BELGISCHE SENAAT
________
Zitting 2016-2017
________
25 oktober 2016
________
SENAAT Schriftelijke vraag nr. 6-1068

de Martine Taelman (Open Vld)

aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________
Rasomware - Cijfers voor België - Succesvol project « No more ransom » - Europese Centrum tegen cybercriminaliteit - Concrete Belgische projecten inzake preventie en het remediëren - Aansluiting van België bij het project « No more ransom »
________
computercriminaliteit
computervirus
________
25/10/2016Verzending vraag
24/11/2016Antwoord
________
Ook gesteld aan : schriftelijke vraag 6-1067
________
SENAAT Schriftelijke vraag nr. 6-1068 d.d. 25 oktober 2016 : (Vraag gesteld in het Nederlands)

Ik verwijs naar het « No more ransom » project van de Nederlandse politie, Europol, Intel Security en Kaspersky Lab. Het project biedt internetters hulp als ze slachtoffer zijn geworden van hackers die bestanden gijzelen en losgeld vragen.

Op de site www.nomoreransom.org worden nu zeven hulpprogramma's geboden tegen bekende technieken om bestanden of computers te versleutelen. Via de site kunnen slachtoffers achterhalen om wat voor ransomware het gaat en wat ze ertegen kunnen doen.

Het Nederlandse project « No more ransom » tegen computercriminaliteit heeft in de eerste twee maanden na de lancering al 2 500 mensen geholpen. Dat bespaarde de slachtoffers zo'n 1,35 miljoen euro, liet de politie weten.

Op 8 juli 2016 raakte bekend dat al 2 000 bedrijven melding hebben gemaakt slachtoffer geworden te zijn van ransomware, software die een computer blokkeert. De gebruiker kan die blokkering enkel ongedaan maken na het betalen van losgeld (« ransom »). Ransomware kost onze bedrijven veel geld.

Steeds meer landen sluiten zich bij het initiatief aan. Nieuwe leden zijn Bosnië, Bulgarije, Colombia, Frankrijk, Hongarije, Ierland, Italië, Letland, Litouwen, Portugal, Spanje, Zwitserland en het Verenigd Koninkrijk.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten in de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Ik had dan ook graag een antwoord gekregen op de volgende vragen :

1) Kan u vooreerst meedelen hoeveel gevallen van ransomware werden meegedeeld aan de overheid op jaarbasis en dit voor de laatste drie jaar ? Kan u desgevallend de cijfers van aangifte opsplitsen tussen bedrijven en particulieren en dit gezien de Federal Computer Crime Unit reeds cijfers voor de bedrijven heeft vrijgegeven ? Kan u meedelen welke de economische schade is ? Beschikt u hier over enige cijfers erover voor ons bedrijfsleven tengevolge deze ransomware ?

2) Hoe reageert u op het succes van het project « No more ransom » van de Nederlandse politie, Europol, Intel Security en Kaspersky Lab ?

3) Kan u oplijsten welke concrete projecten ons land heeft lopen tegen ransomware inzake preventie en remediërend ?

4) Hoe reageert u op de oproep van het Europese Centrum tegen cybercriminaliteit aan alle nationale politiediensten on zich aan te sluiten bij dit project ? Kan u meedelen of ons land zich gaat aansluiten bij dit project en kan u zeer concreet toelichten wat zullen de kalender en het budget zijn ?

Antwoord ontvangen op 24 november 2016 :

Ik verwijs het geachte lid met betrekking tot de vraag over « ransomware » naar mijn collega, de minister van Veiligheid en Binnenlandse Zaken, voogdijminister van de politie en van de Computer Crime Unit (CCU), die ter zake bevoegd is.

In het kader van mijn bevoegdheden, heb ik samen met mijn Europese collega’s de Europese verordening 2016/679 betreffende de gegevensbescherming goedgekeurd. Conform artikel 32 ervan moeten de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Het gaat onder meer om de pseudonimisering en de versleuteling van persoonsgegevens ; het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen ; het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen en een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. Bovendien hangt de uitvoering ervan af van de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook voor de rechten en vrijheden van natuurlijke personen. De naleving van die voorwaarden kan worden bewezen door de toepassing van een gedragscode of van een goedgekeurd certificeringsmechanisme.

In artikel 35 van de Europese verordening is overigens bepaald dat de verwerkingsverantwoordelijke en de verwerker voor de verwerkingen met een hoog risico een gegevensbeschermingseffectbeoordeling uitvoeren, met omschrijving van de veiligheidsmaatregelen. Die gegevensbeschermingseffectbeoordeling moet worden meegedeeld aan de Commissie voor de bescherming van de persoonlijke levenssfeer, die aanvullende veiligheidsmaatregelen kan opleggen.

Overeenkomstig de artikelen 33 en 34 ten slotte, moeten de verwerkingsverantwoordelijke en de verwerker de toezichthoudende autoriteiten en de betrokkenen uiterlijk binnen tweeënzeventig uur melden dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, met vermelding van de feiten en maatregelen genomen om zulks te verhelpen.