of 58959 LinkedIn

Melding van ransomware-besmetting niet altijd nodig

Niet alle beveiligingsincidenten bij gemeenten hoeven bij Autoriteit Persoonsgegevens gemeld te worden. Dat stelt de toezichthouder tegenover Computable na een besmetting bij gemeente Kaag en Braassem.

Niet alle beveiligingsincidenten bij gemeenten hoeven bij Autoriteit Persoonsgegevens gemeld te worden. Dat stelt de toezichthouder tegenover Computable na een ransomware-besmetting bij gemeente Kaag en Braassem.

Kaag en Braassem

Alleen ernstige datalekken, waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens, dienen gemeld te worden. Gemeente Kaag en Braassem, in januari nog geteisterd door ransomware, besloot er geen melding van te maken bij Autoriteit Persoonsgegevens. De dienstverlening van Kaag en Braasem lag door het virus een middag stil, zo schrijft het platform voor ICT-professionals. Het virus kwam ‘via een normale website’ binnen bij de gemeente. Vermoedelijk ging het om een ambtenaar die een besmette banner had aangeklikt. Een virusscanner detecteerde de ransomware gelijk, maar kon niet voorkomen dat er bestanden onbruikbaar werden gemaakt.

‘Niet beperken tot het geïnfecteerde apparaat’
De gemeente maakte geen melding bij Autoriteit Persoonsgegevens omdat er geen sprake was van een datalek. Een woordvoerster stelt dat ‘In zijn algemeenheid geldt dat organisaties zelf moeten bepalen in hoeverre er sprake is van een datalek dat bij ons moet worden gemeld.' Melden aan de toezichthouder hangt volgens haar af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens. Wanneer er sprake is van malware, dat via een banner kan binnenkomen, moet de afweging volgens de woordvoerder ‘niet beperkt worden tot de gegevens op het geïnfecteerde apparaat, maar moet het risico ten aanzien van alle soorten persoonsgegevens meegewogen worden, waarvan aangenomen kan worden dat deze vanaf het randapparaat benaderd kunnen worden.' Voorbeelden daarvan zijn persoonsgegevens die via netwerkschijven of informatiesystemen op de infrastructuur aangesloten servers elders bekeken kunnen worden.

Verstuur dit artikel naar Google+