Pas op voor ransomware na telefoontje nep-ministerie

In Groot-Brittannië worden scholen gebeld door criminelen die zich voordoen als ambtenaren van het ministerie van Onderwijs en ransomware (kwaadaardige software) verspreiden. Ze vragen om persoonlijke gegevens van de schooldirecteur of controller. Het is niet bekend of ook scholen in Nederland zijn benaderd.

Op de antifraudewebsite van de Britse politie wordt gewaarschuwd dat criminelen om persoonlijke e-mailadressen en mobiele telefoonnummers vragen van de directeur of de controller om zogenaamd een bestand met gevoelige informatie te kunnen versturen. In werkelijkheid gaat het om een bestand met ransomware.

Wie dit bestand opent, krijgt kwaadaardige software binnen die de computer of de mobiele telefoon op slot zet. In de Britse situatie moet er 8000 pond losgeld worden betaald om de systemen te laten ontgrendelen.

Fraudehelpdesk

Als u wordt gebeld door iemand die zegt namens het ministerie van Onderwijs of een andere organisatie te spreken en u vraagt om persoonlijke e-mailadressen of telefoonnummers, doet u er buitengewoon verstandig aan deze gegevens niet te verstrekken. U kunt verdachte situaties altijd melden aan de nationale Fraudehelpdesk.

Datalekken als gevolg van onder andere het importeren van ransomware zijn een steeds vaker voorkomend probleem, ook in het onderwijs. Volgens VOS/ABB’s verzekeringspartner Aon is de schade die in Nederland door datalekken wordt veroorzaakt groter dan de totale schade door branden.

Inbraak Edu-IX toont belang meldplicht datalekken

De digitale inbraak in het centrale registratiesysteem Edu-IX benadrukt nog maar eens het belang van de meldplicht datalekken.

Diverse leveranciers van digitale leermiddelen, zoals Iddink en Van Dijk, maken gebruik van Edu-IX. Het is mogelijk dat door de digitale inbraak naam, adres, woonplaats, geboortedatum, e-mailadres en het versleutelde wachtwoord van accounts zijn ontvreemd.

De distributeurs hebben in reactie op de hack wachtwoorden onbruikbaar gemaakt. Scholen en leerlingen zijn over het voorval geïnformeerd. Het incident is tevens gemeld bij de politie en de Autoriteit Persoonsgegevens, meldt de VO-raad.

Meldplicht datalekken

Organisaties die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens moeten een ernstig datalek direct melden aan de Autoriteit Persoonsgegevens. Deze plicht geldt per 1 januari 2016, ook voor scholen.

Of een datalek moet worden gemeld, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. De Autoriteit Persoonsgegevens kan een boete geven als een datalek ten onrechte niet is gemeld. De maximale boete is 820.000 euro.

Informatie: Henri Damen, 06-13817417, Henri.Damen@aon.nl of Ruud van Houten, 06-14875425, Ruud.van.Houten@aon.nl