Ransomware en meldplicht datalekken

ISPtoday-datalekken-wordle630408In de titel van dit artikel staan de twee begrippen die dit jaar al heel vaak zijn genoemd. Beiden zijn voor dit jaar niet echt nieuw. Ransomware is in 2015 aan een ongekende opmars begonnen en de contouren van de datalekken wetgeving waren in de herfst van het afgelopen jaar ook al bekend.

Eveneens bekend moet zijn dat beiden geen exclusief Nederlands verschijnsel zijn. De meldplicht bestaat al in meerder landen voor meerdere soorten incidenten en ransomware is een mondiale plaag. Wat waarschijnlijk niet bekend is, is dat vorige week twee leden van het Amerikaanse congres de Amerikaanse tegenhanger van ons Ministerie van Volksgezondheid schriftelijk (PDF) hebben benaderd met het verzoek de federale meldplicht datalekken in de gezondheidssector (HIPAA voor kenners) aan te passen op het verschijnsel ransomware.

Wat Ted Lieu en Will Hurd stellen is ergens best wel logisch. Op dit moment moet je als ziekenhuis in de VS melden wanneer data zijn verloren, gestolen, gekopieerd et cetera. Dat is een datalek en dat is in Nederland niet anders. Echter, zeggen deze politici, ransomware is geen van de bestaande categorieën. De ellende is immers dat data onbruikbaar wordt. De details van de meldplicht onder HIPAA schrijft niet voor binnen welke tijd en hoe patiënten moeten worden geïnformeerd. Om creatieve omgang van de regels te voorkomen is het beter, stellen de schrijvers, dat de overheid de bestaande voorschriften voor de HIPAA meldplicht uitbreidt met een “how to” voor uitsluitend ransomware.

Nogmaals, het is best logisch. En natuurlijk kun je dit doortrekken naar zowel andere sectoren dan de medische en andere landen, bijvoorbeeld naar Nederland. De concrete vragen die ISP Today op basis van deze Amerikaanse actie heeft geformuleerd zijn:

– heb je als datacenter, hoster, providers, IT leverancier scherp op het netvlies wanneer jij moet reageren op een datalek en hoe je dat dan moet doen (“het draaiboek”)?
– vind je dat een succesvolle ransomware aanval ook onder de meldplicht datalekken valt en heb je daar dan al een standaard brief of mail voor klaarliggen?

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen