image

AP: Ransomware is bij versleuteling persoonsgegevens datalek

dinsdag 16 mei 2017, 15:38 door Redactie, 14 reacties

Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten is er sprake van een datalek, zo heeft de Autoriteit Persoonsgegevens vandaag laten weten naar aanleiding van de uitbraak door de WannaCry-ransomware. Om te bepalen of een organisatie dit datalek moet melden bij de toezichthouder gelden dezelfde criteria als voor datalekken met een andere oorzaak.

Dit houdt in dat een organisatie het datalek bij de Autoriteit Persoonsgegevens moet melden als het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. In het geval van ransomware verwacht de toezichthouder dat organisaties het datalek direct melden aan alle betrokkenen van wie (mogelijk) persoonsgegevens van gevoelige aard zijn getroffen.

"Tenzij een organisatie gemotiveerd, bijvoorbeeld met onderzoek van logfiles, kan onderbouwen waarom deze melding niet nodig is", aldus de Autoriteit Persoonsgegevens. Afsluitend geeft de toezichthouder nog advies om infectie door de WannaCry-ransomware te voorkomen, namelijk het installeren van Microsoft-update MS17-010 en werkplekken op het gebruik van het SMBv1-protocol te controleren.

Reacties (14)
16-05-2017, 16:10 door Anoniem
Het begint typerend te worden; de AP betitelt van alles als datalek maar verzuimt enige motivatie daarbij te geven, als je de vraag vervolgens stelt geven ze niet thuis en schepen ze je af met het standaard stukje tekst uit de algemene richtlijn. Als elk beveiligingsincident als datalek gemeld moet gaan worden zijn we flink aan het doorslaan met elkaar, het doet de geloofwaardigheid van de AP m.i. ook weinig goed.
16-05-2017, 16:13 door KoalaBear
Het is juist een anti datalek ;)
16-05-2017, 16:15 door karma4 - Bijgewerkt: 16-05-2017, 19:31
Door KoalaBear: Het is juist een anti datalek ;)
Je hebt nog gelijk ook. Alleen heeft het ap elke uitval van een ict service ook als datalek bestempeld.
Het wordt dan lastig om te bepalen of anderen de data hadden kunnen zien of dat jij er zelf geen gebruik van kan maken. De normale mens beleving is anders dan de AP aanwijzing
16-05-2017, 16:56 door Anoniem
Nope, het is een incident, en een incident dient gerapporteerd te worden.
Dus,. ja als je het niet doorgeeft heb je inderdaad kans op een boete.

De titel "lek" is niet helemaal ok,. maar het is wel degelijk verplicht hier melding van te doen.
16-05-2017, 17:01 door Whacko
Als je afhankelijk bent van een externe partij om aan je data te komen kun je dat best als een datalek bestempelen. Dat de externe partij er zelf niet bij kan is dan denk ik bijzaak. Je kunt er zelf ook niet bij immers.
16-05-2017, 17:08 door Anoniem
Als je geen back-up hebt is het een lek ja, data verlies valt ook onder de wet. Als de malware het steelt uiteraard ook. ;)
Maar dat is niet anders dan je encryptie sleutel zoek maken zonder back-up...
16-05-2017, 17:19 door Anoniem
Door KoalaBear: Het is juist een anti datalek ;)

Heel letterlijk is de data aangepast, er heeft iets of iemand toegang gehad tot data met persoonsgegevens... dus gaat het om een datalek dat gemeld moet worden, al zul je voor een ransomware besmetting niet snel een boete krijgen. Dus gewoon netjes melden en de procedures volgen.
16-05-2017, 17:28 door Anoniem
Op zich snap ik het wel, er is geen controle meer over de data en wat er mee gebeurt.
Maar en aan de hand van welke data het is, moet je het misschien melden.
16-05-2017, 19:01 door ph-cofi
Als de gegevens door encryptie niet meer tot de persoon herleidbaar zijn, is het helemaal OK volgens de AP toch?
17-05-2017, 07:58 door VriendP
Door ph-cofi: Als de gegevens door encryptie niet meer tot de persoon herleidbaar zijn, is het helemaal OK volgens de AP toch?

Zodra persoonsgegevens zijn bekeken of aangepast als gevolg van ongeautoriseerde toegang is dat een datalek. Dus als je een bestand hebt met daarin twee achternamen en telefoonnummers en dat is versleuteld door ransomware dan is dat een datalek.

