Natuurlijk is het beter om een datalek te voorkomen, maar als het dan toch gebeurt, zijn dit de drie acties om te ondernemen.
De Autoriteit Persoonsgegevens (AP) krijgt geregeld vragen over datalekken waarbij ransomware of cryptoware is aangetroffen. Besmetting verloopt vaak via besmette bestanden, zoals een e-mailbijlage of via advertenties op internet die een lek in niet-geüpdatete software misbruiken. Wat kan een organisatie doen nadat een aanval is vastgesteld?
1: Onderzoek de omvang van de inbreuk
Om de daadwerkelijke omvang van het datalek te bepalen, zal de organisatie onderzoek moeten doen. Hiermee kan de verantwoordelijke bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.
Als een verantwoordelijke geen onderzoek doet, moet hij ervan uit gaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.
2: Doe melding bij de Autoriteit Persoonsgegevens
Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.
Dit houdt in dat organisaties (zowel bedrijven als overheden) het datalek bij de Autoriteit Persoonsgegevens moeten melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.
3: Informeer de betrokkenen
Organisaties moeten de betrokkenen in sommige gevallen ook informeren over het datalek. Dit moet als het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.
> Lees ook Informatiedeling en datalekken in de zorg: 7 inzichten