Ransomware, is kwaadaardige software, malware, die een computer blokkeert of bestanden versleutelt. Pas wanneer je losgeld (ransom) betaalt aan de verzender, kun je de computer of bestanden weer gebruiken. Ransomware komt organisaties  binnen door hacking. Of bijvoorbeeld doordat een medewerker onbewust klikt op een link in een phishing mail (nepmail), waardoor de malware geïnstalleerd wordt. De malware ziet er op het oog uit als een ‘normaal’ bestand, het heeft bijvoorbeeld een .PDF of .exe extensie en valt daardoor niet op tussen de overige bestanden.

“Ransomware is als schieten met hagel”, aldus Michael Bijtenhoorn van The Trusted Third Party (TT3P). “De verzender zorgt er via de malware voor dat er hele systemen of een groot aantal bestanden worden versleuteld. Dat kunnen allerlei verschillende bestanden zijn: Word files, foto’s, (delen van) een CRM systeem. En dus zit er zit altijd wel iets bij dat van persoonlijke of bedrijfsmatige waarde is”.

In de versleutelde bestanden kunnen persoonsgegevens zitten, zoals van klanten, donateurs, medewerkers, etc. En daarmee komen de AVG en de Meldplicht Datalekken om de hoek kijken.

Wat zegt de Autoriteit Persoonsgegevens over ransomware als datalek?

De AP geeft op haar website aan: “Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.” De vraag is echter of er daadwerkelijk toegang heeft plaatsgevonden of liever gezegd: dat je als organisatie kunt uitsluiten dat die toegang heeft plaatsgevonden. Om daar achter te komen zul je als organisatie onderzoek moeten doen. Een dergelijk onderzoek is niet verplicht. Maar, zo stelt de AP: “Zonder onderzoek zal de onzekerheid over de omvang van de besmetting echter blijven bestaan. Dit betekent dat u niet redelijkerwijs kunt uitsluiten dat persoonsgegevens door een derde zijn ingezien, gekopieerd, gestolen of veranderd.”

Bron AP

Wat is ons advies?

Voorkomen is beter dan genezen

  • Werk als organisatie aan de awareness onder medewerkers ten aanzien van ransomware
  • Klik nooit zomaar op links in e-mails van een onbetrouwbaar e-mailadres
  • Zorg voor een goede informatiebeveiliging om hacks te voorkomen
  • Zorg voor een zeer regelmatige back-up van bestanden (dan kun je de bestanden die versleuteld zijn herstellen vanuit deze back-up)
  • Zorg dat ransomware niet bij de gemaakte back-ups kan (door ze bijvoorbeeld offline te bewaren), want anders worden deze ook versleuteld en dus onbruikbaar

In geval van een ransomware aanval

  • Doe een goed onderzoek naar de aard en omvang van de ransomware aanval; alsook: welke persoonsgegevens zijn hierbij betrokken
  • Raadpleeg je privacy en ICT verantwoordelijke en/of de privacy adviseur en neem een weloverwogen beslissing over de vervolgstappen, waaronder het melden van het datalek aan de Autoriteit Persoonsgegevens en de betrokkenen, indien van toepassing.