Het niet melden van een datalek kan tot een boete leiden van maximaal (rond) 900k. Als sprake is van nalatigheid als oorzaak van dat datalek is dat hetzelfde verhaal. Volgens mij is er nog niemand die zo'n boete heeft gehad trouwens.
17-05-2017, 08:28 door Anoniem
Door Vriend: Zodra persoonsgegevens zijn bekeken of aangepast als gevolg van ongeautoriseerde toegang is dat een datalek. Dus als je een bestand hebt met daarin twee achternamen en telefoonnummers en dat is versleuteld door ransomware dan is dat een datalek.

Het niet melden van een datalek kan tot een boete leiden van maximaal (rond) 900k. Als sprake is van nalatigheid als oorzaak van dat datalek is dat hetzelfde verhaal. Volgens mij is er nog niemand die zo'n boete heeft gehad trouwens.
.

Met de toevoeging dat je niet elk datalek hoeft te melden zolang er geen sprake is van mogelijk ernstig nadelige gevolgen voor betrokkene(n), hetgeen de ruimte laat om datalekken niet te melden indien je dit vast hebt kunnen stellen (documenteren is in dat geval wel handig). Uiteraard heb ik het dan niet over de duidelijke gevallen waarbij daadwerkelijk persoonsgegevens zijn gelekt of gelekt kunnen zijn. Mijn punt is dat je wel je verstand moet blijven gebruiken bij het bepalen of je een melding doet, en niet klakkeloos alles melden dat enkel onder één van de voorgedefinieerde incidenten valt.
17-05-2017, 09:52 door Anoniem
Door Anoniem: Het begint typerend te worden; de AP betitelt van alles als datalek maar verzuimt enige motivatie daarbij te geven, als je de vraag vervolgens stelt geven ze niet thuis en schepen ze je af met het standaard stukje tekst uit de algemene richtlijn.
Je manier van formuleren suggereert dat je denkt dat AP Wannacry als gelegenheid misbruikt om nóg meer dingen een datalek te mogen noemen. Onzin, in hun beleidsregels voor de meldplicht van datalekken uit december 2015 staat het al. In de inleiding daarvan kan je lezen dat op 1 januari 2016 een wijziging op de wet bescherming persoonsgegevens in is gegaan, en in die inleiding kan je ook duidelijk lezen dat het helemaal draait om die wet, om artikel 34a om precies te zijn. Dát is hun motivatie, en die geven ze je wel degelijk als ze naar hun publicaties verwijzen, voor zover ik heb gezien beginnen de inleidingen die ze schrijven consequent met een verwijzing naar de wetgeving waar het om gaat.

Als je de wettekst zelf opzoekt en er even gericht in zoekt dan kom je al snel bij artikel 13 uit (het eerste puntje van artikel 34a verwijst ernaar). De eerste zin daaruit:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Daar staat "beveiligen tegen verlies" bij. Als je persoonsgegevens onder je hoede bent ben je niet alleen verplicht diefstal te voorkomen maar ook verlies van data moet voorkomen worden. Als je data door ransomware kwijtraakt is dat verlies, je bent het dan namelijk kwijt.

Het enige wat AP gedaan heeft is erop wijzen dat ook bij WannaCry dataverlies tot een meldplicht kan leiden. Niet iets om opgewonden over te raken, ze doen gewoon wat ze moeten doen hier.

Als je ook nog wilt weten waarom dat in de wet staat dan is dat weer in dat beleidsdocument te vinden (zoek op het woord 'verlies'). Kort en bondig:
Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad.
Als je je nog afvraagt waar ze dat vandaan hebben dan zou ik de memorie van toelichting op de wet en eventueel kamerstukken en verslagen van kamerdebatten in duiken.

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf
http://wetten.overheid.nl/BWBR0011468/2017-03-10#Hoofdstuk2_Paragraaf1_Artikel13
http://wetten.overheid.nl/BWBR0011468/2017-03-10#Hoofdstuk5_Artikel34a
17-05-2017, 10:28 door Anoniem
Het is iets genuanceerder.

Ransomware is een datalek wanneer je de gegevens kwijt bent (en dus geen goede back-up hebt) en je niet uit kunt sluiten dat de gegevens zijn ingezien en/of gekopieerd voordat ze versleuteld zijn.

Hopelijk komt er na invoering van de GDPR er een betere richtlijn. Daarin staat namelijk niet dat het een datalek is wanneer je onrechtmatige verwerking niet uit kan sluiten maar dat je het alleen hoeft te melden wanneer het waarschijnlijk onrechtmatig is verwerkt.
17-05-2017, 21:14 door Anoniem
@10:28

Ransomware is een datalek wanneer je de gegevens kwijt bent (en dus geen goede back-up hebt) en/of je niet uit kunt sluiten dat de gegevens zijn ingezien en/of gekopieerd voordat ze versleuteld zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.