Vergroot contrast

Meldplicht datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Meldloket Autoriteit Persoonsgegevens

Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken.

In het privacystatement formulier meldplicht datalekken is te vinden hoe de Autoriteit Persoonsgegevens omgaat met de persoonsgegevens van degene die een datalek meldt.

Datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden datalekken

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Beleidsregels meldplicht datalekken

De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.

Nieuws

Alle nieuwsberichten over het onderwerp 'Meldplicht datalekken'

Alle antwoorden op mijn vragenMeldplicht datalekken

  • Wat betekent de meldplicht datalekken voor mij als organisatie?

    Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens. Of u een datalek wel of niet moet melden, hangt af van de ernst van het datalek.

    In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Ook hierbij hangt het van de ernst van het datalek af of u dit wel of niet moet doen.

    Overtreding meldplicht datalekken

    Is de meldplicht datalekken ingegaan en meldt u een datalek ten onrechte niet bij de Autoriteit Persoonsgegevens? Dan kan de Autoriteit Persoonsgegevens u een boete geven.

    Meldplicht datalekken Telecommunicatiewet

    Biedt u openbare elektronische communicatiediensten aan? Dan was u ook voor 1 januari 2016 al verplicht om datalekken te melden op grond van de Telecommunicatiewet. Dit deed u bij de Autoriteit Consument en Markt (ACM).

    Deze meldplicht blijft bestaan. Per 1 januari 2016 doet u deze meldingen niet meer bij ACM, maar bij de Autoriteit Persoonsgegevens. U gebruikt hiervoor hetzelfde meldformulier van het meldloket datalekken waarmee u ook de overige datalekken meldt.

  • Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

    Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

    Beleidsregels meldplicht datalekken

    De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van ernstige nadelige gevolgen.

  • Moet ik alle datalekken melden aan betrokkenen?

    Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

    Melden datalek niet nodig

    U mag de melding aan de betrokkenen eventueel achterwege laten als u passende technische beschermingsmaatregelen heeft getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Bijvoorbeeld goede encryptie.

    Beleidsregels meldplicht datalekken

    De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen.

    Ook helpen deze beleidsregels u met de vraag of de door u getroffen technische beschermingsmaatregelen de gegevens onbegrijpelijk of ontoegankelijk hebben gemaakt voor onbevoegden.

  • Moet ik een datalek melden aan de betrokkenen als zij er waarschijnlijk geen last van hebben?

    Kunt u aannemelijk maken dat betrokkenen waarschijnlijk geen last zullen hebben van een datalek? Dat wil zeggen: dat het onwaarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer? Dan hoeft u het datalek niet aan de betrokkenen te melden. Maar u moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens (AP).

    U moet een datalek melden bij de AP als het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. Meer informatie hierover vindt u in de Beleidsregels meldplicht datalekken.

    Moet u het datalek bij de AP melden? Maar zijn ongunstige gevolgen voor de betrokkenen onwaarschijnlijk? Dan geeft u in uw melding bij de AP aan dat u het datalek niet heeft gemeld aan de betrokkenen.

    Als onderbouwing hiervoor geeft u aan waarom het onwaarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen.

    Voorbeeld

    Een derde partij (zoals een hacker) ontdekt een beveiligingsprobleem in uw systeem. Door dit probleem zijn de persoonsgegevens in uw systeem toegankelijk voor onbevoegden. Deze partij geeft dit ter goeder trouw aan u door.

    Kunt u met logs aannemelijk maken dat behalve deze derde partij niemand anders onbevoegd toegang heeft gekregen tot de persoonsgegevens? Dan zijn er waarschijnlijk geen ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkenen. En hoeft u het datalek dus niet aan de betrokkenen te melden. 

    Maar de inbreuk heeft wel nadelige gevolgen gehad voor de bescherming van de persoonsgegevens. Daarom moet u het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens.

    Of u dit moet doen, hangt onder meer af van de aard van de persoonsgegevens waartoe de derde partij toegang heeft gehad. Zie verder de Beleidsregels meldplicht datalekken.

  • Wanneer legt de Autoriteit Persoonsgegevens een boete op als een datalek niet is gemeld?

    De Autoriteit Persoonsgegevens kan bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens een boete opleggen van maximaal 820.000 euro. Voor overtreding van de meldplicht datalekken uit de Telecommunicatiewet kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 900.000 euro.

    In de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 staat hoe de Autoriteit Persoonsgegevens de hoogte van boetes bepaalt.

