Over cyberaanvallen en principes

Gaat er wel eens een dag voorbij zonder dat cybercriminaliteit in het nieuws is? Helaas niet, het is de nieuwe realiteit waar we allemaal mee te maken gaan krijgen.

Wat recente voorbeelden in Nederland, die we ook in de media gezien hebben, zijn:

• de rechtszaak tussen Marktonderzoeksbureau Blauw en haar leverancier Nebu naar aanleiding van de hack bij Nebu[1],
• de ransomaanval bij de KNVB[2], en
• de ransomaanval bij Joris Zorg[3].

Over de kwestie Blauw/Nebu heb ik een blog[4] geschreven met als strekking dat Nebu een ‘stevig blauwtje’ heeft opgelopen. Het oordeel van de rechter is dat een ruim instructierecht in dit geval op zijn plek is. Nebu wordt daarom veroordeeld om volledige openheid van zaken te geven aan Blauw. Opvallend is overigens dat de rechter niet ingaat op de vraag of Blauw kwalificeert als verwerker, of als verwerkings-verantwoordelijke. Terwijl dat, alleen al voor de positie van Blauw, wel relevant is. En wat mij betreft ook voor het instructierecht als zodanig. Nebu zou een hoger beroep overwegen[5], maar of dat daadwerkelijk is ingesteld weet ik niet.

De cyberaanvallen bij de KNVB en Joris Zorg draaien om een andere vraag: wat moet je doen als je systemen en/of data zijn gegijzeld? Ga je wel of niet onderhandelen? Eerdere voorbeelden leveren een wisselend beeld. ROC Mondriaan gaf aan principieel niet te onderhandelen[6]. Maar de Universiteit Maastricht koos ervoor wel losgeld te betalen. (Saillant: en kreeg dat losgeld terug met flinke winst, door de waardestijging van crypto.[7])

Naar het schijnt heeft de KNVB ervoor gekozen te betalen. Maar Joris Zorg verkiest het principiële standpunt ‘we onderhandelen niet met criminelen’. Gevolg: gegevens van gedupeerden die gegijzeld zijn, liggen op straat. Het betreft, onder meer, terminaliteitsverklaringen, behandelingsverslagen en dossiers inzake medicatiefouten. Uiterst gevoelige en persoonlijke informatie dus.

Wat moet je dus doen? Wel of niet onderhandelen?

Voor overheidsbedrijven is het simpel. In de woorden van (destijds) minister Van Engelshoven naar aanleiding van een ransomaanval bij de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) in februari 2021: “de Nederlandse overheid (…) betaalt geen losgeld aan criminelen“.[8]

Sterker nog, (destijds) minister Grapperhaus liet in oktober 2021 weten dat “een verbod op het vergoeden van betaald losgeld aan cybercriminelen na een ransomware-aanval door verzekeraars wordt momenteel onderzocht.”[9] Ik heb over dit onderzoek trouwens niets meer vernomen.

Danny Mekic gooit daar in augustus 2022 nog een schepje bovenop, met zijn opinie in NCR “maak losgeld betalen aan cybercriminelen onaantrekkelijk”[10]. Hij bepleit kortgezegd een losgeldtoeslag voor grotere bedrijven die wel kiezen voor betalen, welke toeslag dan ten goede komt van een fonds om kleine ondernemers weerbaar te maken.’

En heel recent bepleiten Bernold Nieuwesteeg en Michael Faure in Het Financieele Dagblad van 25 april een belasting op het betalen van losgeld aan cybercriminelen.[11]

Ik mis hierin echter een niet-onbelangrijke groep: namelijk degenen om wiens gegevens het gaat. Zeg maar even ‘de gegijzelden’. Bij BNR[12] heb ik daarom, naar aanleiding van de aanval bij de KNVB, bepleit dat niet-overheidsinstellingen de optie “betalen” serieus op tafel moeten leggen. Om de heel simpele gedachte dat het principiële standpunt “we onderhandelen niet met criminelen” onherroepelijk leidt tot het publiceren van de gegijzelde informatie, met alle gevolgen van dien voor gedupeerden. En dat terwijl de aangevallen organisatie, alleen al op basis van de AVG, nu juist oog moét hebben voor die gegevens en de belangen van die gegijzelden. Dat loopt hier dus volledig spaak. Want met dank aan principes, zijn de gedupeerden – wiens data op straat liggen – de klos.

