Meldplicht datalekken
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Wat is een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.
Datalek melden
Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het meldformulier datalekken. In de privacyverklaring datalek melden staat hoe de AP omgaat met de persoonsgegevens van degene die een datalek meldt.
Datalekmelding voorbereiden
In de Vragenlijst meldformulier datalekken staan de vragen uit het online meldformulier datalekken. Dit document helpt organisaties om vóór het invullen van het online formulier de vragen alvast in te zien. Zo kunnen zij de benodigde informatie alvast verzamelen.
Daarnaast kan de vragenlijst organisaties helpen om een stappenplan op te stellen waarmee zij een (toekomstig) datalek zo tijdig en volledig mogelijk kunnen melden.
Overige acties bij een datalek
Bij een datalek is het dus belangrijk om na te gaan of u verplicht bent om het datalek te melden. Maar dat is niet het enige. Meer weten over wat u moet doen? Zie het stappenplan 'Kom in actie bij een datalek' en dossier Acties bij datalekken.
Overzichten meldingen datalekken
De AP publiceert elk jaar een totaaloverzicht van alle gemelde datalekken. Zie: Overzichten datalekken.
Delen gegevens
De AP kan datalekmeldingen delen met andere organisaties voor wetenschappelijke of statistisch onderzoek. De AP treft daarbij maatregelen om:
- niet onnodig persoonsgegevens te verstrekken;
- de vertrouwelijkheid van de datalekmeldingen te waarborgen.
Vragen over datalekken?
- Heeft u een vraag over het melden van datalekken of over datalekken in het algemeen? Kijk dan eerst bij veelgestelde vragen over de meldplicht datalekken.
- Kunt u de informatie niet op onze website vinden? Dan kunt u bellen naar 088 - 1805 255. U betaalt uw gebruikelijke telefoonkosten. Let op: dit nummer is alleen bedoeld voor organisaties die vragen hebben over de meldplicht datalekken.
- Bent u een burger en heeft u een algemene vraag over een datalek of over de AVG? Dan kunt u contact opnemen met het Informatie- en Meldpunt Privacy.
- Bent u een functionaris gegevensbescherming (FG)? En heeft u een vraag over datalekken? Dan kunt u contact opnemen via onze onze speciale FG-contactkanalen.
Bekijk binnen het onderwerp Meldplicht datalekken
Nieuws
-
Persbericht / 24 mei 2022Datalekken door cyberaanvallen bijna verdubbeld
-
Persbericht / 12 november 2021AP beboet Transavia om slechte beveiliging persoonsgegevens
-
Nieuwsbericht / 17 september 2021Meldformulier datalekken offline 17-20 september 2021
Alle antwoorden op mijn vragenAlgemene vragen over datalekken en de meldplicht
-
Wat is een datalek precies?
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.
Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (artikel 4, punt 12, AVG).
Categorieën datalekken
Er zijn 3 categorieën datalekken te onderscheiden:
- Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens. - Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens. - Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Een datalek kan, afhankelijk van de omstandigheden, in meer dan 1 van deze 3 categorieën vallen.
Voorbeelden datalekken
Voorbeelden van datalekken zijn:
- het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
- een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
- een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Kom in actie bij een datalek
Is er bij uw organisatie sprake van een datalek? Kom dan snel in actie om grotere problemen voor te zijn. Voor meer informatie, zie het stappenplan Kom in actie bij een datalek.
- Inbreuk op de vertrouwelijkheid
Alle antwoorden op mijn vragenVragen van organisaties over het wel/niet moeten melden van een datalek
Alle antwoorden op mijn vragenVragen over de melding bij de AP
-
Hoe snel moet ik een datalek melden aan de AP?
U moet een datalek binnen 72 uur na ontdekking van het lek melden aan de Autoriteit Persoonsgegevens (AP). Wanneer u dat niet doet bent u waarschijnlijk in overtreding.
Wanneer u te laat bent moet u dit motiveren. Alleen in uitzonderlijke gevallen accepteert de AP een vertraagde melding na 72 uur.
