Is een besmetting met ransomware een per definitie meldingsplichtig datalek ?

Volgens de Autoriteit Persoonsgegevens wel. In haar beleidsregels is hierover opgenomen: 'Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek. Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen en wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller. Een dergelijke malware-besmetting stelt de getroffen persoonsgegevens dus bloot aan onbevoegde kennisname en andere vormen van onrechtmatige verwerking. Andere typen malware maken bestanden ontoegankelijk voor de rechtmatige eigenaar door ze te blokkeren ('ransomware') of te versleutelen ('cryptoware'). Door deze vormen van malware worden de getroffen persoonsgegevens dus blootgesteld aan onbevoegde aantasting of wijziging.'
Verder geldt dat een organisatie zorg moet dragen voor een adequate bescherming van persoonsgegevens tegen verlies en onrechtmatige verwerking. Dit is ook gesanctioneerd met een boete. U zult er dus voortdurend voor moeten zorgen dat de beveiliging up-to-date is. Daarbij moet gedacht worden aan technische beveiliging (updaten software, antivirus e.d.), maar ook aan organisatorische beveiliging. Hieronder valt ook het (verder) bewust maken van werknemers in het ordentelijk verwerken van persoonsgegevens en omgaan met data.