Blog

In hoeverre kwalificeert een ransomware-aanval als een datalek?

Vorige week is wereldwijd een groot aantal bedrijven getroffen door een ransomware-aanval. Een bedrijf dat in Nederland door deze aanval werd getroffen was parkeerbedrijf Q-Park. Dit leidde tot problemen met betaald parkeren in onder meer parkeergarages in Rotterdam, Veenendaal en Hoofddorp. Zo’n ransomware-aanval is natuurlijk heel vervelend, maar hoe is zo’n aanval nu juridisch te kwalificeren? Is zo’n ransomware-aanval bijvoorbeeld altijd een datalek in de zin van de Wet bescherming persoonsgegevens (Wbp)?

Ransomware

Ransomware is malware (schadelijke software) die wordt gebruikt om personen of ondernemingen te chanteren door toegang tot gegevens te blokkeren. Ransomware versleutelt gegevens die op een bepaald computersysteem zijn opgeslagen. Vervolgens wordt aan de gebruiker van het computersysteem gevraagd om een bepaald geldbedrag (ransom) te betalen, waarna de gegevens weer toegankelijk zouden worden gemaakt. Onder meer de politie waarschuwt dat betaling vaak niet tot ontsleuteling van de gegevens leidt en raadt dan ook af het geldbedrag te betalen.

Datalek

Onder een datalek wordt vaak begrepen dat bepaalde gegevens aan een ander worden kwijtgeraakt. Denk bijvoorbeeld aan het onderweg kwijtraken van een harde schijf of een usb-stick.

Maar niet alleen het aan een ander kwijtraken van persoonsgegevens, maar ook een inbreuk op de beveiliging die tot gevolg kan hebben dat persoonsgegevens onrechtmatig worden verwerkt, dient als datalek te worden gemeld volgens de Wbp. Dit blijkt uit artikel 34a Wbp in samenhang met artikel 13 Wbp.

Artikel 34a bepaalt dat een melding van een datalek moet worden gedaan bij iedere “inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.”

Artikel 13 op zijn beurt luidt als volgt: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

Uit de lezing van deze artikelen tezamen blijkt dat iedere inbreuk op de beveiliging die tot gevolg kan hebben dat persoonsgegevens aan een ander worden kwijtgeraakt of anders onrechtmatig worden verwerkt, een datalek is.

Ransomware-aanval = datalek?

Bij een ransomware-aanval worden gegevens versleuteld en als het gevraagde geldbedrag niet voor een bepaalde termijn wordt betaald, dan worden de gegevens vernietigd. Als bij de ransomware-aanval persoonsgegevens zijn betrokken is mijns inziens altijd sprake van een datalek.

De Wbp bepaalt immers dat onder verwerking valt: “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.

Zowel de toegang tot de gegevens en de versleuteling van de persoonsgegevens als de eventuele vernietiging van de persoonsgegevens kwalificeren immers als een verwerking. Indien hiervoor geen toestemming is gegeven (zoals bij ransomware), is sprake van een onrechtmatige verwerking, en is sprake van een datalek.
Bovendien is bij een ransomware-aanval onduidelijk wat verder met de betreffende persoonsgegevens is gebeurd of zal gebeuren: Er bestaat dus een risico dat de persoonsgegevens op een andere manier onrechtmatig zijn of worden verwerkt.

Conclusie

Geconcludeerd moet worden dat een ransomware-aanval kwalificeert als een datalek, indien bij de aanval persoonsgegevens zijn betrokken. Er is dan namelijk sprake van een inbreuk op de beveiliging van persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking, namelijk afscherming en/of vernietiging van de gegevens.

Wees u er dus van bewust dat u als slachtoffer van een ransomware-aanval waarbij persoonsgegevens zijn betrokken, deze aanval als datalek dient te melden bij de Autoriteit Persoonsgegevens.

Gerelateerde berichten