructies staan om een betaling te doen. Wanneer dat gedaan is, wordt de pc weer vrijgegeven. De WannaCry ransomware versleutelt je bestanden (encrypten) wat betekent dat, stel dat je de blokkade van de software kan opheffen, een gebruiker hier niets mee opschiet, omdat al zijn bestanden zijn versleuteld, onleesbaar, niet bruikbaar zijn, zonder de encryptiesleutel die gebruikt is om de bestanden te versleutelen.
Als een bedrijf / ondernemer (1) persoonsgegevens verwerkt waarvoor hij (2) de verantwoordelijke is en (3) op deze verwerking is de Wbp (wet bescherming persoonsgegevens) van toepassing, dan kan het zijn dat een meldplicht voor datalekken bestaat. Denk bij deze opsomming aan bedrijven als accountantskantoren, makelaarskantoren, sportscholen, en dergelijke, maar ook aan de eigen persoonsgegevens.
Van een datalek is sprake als (1) er een inbreuk van de (ICT)beveiliging zich heeft voorgedaan, of voordoet, (2) als er bij deze inbreuk persoonsgegevens verloren zijn gegaan of (3) als niet redelijkerwijs kan worden uitgesloten dat de persoonsgegevens onrechtmatig zijn verwerkt. Vooral in deze laatste toets zit de crux. In de richtsnoer meldplicht datalekken vermeldt de Autoriteit Persoonsgegevens (AP) dat onder een onrechtmatige verwerking van persoonsgegevens ook wordt verstaan de onbevoegde kennisneming daarvan. Wanneer dus niet kan worden uitgesloten dat onbevoegden kennis hebben genomen van de opgeslagen persoonsgegevens, is sprake van een datalek.
Bij een infectie met WannaCry, (encryptiesoftware) worden alle gegevens op de pc versleuteld, met andere woorden: onbevoegd bewerkt. Om deze reden, moet bij een infectie met ransomware altijd een melding worden gedaan bij de Autoriteit Persoonsgegevens. Dat houdt in dat een bedrijf / ondernemer, tegelijkertijd met het aanpakken van de software infectie die zijn bedrijf lamlegt, scherp van geest moet blijven en tijdig een melding moet doen bij de AP van het datalek. Neem bij vragen hierover, contact met ons op, zodat u in ieder geval zeker bent van een goed advies.