    Bindende aanwijzing

    Is de overtreding niet opzettelijk gepleegd? En is er geen sprake van ernstig verwijtbare nalatigheid? Dan legt de Autoriteit Persoonsgegevens eerst een bindende aanwijzing op. Daarna legt de Autoriteit Persoonsgegevens eventueel een boete op.

    Overwegingen boete datalek

    Bij het opleggen van een boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval. Een omstandigheid van het geval is bijvoorbeeld dat de gelekte gegevens niet door derden zijn ingezien.

    Boetebevoegdheid Autoriteit Persoonsgegevens

    Sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens een boetebevoegdheid.

  • Wat is het verschil tussen de meldplicht datalekken en de meldplicht veiligheidsinbreuken?

    De meldplicht datalekken komt voort uit de Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet (Tw). De meldplicht veiligheidsinbreuken komt voort uit de Europese eIDAS-verordening. Deze meldplicht geldt alleen als u elektronische vertrouwensdiensten verleent.

    Meldplicht datalekken

    Zowel de Wbp (artikel 34a, eerste lid) als de Tw (artikel 11.3a, eerste lid) kennen een meldplicht datalekken. De meldplicht op grond van de Tw geldt alleen als u openbare elektronische communicatiediensten aanbiedt.

    In beide gevallen meldt u datalekken bij de Autoriteit Persoonsgegevens.

    Meldplicht veiligheidsinbreuken - eIDAS

    De meldplicht veiligheidsinbreuken is onderdeel van de EU-verordening elektronische identiteiten en vertrouwensdiensten (eIDAS-verordening). Het doel van deze verordening is het vertrouwen in elektronische transacties te vergroten.

    Deze meldplicht geldt vanaf 1 juli 2016. U heeft deze meldplicht alleen als u vertrouwensdiensten verleent. Zoals het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites.

    Als verlener van vertrouwensdiensten bent u verplicht om een (vermoeden van een) veiligheidsinbreuk of integriteitsverlies te melden bij Agentschap Telecom.

    Waar nodig stelt Agentschap Telecom het NCSC en de Autoriteit Persoonsgegevens op de hoogte.

  • Waar kan ik terecht met vragen over de meldplicht datalekken?

    Op deze website vindt u informatie en antwoorden op vragen over de meldplicht datalekken. Heeft u hier geen antwoord op uw vraag gevonden? Dan kunt u contact opnemen met de Autoriteit Persoonsgegevens. Het telefoonnummer is 0900-3282535 (voor dit nummer betaalt u uw gebruikelijke telefoonkosten).

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenEen datalek melden

  • Hoe meld ik een datalek aan de Autoriteit Persoonsgegevens?

    U kunt een datalek melden via het meldloket datalekken.

    Lukt het niet om via het meldformulier te melden? Dan kunt u uw melding doen via faxnummer 070 - 888 85 01. Op p. 51-54 van de beleidsregels meldplicht datalekken vindt u de gegevens die u in uw melding moet opnemen.

    Let op: datalekken melden per fax is uitsluitend bedoeld voor die situaties waarin het niet mogelijk is om met het formulier het datalek te melden.

  • Hoe laat ik mijn melding bij de Autoriteit Persoonsgegevens zo goed mogelijk verlopen?

    Om uw melding van een datalek via het meldingsloket datalekken zo goed mogelijk te laten verlopen, zijn er de volgende tips:

    Moderne browser gebruiken

    Gebruik bij het invullen van het meldformulier een moderne browserversie.

    Ontvangstbevestiging printen

    Is het versturen van de melding goed verlopen, dan krijgt u op uw scherm meteen een ontvangstbevestiging te zien. In de ontvangstbevestiging staan de gegevens die u heeft ingevoerd met daarbij een meldingsnummer.

    U kunt de melding niet online raadplegen. Maak daarom meteen een print voor uw eigen administratie voordat u het browservenster afsluit.

    Meldingsnummer gebruiken

    De melding is bekend bij de Autoriteit Persoonsgegevens onder het meldingsnummer dat in de ontvangstbevestiging staat.

    U heeft het meldingsnummer nodig om de melding te kunnen aanpassen of intrekken. Let op: vul daarbij het meldingsnummer exact in zoals het op de ontvangstbevestiging staat. Neem alle tekens over en zet geen spaties tussen de tekens.

    Vermeld het meldingsnummer bij eventuele correspondentie over uw melding met de Autoriteit Persoonsgegevens.

  • Wat moet ik doen als ik op versturen heb geklikt maar geen ontvangstbevestiging en meldingsnummer zie?

    Het kan zijn dat u niet alle gegevens (goed) heeft ingevuld en dat daardoor het versturen niet is gelukt. Het kan ook gebeuren dat uw melding door een technisch probleem niet is verwerkt.