Ter illustratie: een vakantie, ziekte, drukte of ‘het was weekend’ is geen geldig excuus om te laat te melden. Ook de motivatie ‘de FG is te laat geïnformeerd over datalek’ is geen geldig excuus. Het is namelijk uw verantwoordelijkheid om ervoor te zorgen dat uw medewerkers incidenten op tijd melden bij de juiste persoon binnen uw organisatie.
Vervolgmelding
Gaat het om een complexe inbreuk, zoals digitale hacks of phishing? En heeft u nog niet alle informatie? Dan moet u de eerste melding nog steeds binnen 72 uur doen. Bij nieuwe informatie kunt u dan een vervolgmelding doen.
Grensoverschrijdende datalekken
Let op: bij grensoverschrijdende datalekken is het meestal aan te raden om het datalek te melden aan de toezichthouder in de Europese lidstaat waar uw hoofdkantoor gevestigd.
-
Hoe meld ik een datalek aan de Autoriteit Persoonsgegevens?
U kunt een datalek melden via het meldformulier datalekken.
Datalekmelding voorbereiden
In de Vragenlijst meldformulier datalekken staan de vragen uit het online meldformulier datalekken. Dit document helpt u om vóór het invullen van het online formulier de vragen alvast in te zien. Zo kunt u de benodigde informatie alvast verzamelen.
Daarnaast kan de vragenlijst u helpen om een stappenplan op te stellen waarmee u een (toekomstig) datalek zo tijdig en volledig mogelijk kunt melden.
-
Wanneer krijg ik een reactie van de Autoriteit Persoonsgegevens als ik een datalek heb gemeld?
Meestal krijgt u geen reactie. Tenzij de Autoriteit Persoonsgegevens (AP) inhoudelijke vragen heeft over uw melding. Dan neemt de AP binnen 1-2 twee weken na ontvangst van uw melding contact met u op.
Informeren betrokkenen
Heeft u de betrokkenen niet geïnformeerd over het datalek? Maar is dat volgens de wet wel noodzakelijk? Dan kan de AP u verplichten om dat alsnog te doen.
De wet zegt dat u de betrokkenen direct moet informeren. De AP neemt in dit geval daarom zo snel mogelijk contact met u op.
-
Maakt de Autoriteit Persoonsgegevens gemelde datalekken openbaar?
Nee, dat doet de Autoriteit Persoonsgegevens (AP) niet. Het is namelijk belangrijk dat gegevens over de beveiliging van de gegevensverwerking of over gelekte persoonsgegevens vertrouwelijk blijven.
- De AP kan wel op basis van de meldingen in jaarverslagen of andere publicaties aandacht besteden aan datalekken.
- Verder kan een datalekmelding relevant zijn voor een onderzoek dat de AP doet. Het kan dan nodig zijn om informatie uit de melding op te nemen in het onderzoeksrapport.
- Tot slot kan de AP, als dat nodig is, informatie uit de ontvangen datalekmeldingen delen met andere toezichthouders waarmee het een samenwerkingsovereenkomst heeft.
Alle antwoorden op mijn vragenVragen over de melding aan betrokkenen
-
Welke informatie moet ik de betrokken personen geven bij een datalek?
Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij kunnen doen om zichzelf te beschermen.
U moet daarom ten minste antwoord geven op de volgende vragen:
Wat is er gebeurd?
Geef onder meer antwoord op de volgende vragen:
- Zijn de gegevens in handen gekomen van een onbevoegde? Of zijn de persoonsgegevens tijdelijk of permanent ontoegankelijk of verloren geraakt?
- Waren de persoonsgegevens onjuist of onvolledig? Of een combinatie?
- Om welke gegevens ging het? Wat is er met deze gegevens gebeurd?
Wat zijn de waarschijnlijke gevolgen?
Geef onder meer antwoord op de volgende vragen:
- Is alleen de privacy geschonden van de betrokken persoon? Of is er ook sprake van (een hoog risico op) lichamelijke of materiële (financiële) schade?
