In deze column op ISOC NL bespreekt Menno Weij recente cyberaanvallen in Nederland, zoals de hack bij Nebu, de ransomaanvallen bij de KNVB en Joris Zorg. Hij belicht de vraag of organisaties moeten onderhandelen wanneer hun systemen en data gegijzeld zijn en wijst op het belang van het wegen van de belangen van de gedupeerden. Menno pleit voor een heroverweging van het principiële standpunt om niet met criminelen te onderhandelen en suggereert dat gedupeerden mogelijk een klacht kunnen indienen bij de Autoriteit Persoonsgegevens. Menno is sinds 2020 partner bij BDO Legal binnen het team “Tech & Privacy Law”. Na eerder ruim 20 jaar werkzaam geweest als ‘tech advocaat’ staat hij thans organisaties en ondernemingen bij op het gebied van informatietechnologie, intellectueel eigendom, privacy en e-Commerce. Naast BDO, is Menno onder andere commissaris bij het Security of Things Fund, bestuurslid van de Nederlandse Vereniging voor Informatietechnologie en Recht (NVVIR) en redacteur bij het Tijdschrift voor Internetrecht. Tenslotte is Menno “vriend van BNR” en als zodanig met enige regelmaat op de radio te horen.
Gaat er wel eens een dag voorbij zonder dat cybercriminaliteit in het nieuws is? Helaas niet, het is de nieuwe realiteit waar we allemaal mee te maken gaan krijgen.
Wat recente voorbeelden in Nederland, die we ook in de media gezien hebben, zijn:
- de rechtszaak tussen Marktonderzoeksbureau Blauw en haar leverancier Nebu naar aanleiding van de hack bij Nebu,
- de ransomaanval bij de KNVB, en
- de ransomaanval bij Joris Zorg.
Over de kwestie Blauw/Nebu heb ik een blog geschreven met als strekking dat Nebu een ‘stevig blauwtje’ heeft opgelopen. Het oordeel van de rechter is dat een ruim instructierecht in dit geval op zijn plek is. Nebu wordt daarom veroordeeld om volledige openheid van zaken te geven aan Blauw. Opvallend is overigens dat de rechter niet ingaat op de vraag of Blauw kwalificeert als verwerker, of als verwerkings-verantwoordelijke. Terwijl dat, alleen al voor de positie van Blauw, wel relevant is. En wat mij betreft ook voor het instructierecht als zodanig. Nebu zou een hoger beroep overwegen, maar of dat daadwerkelijk is ingesteld weet ik niet.
De cyberaanvallen bij de KNVB en Joris Zorg draaien om een andere vraag: wat moet je doen als je systemen en/of data zijn gegijzeld? Ga je wel of niet onderhandelen? Eerdere voorbeelden leveren een wisselend beeld. ROC Mondriaan gaf aan principieel niet te onderhandelen. Maar de Universiteit Maastricht koos ervoor wel losgeld te betalen. (Saillant: en kreeg dat losgeld terug met flinke winst, door de waardestijging van crypto.)
Naar het schijnt heeft de KNVB ervoor gekozen te betalen. Maar Joris Zorg verkiest het principiële standpunt ‘we onderhandelen niet met criminelen’. Gevolg: gegevens van gedupeerden die gegijzeld zijn, liggen op straat. Het betreft, onder meer, terminaliteitsverklaringen, behandelingsverslagen en dossiers inzake medicatiefouten. Uiterst gevoelige en persoonlijke informatie dus.
Voor overheidsbedrijven is het simpel. In de woorden van (destijds) minister Van Engelshoven naar aanleiding van een ransomaanval bij de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) in februari 2021: “de Nederlandse overheid (…) betaalt geen losgeld aan criminelen“.
Sterker nog, (destijds) minister Grapperhaus liet in oktober 2021 weten dat “een verbod op het vergoeden van betaald losgeld aan cybercriminelen na een ransomware-aanval door verzekeraars wordt momenteel onderzocht.”. Ik heb over dit onderzoek trouwens niets meer vernomen.
Danny Mekic gooit daar in augustus 2022 nog een schepje bovenop, met zijn opinie in NCR “maak losgeld betalen aan cybercriminelen onaantrekkelijk”. Hij bepleit kortgezegd een losgeldtoeslag voor grotere bedrijven die wel kiezen voor betalen, welke toeslag dan ten goede komt van een fonds om kleine ondernemers weerbaar te maken.’
En heel recent bepleiten Bernold Nieuwesteeg en Michael Faure in Het Financieele Dagblad van 25 april een belasting op het betalen van losgeld aan cybercriminelen.
Ik mis hierin echter een niet-onbelangrijke groep: namelijk degenen om wiens gegevens het gaat. Zeg maar even ‘de gegijzelden’. Bij BNR heb ik daarom, naar aanleiding van de aanval bij de KNVB, bepleit dat niet-overheidsinstellingen de optie “betalen” serieus op tafel moeten leggen. Om de heel simpele gedachte:
En dat terwijl de aangevallen organisatie, alleen al op basis van de AVG, nu juist oog moét hebben voor die gegevens en de belangen van die gegijzelden. Dat loopt hier dus volledig spaak. Want met dank aan principes, zijn de gedupeerden – wiens data op straat liggen – de klos.
Het is jammer dat de toezichthouder (de Autoriteit Persoonsgegevens (“AP”)) zich op dit punt nog niet heeft uitgelaten. Bij EenVandaag heeft voorzitter Wolfsen van de AP onlangs weliswaar een oproep gedaan aan gedupeerden om hun schade te verhalen (in het kader van de Blauw/Nebu zaak), maar dat ziet puur op schade wegens een datalek. En die oproep is overigens terecht bekritiseerd, omdat een datalek als zodanig geen normschending van de AVG impliceert.
Dat ligt mijns inziens dus anders bij het principieel niet onderhandelen. Daar worden de belangen van betrokken überhaupt niet gewogen. Dat lijkt mij wel degelijk een normschending onder de AVG.
Het zou mooi zijn als gedupeerden een klacht bij de AP overwegen bij een dergelijke kwestie, zoals Joris Zorg. Ik maak het sterker: gedupeerden mogen zich bij mij melden als ze het alleen al overwegen. Ik help ze graag.
Dit artikel is een herpublicatie van de website van Value Creating Capital met toestemming van Menno Weij.