Het begint typerend te worden; de AP betitelt van alles als datalek maar verzuimt enige motivatie daarbij te geven, als je de vraag vervolgens stelt geven ze niet thuis en schepen ze je af met het standaard stukje tekst uit de algemene richtlijn. Als elk beveiligingsincident als datalek gemeld moet gaan worden zijn we flink aan het doorslaan met elkaar, het doet de geloofwaardigheid van de AP m.i. ook weinig goed.

Het is juist een anti datalek ;)

Je hebt nog gelijk ook. Alleen heeft het ap elke uitval van een ict service ook als datalek bestempeld.
Het wordt dan lastig om te bepalen of anderen de data hadden kunnen zien of dat jij er zelf geen gebruik van kan maken. De normale mens beleving is anders dan de AP aanwijzing

Nope, het is een incident, en een incident dient gerapporteerd te worden.
Dus,. ja als je het niet doorgeeft heb je inderdaad kans op een boete.

De titel "lek" is niet helemaal ok,. maar het is wel degelijk verplicht hier melding van te doen.

Als je afhankelijk bent van een externe partij om aan je data te komen kun je dat best als een datalek bestempelen. Dat de externe partij er zelf niet bij kan is dan denk ik bijzaak. Je kunt er zelf ook niet bij immers.

Als je geen back-up hebt is het een lek ja, data verlies valt ook onder de wet. Als de malware het steelt uiteraard ook. ;)
Maar dat is niet anders dan je encryptie sleutel zoek maken zonder back-up...

Heel letterlijk is de data aangepast, er heeft iets of iemand toegang gehad tot data met persoonsgegevens... dus gaat het om een datalek dat gemeld moet worden, al zul je voor een ransomware besmetting niet snel een boete krijgen. Dus gewoon netjes melden en de procedures volgen.

Op zich snap ik het wel, er is geen controle meer over de data en wat er mee gebeurt.
Maar en aan de hand van welke data het is, moet je het misschien melden.

Als de gegevens door encryptie niet meer tot de persoon herleidbaar zijn, is het helemaal OK volgens de AP toch?

Zodra persoonsgegevens zijn bekeken of aangepast als gevolg van ongeautoriseerde toegang is dat een datalek. Dus als je een bestand hebt met daarin twee achternamen en telefoonnummers en dat is versleuteld door ransomware dan is dat een datalek.

Het niet melden van een datalek kan tot een boete leiden van maximaal (rond) 900k. Als sprake is van nalatigheid als oorzaak van dat datalek is dat hetzelfde verhaal. Volgens mij is er nog niemand die zo'n boete heeft gehad trouwens.

.

Met de toevoeging dat je niet elk datalek hoeft te melden zolang er geen sprake is van mogelijk ernstig nadelige gevolgen voor betrokkene(n), hetgeen de ruimte laat om datalekken niet te melden indien je dit vast hebt kunnen stellen (documenteren is in dat geval wel handig). Uiteraard heb ik het dan niet over de duidelijke gevallen waarbij daadwerkelijk persoonsgegevens zijn gelekt of gelekt kunnen zijn. Mijn punt is dat je wel je verstand moet blijven gebruiken bij het bepalen of je een melding doet, en niet klakkeloos alles melden dat enkel onder één van de voorgedefinieerde incidenten valt.

Je manier van formuleren suggereert dat je denkt dat AP Wannacry als gelegenheid misbruikt om nóg meer dingen een datalek te mogen noemen. Onzin, in hun beleidsregels voor de meldplicht van datalekken uit december 2015 staat het al. In de inleiding daarvan kan je lezen dat op 1 januari 2016 een wijziging op de wet bescherming persoonsgegevens in is gegaan, en in die inleiding kan je ook duidelijk lezen dat het helemaal draait om die wet, om artikel 34a om precies te zijn. Dát is hun motivatie, en die geven ze je wel degelijk als ze naar hun publicaties verwijzen, voor zover ik heb gezien beginnen de inleidingen die ze schrijven consequent met een verwijzing naar de wetgeving waar het om gaat.

Als je de wettekst zelf opzoekt en er even gericht in zoekt dan kom je al snel bij artikel 13 uit (het eerste puntje van artikel 34a verwijst ernaar). De eerste zin daaruit:
Daar staat "beveiligen tegen verlies" bij. Als je persoonsgegevens onder je hoede bent ben je niet alleen verplicht diefstal te voorkomen maar ook verlies van data moet voorkomen worden. Als je data door ransomware kwijtraakt is dat verlies, je bent het dan namelijk kwijt.

Het enige wat AP gedaan heeft is erop wijzen dat ook bij WannaCry dataverlies tot een meldplicht kan leiden. Niet iets om opgewonden over te raken, ze doen gewoon wat ze moeten doen hier.

Als je ook nog wilt weten waarom dat in de wet staat dan is dat weer in dat beleidsdocument te vinden (zoek op het woord 'verlies'). Kort en bondig:
Als je je nog afvraagt waar ze dat vandaan hebben dan zou ik de memorie van toelichting op de wet en eventueel kamerstukken en verslagen van kamerdebatten in duiken.

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf
http://wetten.overheid.nl/BWBR0011468/2017-03-10#Hoofdstuk2_Paragraaf1_Artikel13
http://wetten.overheid.nl/BWBR0011468/2017-03-10#Hoofdstuk5_Artikel34a

Het is iets genuanceerder.

Ransomware is een datalek wanneer je de gegevens kwijt bent (en dus geen goede back-up hebt) en je niet uit kunt sluiten dat de gegevens zijn ingezien en/of gekopieerd voordat ze versleuteld zijn.

Hopelijk komt er na invoering van de GDPR er een betere richtlijn. Daarin staat namelijk niet dat het een datalek is wanneer je onrechtmatige verwerking niet uit kan sluiten maar dat je het alleen hoeft te melden wanneer het waarschijnlijk onrechtmatig is verwerkt.

@10:28

Ransomware is een datalek wanneer je de gegevens kwijt bent (en dus geen goede back-up hebt) en/of je niet uit kunt sluiten dat de gegevens zijn ingezien en/of gekopieerd voordat ze versleuteld zijn.