- Zijn de persoonsgegevens in handen van een kwaadwillende? Bijvoorbeeld een hacker? Zo ja, is er een (hoog) risico dat de betrokken persoon als gevolg van het datalek phishing mails ontvangt? Of het slachtoffer wordt van (identiteits)fraude?
- Zijn de persoonsgegevens inmiddels teruggestuurd of vernietigd door de partij die de gegevens onterecht heeft ontvangen?
Welke maatregelen stelt u voor of heeft u al getroffen?
Inclusief eventuele maatregelen om de risico’s te verkleinen of de nadelige gevolgen te beperken. Hierbij moet u ook vermelden of u externe partijen om advies heeft gevraagd. En zo ja, wat dat advies inhoudt.
Kan de getroffen persoon zelf iets doen?
Bijvoorbeeld om het risico op identiteitsfraude te verkleinen.
Waar terecht met vragen?
Geef de naam en contactgegevens van de functionaris gegevensbescherming (FG), als uw organisatie die heeft. Of van iemand uit uw organisatie waar de getroffen personen terechtkunnen voor meer informatie. Bijvoorbeeld de directeur of een privacycontactpersoon.
-
Wat kan ik bij een datalek adviseren over het voorkomen van identiteitsfraude?
Er zijn datalekken die kunnen leiden tot identiteitsfraude. Informeert u de betrokkenen over zo’n datalek, dan geeft u aan dat zij alert moeten zijn op identiteitsfraude. U kunt de betrokkenen daarbij verwijzen naar:
• informatie van de politie over identiteitsfraude;
• informatie van de Rijksoverheid over identiteitsfraude.Deze pagina’s geven informatie over hoe betrokkenen identiteitsfraude kunnen herkennen en wat zij kunnen doen.
Alle antwoorden op mijn vragenVragen over wie een datalek moet melden
-
Hoe meld ik als verwerker een datalek namens een of meerdere verwerkingsverantwoordelijken?
Als verwerker kunt u met uw opdrachtgever(s) - de verwerkingsverantwoordelijke(n) - hebben afgesproken dat u datalekken meldt bij de Autoriteit Persoonsgegevens (AP). Hier leest u welke regels daarvoor gelden.
Namens één verwerkingsverantwoordelijke
Meldt u als verwerker een datalek namens één verwerkingsverantwoordelijke? Let dan hierop:
- U meldt het datalek op naam van de verwerkingsverantwoordelijke.
- U geeft onder '1.2 Betrokkenheid andere organisatie' de naam van uw organisatie op. Geef ook aan dat u schriftelijk gemachtigd bent om namens de verwerkingsverantwoordelijke de melding te doen.
- De gegevens van de melder zijn die van een medewerker van uw organisatie.
- De contactpersoon in de melding is een medewerker van de verwerkingsverantwoordelijke.
Namens meerdere verwerkingsverantwoordelijken
Meldt u als verwerker een datalek namens meerdere verwerkingsverantwoordelijken? Let dan hierop:
- U doet namens elke verwerkingsverantwoordelijke een aparte datalekmelding bij de AP.
- U doet elke datalekmelding op naam van de betreffende verwerkingsverantwoordelijke.
- U geeft onder '1.2 Betrokkenheid andere organisatie' de naam van uw organisatie op.
Geef ook aan dat u schriftelijk gemachtigd bent om namens de verwerkingsverantwoordelijke de melding te doen.
Geef tot slot aan voor hoeveel andere verwerkingsverantwoordelijken het gemelde datalek geldt, bijvoorbeeld met een volgnummer. - De gegevens van de melder zijn die van een medewerker van uw organisatie.
- De contactpersoon in de melding is een medewerker van de verwerkingsverantwoordelijke.
Alle antwoorden op mijn vragenPraktische vragen over het meldformulier datalekken
-
Hoe laat ik mijn melding bij de AP zo goed mogelijk verlopen?
