WannaCry!

Geplaatst op:17 mei 2017

Afgelopen weekend stonden de media bol van berichten over de nieuwste vorm van ransomware genaamd WannaCry. Deze ransomware versleutelt bestanden op de geïnfecteerde pc, zodat de gebruiker geen toegang meer heeft tot de versleutelde bestanden, of helemaal niet meer de pc kan gebruiken. Om deze gijzeling op te heffen dient een bedrag betaalt te worden (ransom) aan de hackers. Als je dit als bedrijf overkomt, dan kan dat je bedrijf stilleggen. Als je als bedrijf persoonsgegevens verwerkt, moet je dan ook een melding doen van een datalek bij de Autoriteit Persoonsgegevens? In deze bijdrage zal ik deze route verkennen.
 

Wat doet de software?

Ransomware is de term voor schadelijke software die je pc op slot zet, waardoor je deze niet meer kan gebruiken. Er verschijnt een boodschap op het scherm, waarop instructies staan om een betaling te doen. Wanneer dat gedaan is, wordt de pc weer vrijgegeven. De WannaCry ransomware versleutelt je bestanden (encrypten) wat betekent dat, stel dat je de blokkade van de software kan opheffen, een gebruiker hier niets mee opschiet, omdat al zijn bestanden zijn versleuteld, onleesbaar, niet bruikbaar zijn, zonder de encryptiesleutel die gebruikt is om de bestanden te versleutelen.
 

Wbp van toepassing?

Als een bedrijf / ondernemer (1) persoonsgegevens verwerkt waarvoor hij (2) de verantwoordelijke is en (3) op deze verwerking is de Wbp (wet bescherming persoonsgegevens) van toepassing, dan kan het zijn dat een meldplicht voor datalekken bestaat. Denk bij deze opsomming aan bedrijven als accountantskantoren, makelaarskantoren, sportscholen, en dergelijke, maar ook aan de eigen persoonsgegevens.
 

Wanneer is sprake van een datalek?

Van een datalek is sprake als (1) er een inbreuk van de (ICT)beveiliging zich heeft voorgedaan, of voordoet, (2) als er bij deze inbreuk persoonsgegevens verloren zijn gegaan of (3) als niet redelijkerwijs kan worden uitgesloten dat de persoonsgegevens onrechtmatig zijn verwerkt. Vooral in deze laatste toets zit de crux. In de richtsnoer meldplicht datalekken vermeldt de Autoriteit Persoonsgegevens (AP) dat onder een onrechtmatige verwerking van persoonsgegevens ook wordt verstaan de onbevoegde kennisneming daarvan. Wanneer dus niet kan worden uitgesloten dat onbevoegden kennis hebben genomen van de opgeslagen persoonsgegevens, is sprake van een datalek.
 

Melden?

Bij een infectie met WannaCry, (encryptiesoftware) worden alle gegevens op de pc versleuteld, met andere woorden: onbevoegd bewerkt. Om deze reden, moet bij een infectie met ransomware altijd een melding worden gedaan bij de Autoriteit Persoonsgegevens. Dat houdt in dat een bedrijf / ondernemer, tegelijkertijd met het aanpakken van de software infectie die zijn bedrijf lamlegt, scherp van geest moet blijven en tijdig een melding moet doen bij de AP van het datalek. Neem bij vragen hierover, contact met ons op, zodat u in ieder geval zeker bent van een goed advies. 

Elke werkdag bereikbaar
Stel uw vraag

E-mail specifieke vragen
info@Schravenmade.nl
Bel ons voor al uw vragen: 
0346-55 47 03

Contactinformatie

Bisonspoor 1218
3605 KZ Maarssen
Tel: 0346-55 47 03
Fax: 0346-56 07 64
Info@Schravenmade.nl

Schrijf u in voor onze tweewekelijkse nieuwsbrief

advocaat utrecht high trust
envelopephone-handset
Share This
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram