De Europese General Data Protection Regulation (GDPR) ligt in het verschiet, hij wordt in mei 2018 van kracht. Veel bedrijven zijn druk bezig zich daar een goed beeld van te vormen. Wat betekent het voor hen en wat moeten ze doen om er aan te kunnen voldoen?
Mensen die bekend zijn met de GDPR weten dat het bedrijven een handvat biedt voor het omgaan met persoonlijke gegevens van hun klanten.
Voor een groot deel gaat het erover hoe je een datalek van persoonsgegevens voorkomt en hoe je er moet reageren, mocht het zich aandienen.
De GDPR is een juridisch document, daarom is het belangrijk om helder te krijgen wat een datalek van persoonsgegevens betekent in deze context. Dit is de definitie die in de verordening zelf staat (het hele document kun je hier lezen):
Als ik de term datalek hoor, denk ik in eerste instantie aan een bedrijf dat de controle verliest over vertrouwelijke informatie. Maar de definitie van de GDPR is aanzienlijk breder. Deze bredere definitie beslaat een hoop verschillende security-incidenten, zoals bijvoorbeeld besmettingen met ransomware.
Wat betekent dit voor bedrijven? Volgens Erka Koivunen, CISO bij F-Secure, moeten organisaties besmettingen met ransomware misschien wel bekendmaken aan de autoriteiten en de klanten die er slachtoffer van zijn geworden.
“Een besmetting met ransomware (of elke andere besmetting met malware) in een groot aantal van je werkstations en servers die persoonsgegevens verwerken, valt waarschijnlijk onder de GDPR en kan leiden tot de verplichting tot kennisgeving in artikelen 33 en 34,” zegt Erka.
Die artikelen 33 en 34 gaan over het advies in de GDPR om autoriteiten en betrokken personen op de hoogte te brengen. Maar dit is alleen nodig wanneer het datalek van persoonsgegevens de ‘rechten en vrijheden van natuurlijke personen’ in gevaar brengt.
Welk effect heeft een ransomware-infectie van een bedrijf op de personen wiens versleutelde gegevens daar zijn opgeslagen? Dat is geen eenvoudige vraag om te beantwoorden. Maar het is wel wat bedrijven zich moeten afvragen bij de voorbereiding op de GDPR.
“Als je op het punt komt dat ransomware van invloed is op de persoonlijke gegevens die je hebt verzameld moet je je niet alleen zorgen maken om datalekken, maar ook om hoe je de gegevens weer terug krijgt, zodat je jouw business weer up-and-running krijgt. Als je back-ups niet van goede kwaliteit zijn, kost het een gigantische inspanning om alle gegevens weer opnieuw te verzamelen en in te voeren zodat je het bedrijf weer kunt runnen,” zegt Hannes Saarinen, F-Secure’s privacy officer. “Als je niet bent voorbereid en alle data weer opnieuw moet verzamelen moet je waarschijnlijk het incident rapporten, zelfs als de data vernietigd is in plaats van gestolen. Dit geldt overigens ook als vertrouwelijke informatie van klanten op straat is komen te liggen als gevolg van een ransomware-aanval.”
Net zoals veel van de security-aspecten van de GDPR, is het belangrijk om voorbereid te zijn. Je moet weten hoe te reageren in het geval van een ramp als je de GDPR wilt naleven.
“Praktisch gezien moeten incident response plannen worden bijgewerkt. Ze moeten bij elk incident controleren of de meldingsplicht voor GDPR geactiveerd moet worden,” aldus Hannes.
Categorieën