Om uw melding van een datalek aan de Autoriteit Persoonsgegevens (AP) via het meldloket datalekken zo goed mogelijk te laten verlopen, zijn er de volgende tips.
Moderne browser gebruiken
Gebruik bij het invullen van het meldformulier een moderne browserversie.
Ontvangstbevestiging printen
Is het versturen van de melding goed verlopen, dan krijgt u op uw scherm meteen een ontvangstbevestiging te zien. In de ontvangstbevestiging staan de gegevens die u heeft ingevoerd met daarbij een meldingsnummer.
U kunt de melding niet online raadplegen. Maak daarom meteen een print voor uw eigen administratie voordat u het browservenster afsluit.
Meldingsnummer gebruiken
De melding is bekend bij de AP onder het meldingsnummer dat in de ontvangstbevestiging staat.
U heeft het meldingsnummer nodig om de melding te kunnen aanpassen of intrekken. Let op: vul daarbij het meldingsnummer exact in zoals het op de ontvangstbevestiging staat. Neem alle tekens over en zet geen spaties tussen de tekens.
Vermeld het meldingsnummer bij eventuele correspondentie over uw melding met de AP.
-
Wat wordt bedoeld met 'gegevensrecords' in het meldformulier?
In het meldformulier voor datalekken wordt u gevraagd om aan te geven hoeveel gegevensrecords (gegevensregisters) zijn getroffen door de inbreuk. Een gegevensrecord is een vastlegging van informatie over een bepaald persoon. Een gegevensrecord kan meerdere (categorieën van) persoonsgegevens bevatten.
Is een gegevensrecord onderdeel van een tabel? Dan wordt met de term 'gegevensrecord' meestal een regel bedoeld in een lijst. Bijvoorbeeld een regel in een Excel-bestand. Eén regel in de lijst is dan één gegevensrecord.
Voorbeelden van gegevensrecords
Aankoop bij een webwinkel
Een aankoop bij een webwinkel is één gegevensrecord. Dit gegevensrecord kan onder meer bestaan uit: besteld(e) product(en), aankoopbedrag, moment van bestelling, NAW-gegevens, e-mailadres en eventuele andere gegevens over de aankoop.Doet een klant op verschillende momenten een aankoop bij een webwinkel? Dan legt de webwinkel elke aankoop in een apart gegevensrecord vast. Een webwinkel kan dus meerdere gegevensrecords over dezelfde klant hebben.
Kopie paspoort
Een kopie van een paspoort is één gegevensrecord. Daarop staan naast naam en geboortedatum ook andere persoonsgegevens, zoals iemands paspoortnummer.
Gebruik van logfiles
Gebruikt een ziekenhuis logfiles om vast te leggen wie wanneer inzage heeft gehad in een medisch dossier? Dan is elke log één gegevensrecord.En gebruikt een webwinkel logfiles om vast te leggen wie wanneer een product heeft toegevoegd aan een winkelmandje? Dan is elke logregel één gegevensrecord.
-
Wat moet ik doen als ik op versturen heb geklikt maar geen ontvangstbevestiging en meldingsnummer zie?
Het kan zijn dat u niet alle gegevens (goed) heeft ingevuld en dat daardoor het versturen niet is gelukt. Het kan ook gebeuren dat uw melding door een technisch probleem niet is verwerkt.
Niet goed ingevuld
Heeft u nog niet alle gegevens correct ingevuld, dan lukt het niet om de melding te versturen.
U lost dit op door de ontbrekende gegevens aan te vullen en de onjuiste gegevens te corrigeren. In het meldformulier ziet u foutmeldingen bij de gegevens waar het om gaat.
Technisch probleem
Ziet u na het versturen van het formulier een foutmelding of een leeg formulier? Dan is uw melding door een technisch probleem niet verwerkt. U moet dan de melding opnieuw invullen en versturen.
-
Kan ik mijn melding van een datalek aanvullen of intrekken?
Ja, u kunt de melding die u gedaan heeft aanvullen of intrekken. Dit doet u via het meldloket datalekken. U heeft daarbij uw meldingsnummer nodig.