    Niet goed ingevuld

    Heeft u nog niet alle gegevens correct ingevuld, dan lukt het niet om de melding te versturen.

    U lost dit op door de ontbrekende gegevens aan te vullen en de onjuiste gegevens te corrigeren. In het meldformulier ziet u foutmeldingen bij de gegevens waar het om gaat.

    Technisch probleem

    Ziet u na het versturen van het formulier een foutmelding of een leeg formulier? Dan is uw melding door een technisch probleem niet verwerkt. U moet dan de melding opnieuw invullen en versturen.

    Melden lukt niet

    Lukt het niet om via het meldformulier het datalek te melden? Dan kunt u uw melding doen via faxnummer 070 - 888 85 01. Op p. 51-54 van de beleidsregels meldplicht datalekken vindt u de gegevens die u in uw melding moet opnemen.

    Let op: datalekken melden per fax is uitsluitend bedoeld voor die situaties waarin het niet mogelijk is om met het formulier het datalek te melden.

  • Kan ik mijn melding van een datalek aanvullen of intrekken?

    Ja, u kunt de melding die u gedaan heeft aanvullen of intrekken. Dit doet u via het meldloket datalekken. U heeft daarbij uw meldingsnummer nodig.

    Let op: vul het meldingsnummer exact in zoals het op de ontvangstbevestiging van uw melding staat. Neem alle tekens over en zet geen spaties tussen de tekens.

  • Waarom moet ik bij het aanvullen of intrekken van een datalekmelding de gegevens opnieuw invullen?

    Uw melding van een datalek wordt verstuurd naar een beveiligde, afgesloten omgeving. U kunt de gegevens daarna niet meer inzien of aanpassen via het meldloket. Dit is zo ingericht om ongeoorloofde toegang tot datalekmeldingen te voorkomen.

    Dit betekent dat u bij het aanvullen of intrekken van een datalekmelding de verplichte gegevens in het formulier nogmaals moet invullen.

    Bij velden met vrije tekst, zoals de samenvatting van het incident, kunt u verwijzen naar de oorspronkelijke melding. U hoeft dan niet de volledige tekst opnieuw in te vullen.

  • Kan ik een datalek melden bij de FG van mijn organisatie?

    Nee, u kunt een datalek niet melden bij de functionaris voor de gegevensbescherming (FG). U moet het datalek melden bij de Autoriteit Persoonsgegevens.

    Wel is het zinvol om de FG te betrekken bij de afhandeling van het datalek. De FG kan u bijvoorbeeld adviseren bij het informeren van de betrokkenen.

  • Wat doet de Autoriteit Persoonsgegevens met mijn melding van een datalek?

    De Autoriteit Persoonsgegevens slaat uw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar. 

    Contact over melding datalek

    De Autoriteit Persoonsgegevens kan contact met u opnemen als er inhoudelijke vragen zijn over uw melding.

    Heeft u de betrokkenen niet geïnformeerd over het datalek? Maar is dat volgens de wet wel noodzakelijk? Dan kan de Autoriteit Persoonsgegevens u vragen om dat alsnog te doen.

    Onderzoek Autoriteit Persoonsgegevens

    Uw datalekmelding kan, eventueel in combinatie met andere meldingen, ook aanleiding zijn voor de Autoriteit Persoonsgegevens om een onderzoek te starten naar de naleving van de privacywetgeving.

  • Wanneer krijg ik een reactie van de Autoriteit Persoonsgegevens als ik een datalek heb gemeld?

    Meestal krijgt u geen reactie. Tenzij de Autoriteit Persoonsgegevens inhoudelijke vragen heeft over uw melding. Dan neemt de Autoriteit Persoonsgegevens binnen 1-2 twee weken na ontvangst van uw melding contact met u op.

    Informeren betrokkenen

    Heeft u de betrokkenen niet geïnformeerd over het datalek? Maar is dat volgens de wet wel noodzakelijk? Dan kan de Autoriteit Persoonsgegevens u vragen om dat alsnog te doen.

    De wet zegt dat u de betrokkenen direct moet informeren. De Autoriteit Persoonsgegevens neemt in dit geval daarom zo snel mogelijk contact met u op.

  • Maakt de Autoriteit Persoonsgegevens gemelde datalekken openbaar?

    Nee, dat doet de Autoriteit Persoonsgegevens niet. Het is namelijk belangrijk dat gegevens over de beveiliging van de gegevensverwerking of over gelekte persoonsgegevens vertrouwelijk blijven.

