(WannaCry-)Ransomware en de Meldplicht Datalekken

maandag, 22 mei 2017

Op 12 mei 2017 werd de (digitale) wereld opgeschrikt door WannaCry. WannaCry is een vorm van ransomware. Dit is een virus dat systemen van gedupeerden versleuteld. Hierna wordt om losgeld (=ransom) gevraagd om de systemen vrij te geven. De malware infecteerde ruim 230.000 computers in meer dan 150 landen. Gedupeerden werden gemaand binnen een week enkele honderden dollars in BitCoin over te maken. Er is inmiddels meer dan $80.000 overgemaakt. Na betaling bleek echter dat de bestanden niet werden vrijgegeven. De ontwikkelaars van WannaCry maakten gebruik van een buitgemaakte hacktool ontwikkeld door de National Security Agency (‘NSA’). Deze hacktool is in staat een in Microsoft Windows geconstateerd lek te misbruiken. Microsoft heeft dit lek al op 14 maart 2017 gedicht door middel van een update. Doordat veel organisaties deze update niet hadden toegepast, waren zij vatbaar voor deze besmetting. Organisaties als Q-Park, LAKS, Deutsche Bahn, FedEx en zelfs het Russische ministerie van Binnenlandse Zaken raakten geïnfecteerd met WannaCry.

Meldplicht Datalekken

Sinds 1 januari 2016 geldt de Meldplicht Datalekken. Deze meldplicht verplicht organisaties datalekken te melden bij de Autoriteit Persoonsgegevens (‘AP’) en in sommige gevallen bij de betrokkenen (personen op wie de data betrekking hebben). Een datalek is een beveiligingsinbreuk waarbij sprake is van toegang tot of vernietiging, wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling is geweest van de verwerkingsverantwoordelijke.

Ransomware

Indien ransomware bestanden versleutelt die persoonsgegevens bevatten, is er sprake van een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Organisaties kunnen er bij ransomware niet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Het is ook denkbaar dat de gegevens zijn gekopieerd of gemanipuleerd (*1).

Meldplicht AP

De AP heeft beleidsregels opgesteld om te bepalen of organisaties datalekken moeten melden. Volgens de AP moeten organisaties datalekken melden indien:

  • persoonsgegevens van gevoelige aard bij het datalek zijn betrokken; of
  • de kans bestaat dat het datalek kan leiden tot (ernstig) nadelige gevolgen.

Deze melding moet binnen 72 uur vanaf het moment van constatering bij de AP zijn gedaan.

Meldplicht betrokkenen

De beleidsregels schrijven voor dat een organisatie een datalek moet melden aan betrokkenen indien:

  • géén sprake is van versleuteling die voldoende bescherming biedt tegen de inbreuk om melding achterwege te laten;
  • géén sprake is van andere technische beschermingsmaatregel die voldoende bescherming biedt om melding achterwege te laten;
  • het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van betrokkenen;
  • géén sprake is van zwaarwegende redenen om melding achterwege te laten.

Denkbaar is  dat bedrijven die getroffen zijn door ransomware dit moeten melden aan de AP en betrokkenen. Het is vooralsnog onduidelijk of Q-Park en LAKS hun datalek door ransomware hebben gemeld aan de AP. De AP heeft op 10 mei jl. (twee dagen vóór de WannaCry aanval) via een nieuwsbericht laten weten dat er in het eerste kwartaal van 2017 ruim 2300 datalekken zijn gemeld. Het is belangrijk om als organisatie bij de Meldplicht Datalekken stil te staan. Het onterecht niet melden van een datalek kan momenteel door de AP worden gesanctioneerd met boetes tot € 820.000, of 10% van de jaaromzet. In 2018 wordt deze boetebevoegdheid verhoogd tot maximaal € 10.000.000, of 2% van de wereldwijde jaaromzet. In het persbericht van 10 mei jl. maakte de AP ook bekend dat er momenteel 135 onderzoeken lopen naar beveiliging en datalekken. Dit gaat ook om mogelijke datalekken bij organisaties die deze niet hebben gemeld. Een deel van de onderzoeken loopt nog.

Organisaties die niet zijn getroffen door ransomware kunnen de gevolgen van een (vergevorderde) besmetting voorkomen door:

  • een goed updatebeleid te hanteren;
  • bewustwording te creëren onder medewerkers;
  • niet op (mogelijk) onbetrouwbare links en/of bijlagen klikken;
  • een geüpdatet endpoint (crypto)security te hanteren;
  • het frequent maken van backups;
  • backupsystemen géén directe permanente verbinding te laten maken met computers;
  • beschikbaar gestelde decryptietools gebruiken. Decryptietools voor WannaCry vindt u hier.

Meer weten?

Mocht uw organisatie getroffen zijn door ransomware of heeft u vragen over dit artikel, neem dan vrijblijvend contact op met de Praktijkgroep Privacy van BANNING, of met Samuel Wiegerinck (s.wiegerinck@banning.nl, tel. 073-692 77 06).

 


(*1) https://autoriteitpersoonsgegevens.nl/nl/nieuws/datalek-door-ransomware-wat-moet-u-doen.