Het is jammer dat de toezichthouder (de Autoriteit Persoonsgegevens (“AP”)) zich op dit punt nog niet heeft uitgelaten. Bij EenVandaag heeft voorzitter Wolfsen van de AP onlangs weliswaar een oproep[13] gedaan aan gedupeerden om hun schade te verhalen (in het kader van de Blauw/Nebu zaak), maar dat ziet puur op schade wegens een datalek. En die oproep is overigens terecht bekritiseerd, omdat een datalek als zodanig geen normschending van de AVG impliceert.

Dat ligt mijns inziens dus anders bij het principieel niet onderhandelen. Daar worden de belangen van betrokken überhaupt niet gewogen. Dat lijkt mij wel degelijk een normschending onder de AVG.

Het zou mooi zijn als gedupeerden een klacht bij de AP overwegen bij een dergelijke kwestie, zoals Joris Zorg. Ik maak het sterker: gedupeerden mogen zich bij mij melden als ze het alleen al overwegen. Ik help ze graag.

Auteur:

Menno Weij heeft Nederlands Recht (civiel- en strafrecht) gestudeerd aan de Universiteit Leiden. Vervolgens is hij ruim 20 jaar werkzaam geweest als ‘tech advocaat’. Sinds december 2018 werkt Menno bij BDO Legal, en per 1 januari 2020 is hij partner binnen het team “Tech & Privacy Law”. Menno staat organisaties en ondernemingen bij op het gebied van informatietechnologie, intellectueel eigendom, privacy en e-Commerce. In 2001 heeft Menno met goed gevolg de postdoctorale opleiding ICT-recht aan de Grotius Academie afgerond. Naast BDO, is Menno bestuurslid van de NVVIR en redacteur bij het Tijdschrift voor Internetrecht. Menno is voorts co-founder van IncPlus en van VraagHugo. Menno is commissaris bij het Security of Things Fund. Tenslotte is Menno “vriend van BNR” en als zodanig met enige regelmaat op de radio te horen.

E:  Menno.Weij@bdo.nl

W: www.bdo.nl

[1] Blauw: softwarebedrijf Nebu is onderzoek datalek gestart – AG Connect

[2] FAQ cyberinbraak KNVB servers | KNVB

[3] Cyberaanval bij zorginstelling: gegevens van cliënten gedeeld (nos.nl)

[4] Softwareleverancier Nebu loopt stevig ‘blauwtje’ na groot datalek – Data&Privacyweb (privacy-web.nl)

[5] Blauw: Nebu mogelijk in hoger beroep tegen vonnis – VPNGids.nl

[6] Niet betalen losgeld aan hackers ‘is dapper’, wat hackgroep met gegevens doet niet duidelijk – Omroep West

[7] Universiteit Maastricht krijgt losgeld voor hack terug met flinke winst (nos.nl)

[8] Minister: Nederlandse overheid betaalt geen losgeld aan criminelen – Security.NL

[9] Kamervragen (Aanhangsel) 2021-2022, nr. 225 | Overheid.nl > Officiële bekendmakingen (officielebekendmakingen.nl)

[10] Opinie | Maak losgeld betalen aan cybercriminelen onaantrekkelijk – NRC

[11] Laat gehackt bedrijf belasting betalen over losgeld (fd.nl)

[12] KNVB gechanteerd door cybercriminelen, eisen 1 miljoen losgeld | BNR Nieuwsradio

[13] Aleid Wolfsen (AP): ‘Verhaal schade na datalek’ | Computable.nl