    De Autoriteit Persoonsgegevens kan wel op basis van de meldingen in jaarverslagen of andere publicaties aandacht besteden aan datalekken.

    Verder kan een datalekmelding relevant zijn voor een onderzoek dat de Autoriteit Persoonsgegevens doet. Het kan dan nodig zijn om informatie uit de melding op te nemen in het onderzoeksrapport. Op de publicatie van die informatie zijn de Beleidsregels openbaarmaking door de Autoriteit Persoonsgegevens van toepassing.

    Tot slot kan de Autoriteit Persoonsgegevens, als dat nodig is, informatie uit de ontvangen datalekmeldingen delen met andere toezichthouders waarmee het een samenwerkingsovereenkomst heeft.

  • Wie in een samenwerkingsverband moet een datalek melden bij de Autoriteit Persoonsgegevens?

    De algemene regel is dat de verantwoordelijke voor de gegevensverwerking een datalek moet melden. Werkt u samen in een samenwerkingsverband? Dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. U spreekt dan onderling af wie het datalek meldt aan de Autoriteit Persoonsgegevens en aan de betrokkenen.

    Afspraken meldplicht datalekken

    Bij het maken van afspraken over het melden van datalekken kunt u aansluiten bij de bestaande afspraken die u, los van de meldplicht datalekken, heeft gemaakt over de naleving van de Wet bescherming persoonsgegevens.

    Welke samenwerkingspartner meldt bijvoorbeeld gegevensverwerkingen bij de Autoriteit Persoonsgegevens? Welke samenwerkingspartner zorgt dat betrokkenen hun rechten kunnen uitoefenen, zoals het recht op inzage en correctie?

    Ook is het van belang dat u bekijkt hoe de gezamenlijke gegevenshuishouding eruitziet. Waar kunnen eventueel datalekken optreden, welke samenwerkingspartners moeten dat weten en hoe zorgt u dat ze tijdig op de hoogte worden gesteld? Maak ook hier afspraken over.

  • Moet de verantwoordelijke of de bewerker een datalek melden?

    Maakt u als verantwoordelijke gebruik van een dienst van een andere organisatie? En is die organisatie een bewerker? Dan moet u de melding doen als er een datalek is. Tenzij u expliciet afspraken maakt met de bewerker - bijvoorbeeld in de bewerkersovereenkomst - dat die namens u datalekken meldt.

    Doet u de meldingen zelf? Dan moet u ervoor zorgen dat u tijdig weet dat er een datalek is. Spreek daarom met de bewerker af dat die u op de hoogte stelt van eventuele datalekken. U doet dit bij voorkeur door het in de bewerkersovereenkomst op te nemen.

  • Wat kan ik bij een datalek adviseren over het voorkomen van identiteitsfraude?

    Er zijn datalekken die kunnen leiden tot identiteitsfraude. Informeert u de betrokkenen over zo’n datalek, dan geeft u aan dat zij alert moeten zijn op identiteitsfraude. U kunt de betrokkenen daarbij verwijzen naar:

    informatie van de politie over identiteitsfraude;
    informatie van de Rijksoverheid over identiteitsfraude.

    Deze pagina’s geven informatie over hoe betrokkenen identiteitsfraude kunnen herkennen en wat zij kunnen doen.

  • Kan ik als betrokkene een datalek melden bij de Autoriteit Persoonsgegevens?

    U kunt als betrokkene een datalek melden via ons tipformulier.

    U bent betrokkene als een organisatie uw persoonsgegevens gebruikt.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenDatalek door ransomware

  • Wat is ransomware?

    Ransomware is malware (kwaadaardige software) die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist, bijvoorbeeld via prepaidkaarten of Bitcoin.

    Besmetting verloopt vaak via besmette bestanden, zoals een e-mailbijlage of via advertenties op internet die een lek in niet-geüpdatete software misbruiken.

    Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.

  • Is er na besmetting met ransomware sprake van een datalek?

    Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

    De verantwoordelijke (de organisatie die de persoonsgegevens verwerkt) kan er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.

    Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

  • Moet ik een datalek als gevolg van ransomware melden bij de Autoriteit Persoonsgegevens?

    Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak. Dit houdt in dat u het datalek bij de Autoriteit Persoonsgegevens moet melden als het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

    U kunt er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.

    Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

  • Moet ik een datalek als gevolg van ransomware melden aan de betrokkenen?

    Om te beoordelen of u dit moet doen, kunt naar de criteria kijken die in de Beleidsregels meldplicht datalekken staan.

    U moet de betrokkenen informereren als het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

  • Ben ik verplicht een onderzoek te (laten) doen na een aanval met ransomware?