Let op: vul het meldingsnummer exact in zoals het op de ontvangstbevestiging van uw melding staat. Neem alle tekens over en zet geen spaties tussen de tekens.
-
Waarom moet ik bij het aanvullen of intrekken van een datalekmelding de gegevens opnieuw invullen?
Uw melding van een datalek wordt verstuurd naar een beveiligde, afgesloten omgeving. U kunt de gegevens daarna niet meer inzien of aanpassen via het meldloket. Dit is zo ingericht om ongeoorloofde toegang tot datalekmeldingen te voorkomen.
Dit betekent dat u bij het aanvullen of intrekken van een datalekmelding de verplichte gegevens in het formulier nogmaals moet invullen.
Bij velden met vrije tekst, zoals de samenvatting van het incident, kunt u verwijzen naar de oorspronkelijke melding. U hoeft dan niet de volledige tekst opnieuw in te vullen.
Alle antwoorden op mijn vragenVragen van slachtoffers van datalekken
-
Ik vermoed dat er een datalek is geweest, kan ik dit melden bij de AP?
Heeft u het vermoeden dat er een datalek is geweest bij een bepaalde organisatie? Dan kunt u dit aan de Autoriteit Persoonsgegevens (AP) doorgeven. Maar eerst is het belangrijk dat u het mogelijke datalek doorgeeft aan de organisatie zelf.
U meldt het datalek vervolgens bij de AP door het Meldingsformulier klachten in te vullen. Geef daarbij duidelijk aan:
- om welke gegevens het gaat;
- bij welke organisatie het datalek heeft plaatsgevonden;
- wanneer het datalek volgens u is geweest;
- wanneer u het datalek heeft doorgegeven aan de organisatie.
Vragen aan AP
Let op: u kunt via het meldingsformulier géén vragen stellen aan de AP. Heeft u een vraag, dan kunt u bellen met de AP tijdens het telefonisch spreekuur voor privacyvragen.
-
Kan ik slachtoffer worden van identiteitsfraude als mijn gegevens zijn gelekt?
Na een datalek kunt u risico lopen op identiteitsfraude, maar dit hoeft niet altijd. Bij identiteitsfraude maken criminelen misbruik van uw gegevens. Bijvoorbeeld door op uw naam spullen te kopen zonder te betalen.
Niet alle datalekken maken identiteitsfraude mogelijk. Met losse gegevens (bijvoorbeeld alleen een BSN) kan een fraudeur niet veel.
Het gaat om de combinatie van gegevens. Daarom is het bijvoorbeeld wél een risico als een kopie van uw identiteitsbewijs is gelekt.
Voorkomen of schade herstellen
In de brochure Geef oplichters geen kans: Een veilig ID van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties vindt u informatie over identiteitsfraude. En over wat u kunt doen om identiteitsfraude te voorkomen en eventuele schade te herstellen.
Slachtoffer van identiteitsfraude
Bent u slachtoffer geworden van identiteitsfraude? Meld dit dan bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI).
Dit doet u door het meldingsformulier identiteitsfraude in te vullen. Het CMI helpt u om de gevolgen van identiteitsfraude op te lossen.
Doe daarnaast aangifte bij de politie van identiteitsfraude.
Meer informatie identiteitsfraude
-
Heb ik recht op schadevergoeding als mijn gegevens zijn gelekt?
Zijn uw gegevens gelekt door een datalek? En heeft u hierdoor schade geleden? Dan heeft u mogelijk recht op een schadevergoeding, maar dit is zeker niet altijd zo.
Voorwaarden schadevergoeding
U heeft volgens artikel 82 van de Algemene verordening gegevensbescherming (AVG) recht op schadevergoeding als u schade lijdt doordat een organisatie in strijd met de AVG handelt en dit deze organisatie kan worden aangerekend.
Een organisatie is niet aansprakelijk als de organisatie bewijst op geen enkele wijze verantwoordelijk te zijn voor het schadeveroorzakende feit.
