Meldplicht bij ransomware: wanneer wordt het een datalekvraag?

De vraag die teams meestal te laat stellen

Veel teams vragen eerst of systemen weer werken. De privacyvraag komt pas daarna. Bij ransomware is dat vaak te laat, want zodra persoonsgegevens geraakt kunnen zijn of exfiltratie niet is uit te sluiten, moeten privacy en legal al meedenken over feiten, besluitpaden en timing.

Daardoor is meldplicht geen latere administratieve stap, maar een vroeg onderdeel van incidentrespons.

Wanneer ransomware snel een datalekvraag wordt

Niet elk ransomware-incident leidt automatisch tot een melding, maar veel incidenten raken wel direct aan de datalekafweging. Dat geldt vooral wanneer gegevens ontoegankelijk zijn, wanneer systemen met persoonsgegevens zijn geraakt, of wanneer je niet kunt uitsluiten dat data ook is gekopieerd of buitgemaakt.

Precies daar ontstaat de echte druk: je weet nog niet alles zeker, maar je moet wel organiseren hoe de beoordeling loopt en wie daar formeel op mag beslissen.

• persoonsgegevens zitten in de geraakte systemen of keten
• je kunt niet uitsluiten dat gegevens zijn gekopieerd of meegenomen
• toegang tot gegevens of dienstverlening is zodanig verstoord dat betrokkenen geraakt kunnen worden
• bestuur, klanten of leveranciers vragen al om duidelijkheid terwijl privacyfeiten nog niet compleet zijn
• niemand weet zeker wie de meldplichtbeoordeling formeel trekt

Oefen op onzekerheid, niet alleen op de wetstekst

Tijdens een echt incident ontbreekt vaak precies de informatie die je het liefst eerst zou hebben: is exfiltratie aantoonbaar, welke datasets zijn geraakt en wanneer heb je genoeg feiten voor een verdedigbare afweging? Daarom moet een oefening niet alleen de wetstekst kennen, maar vooral testen hoe privacy, legal, IT en communicatie omgaan met onvolledige informatie.

Daarmee voorkom je dat meldplicht verandert in een tweede crisis bovenop het technische incident.

• Privacy of FG

  Trekt mee de beoordeling van impact, categorieen gegevens en vervolgstappen richting AP of betrokkenen.

• Legal

  Helpt grenzen, aansprakelijkheid, contractsituaties en externe formuleringen bewaken.

• IT en incidentresponse

  Leveren feiten aan over getroffen systemen, mogelijke exfiltratie en herstelstatus.

• Communicatie

  Bewaakt wat intern en extern al gezegd wordt terwijl de privacybeoordeling nog loopt.

• Bestuur of crisisteam

  Moet weten welke beslissingen wanneer formeel genomen moeten worden en welke risico’s meespelen.

Een realistisch mini-scenario

Stel: bestanden zijn versleuteld, klantdossiers zitten in dezelfde omgeving en forensics kan nog niet bevestigen of data ook is gekopieerd. Intussen wil de directie weten of er sprake is van een meldplichtig datalek en communicatie wil weten wat wel of niet tegen klanten gezegd kan worden.

Dat is precies het moment waarop meldplicht geen losse juridische vraag meer is, maar een bestuurlijke beslisroute die je vooraf moet hebben geoefend.

Wat je vooraf wilt vastleggen

Leg vast wie de feiten bundelt, wie de meldplichtbeoordeling formeel trekt, wanneer bestuur mee beslist en hoe communicatie pas publiceert nadat privacy en legal zijn aangehaakt. Gebruik AP-hulpen en je eigen incidentresponsplan als basis, niet als vervanging van die interne route.

Zo blijft meldplicht een bestuurbare afweging binnen het incident in plaats van een paniekreactie onder tijdsdruk.

• Lees crisiscommunicatie voor interne en externe woordvoering onder onzekerheid
• Open incidentresponsplan ransomware als rollen en beslispaden nog niet scherp genoeg zijn
• Gebruik tabletop-oefening om AP- en bestuursdruk in scenario’s mee te nemen
• Bekijk de FAQ voor de korte route rond back-up, meldplicht en oefendoel

• NCSC: Crisismanagement en crisiscommunicatie bij digitale incidenten
• AP: Datalek? Dit moet u doen
• AP: ransomware-aanvallen vaker dan gedacht