    Nee. U bent vanuit de meldplicht datalekken niet verplicht een (digitaal forensisch) onderzoek te (laten) doen. Het is aan u om te besluiten of u de omvang van de inbreuk wilt (laten) onderzoeken of niet.

    Zonder onderzoek zal de onzekerheid over de omvang van de besmetting echter blijven bestaan. Dit betekent dat u niet redelijkerwijs kunt uitsluiten dat persoonsgegevens door een derde zijn ingezien, gekopieerd, gestolen of veranderd.

  • Wat kan ik doen nadat er een aanval met ransomware is vastgesteld?

    U kunt de omvang van de inbreuk achteraf (laten) onderzoeken. Een van de meest gangbare manieren hiervoor is digitaal forensisch onderzoek.

    Andere manieren zijn ook mogelijk. U kunt bijvoorbeeld functionaliteiten van de malware (laten) analyseren als achterhaald kan worden met welke malware de inbreuk is gepleegd.

    Logging en controle op de logging kan ook helpen bij het bepalen van de omvang van de inbreuk. Dit is mogelijk als het systeem zo is ingericht dat alle manieren worden gelogd waarop gegevens benaderd kunnen worden.

  • Wat kan ik doen om de omvang van een eventuele (toekomstige) inbreuk te beperken?

    U kunt de omvang van een inbreuk beperken door gegevens offline te bewaren en door netwerksegmentatie toe te passen.

    Bij netwerksegmentatie (het scheiden van interne netwerken) kan een inbreuk beperkt worden gehouden tot het direct getroffen netwerk. 

    Het is van belang om de toegang tot gegevens goed bij te houden (loggen) en te monitoren. Hierdoor kan de tijdsduur van een inbreuk beperkt blijven en kunt u snel actie ondernemen.

  • Kan ik ervan uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of deel van het systeem?

    Nee. De besmetting door ransomware kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

    Om de daadwerkelijke omvang van het datalek te bepalen, kunt u onderzoek (laten) doen. Hiermee kunt u bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.

    Als u geen onderzoek doet, moet u ervan uitgaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.

  • Kunnen bestanden zijn versleuteld zonder eerst geopend te zijn?

    Nee. Voordat bestanden kunnen worden versleuteld, moeten ze eerst worden geopend. Pas daarna kan de ransomware de gegevens versleutelen en vervolgens de versleutelde inhoud opslaan.

    Als u de bestanden versleuteld aantreft, is het dus zeker dat een derde toegang heeft gehad tot deze bestanden en deze heeft geopend. En dat betekent ook dat deze derde de gegevens in die bestanden heeft kunnen inzien en kopiëren.

  • Is de inbreuk beëindigd als ik heb de bestanden heb teruggezet uit de backups en de ransomware is verwijderd?

    Nee. Als u niet heeft onderzocht wat de omvang van de inbreuk is geweest, kunt u niet aannemen dat de inbreuk beperkt is gebleven tot het versleutelen van de betreffende bestanden.

    Bij inbreuken waarbij ransomware is aangetroffen, is de controle over het systeem in ieder geval gedeeltelijk verloren gegaan.

    U moet er rekening mee houden dat een derde toegang heeft gehad tot het hele systeem en alle gekoppelde bestanden en systemen.

    Dat betekent dat u ervan uit moet gaan dat alle gegevens in het systeem en ook in daaraan gekoppelde bestanden en systemen hebben blootgestaan aan de inbreuk. Daarmee kan het datalek groter zijn dan het op het eerste gezicht lijkt.

  • Moet ik het datalek melden aan de betrokkenen als de gegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden?

    Heeft u door encryptie de (mogelijk) gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? Dan kunt u de melding aan de betrokkenen eventueel achterwege laten.

    Dit is een strenge norm, die u van geval tot geval moet toepassen op basis van de actuele stand van de techniek. Twijfelt u over de adequaatheid van de technische beschermingsmaatregelen die u heeft getroffen? Dan moet u het datalek melden aan de betrokkenen.

    Zijn de gegevens door de ransomware niet meer toegankelijk zijn voor u en voor de betrokkenen? En is er geen back-up voorhanden? Dan moet u dit mogelijk wél aan de betrokkenen melden. In dat geval is namelijk sprake van verlies van persoonsgegevens. Ook als u de gegevens had encrypted.

    U kunt voor uw beoordeling of u het datalek aan de betrokkenen moet melden naar de criteria kijken die in de Beleidsregels meldplicht datalekken staan. U moet de betrokkenen informereren als het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Hulpmiddelen voor professionals