Dat er een datalek heeft plaatsgevonden, betekent niet automatisch dat de organisatie waar het lek is geweest in strijd met de AVG heeft gehandeld. Niet ieder datalek is verwijtbaar.
Soorten schade
Zowel financiële schade als immateriële schade komen voor vergoeding in aanmerking. Wat immateriële schade precies is, staat niet concreet in de wet. U kunt bijvoorbeeld immateriële schade lijden als u in uw eer bent aangetast of als uw goede naam is geschaad.
Schadevergoeding vragen
Een civiele rechter beoordeelt een vordering om schadevergoeding. De Autoriteit Persoonsgegevens (AP) speelt hierin geen rol. De AP kan u ook geen informatie of advies geven over het bepalen van de schade en over de hoogte van de schadevergoeding.
Alle antwoorden op mijn vragenVragen van organisaties over datalekken door ransomware
-
Wat is ransomware?
Ransomware is malware (kwaadaardige software) die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist, bijvoorbeeld via prepaidkaarten of Bitcoin.
Besmetting verloopt vaak via besmette bestanden, zoals een e-mailbijlage of via advertenties op internet die een lek in niet-geüpdatete software misbruiken.
Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.
-
Is er na besmetting met ransomware sprake van een datalek?
Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.
De verwerkingsverantwoordelijke kan er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.
Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
-
Kan ik ervan uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of deel van het systeem?
Nee. De besmetting door ransomware kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
Om de daadwerkelijke omvang van het datalek te bepalen, kunt u onderzoek (laten) doen. Hiermee kunt u bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.
Als u geen onderzoek doet, moet u ervan uitgaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.
-
Kunnen bestanden zijn versleuteld zonder eerst geopend te zijn?
Nee. Voordat bestanden kunnen worden versleuteld, moeten ze eerst worden geopend. Pas daarna kan de ransomware de gegevens versleutelen en vervolgens de versleutelde inhoud opslaan.
Als u de bestanden versleuteld aantreft, is het dus zeker dat een derde toegang heeft gehad tot deze bestanden en deze heeft geopend. En dat betekent ook dat deze derde de gegevens in die bestanden heeft kunnen inzien en kopiëren.
-
Is de inbreuk beëindigd als ik de bestanden heb teruggezet uit de backups en de ransomware is verwijderd?
Nee. Als u niet heeft onderzocht wat de omvang van de inbreuk is geweest, kunt u niet aannemen dat de inbreuk beperkt is gebleven tot het versleutelen van de betreffende bestanden.
Bij inbreuken waarbij ransomware is aangetroffen, is de controle over het systeem in ieder geval gedeeltelijk verloren gegaan.
U moet er rekening mee houden dat een derde toegang heeft gehad tot het hele systeem en alle gekoppelde bestanden en systemen.
Dat betekent dat u ervan uit moet gaan dat alle gegevens in het systeem en ook in daaraan gekoppelde bestanden en systemen hebben blootgestaan aan de inbreuk. Daarmee kan het datalek groter zijn dan het op het eerste gezicht lijkt.
Alle antwoorden op mijn vragenVragen over het melden van een datalek door ransomware
-
Moet ik een datalek als gevolg van ransomware melden bij de Autoriteit Persoonsgegevens?
Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak. Dit houdt in dat u het datalek bij de Autoriteit Persoonsgegevens moet melden als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen.
U kunt er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.
Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
Alle antwoorden op mijn vragenVragen over risico's verkleinen bij malware en ransomware
-
Wat kan ik doen om de omvang van een eventuele (toekomstige) inbreuk te beperken?
U kunt de omvang van een inbreuk beperken door gegevens offline te bewaren en door netwerksegmentatie toe te passen.
Bij netwerksegmentatie (het scheiden van interne netwerken) kan een inbreuk beperkt worden gehouden tot het direct getroffen netwerk.
Het is van belang om de toegang tot gegevens goed bij te houden (loggen) en te monitoren. Hierdoor kan de tijdsduur van een inbreuk beperkt blijven en kunt u snel actie ondernemen.