In mei 2022 geeft het Amerikaanse bedrijf Parker-Hannifin aan door Conti ransomware te zijn besmet. Er is data gestolen en bij de gelekte data zit ook het personeelsbestand. Nu bijna twee jaar later is er een deal tussen het bedrijf en de gedupeerde (oud) werknemers. Dit lijkt een primeur te zijn.
We weten allemaal dat er geen AVG in Amerika is. Dat wil niet zeggen dat persoonsgegevens totaal onbeschermd zijn. Verschillende staten hebben iets dat lijkt op onze AVG. Voor de opslag en bewerking van Medische gegevens van personen worden in Amerika gelden wel al heel lang regels en dat geldt ook voor financiële data.
Data van (oud) personeel
Parker-Hannifin had in ieder geval een slecht beveiligde omgeving waar het complete personeelsbestand was ondergebracht. Van alle huidige was bijgehouden de NAW, contactgegevens, de geboortedatum en bankgegevens. Stuk voor stuk nodig om het salaris te kunnen betalen. Van oud werknemers werd die set ook nog steeds bijgehouden. Van beide groepen was er ook medische data voorhanden. De cybercriminelen kregen van ruim 115.000 personen dus heel veel waardevolle data in handen. Al die data is daarna heel snel online geplaatst. Dat is een indicatie dat het bedrijf weigerde de criminelen te betalen. Er zullen dus heel wat criminelen nu in het bezit zijn van die data, wachtend op een goed moment daarmee aan de slag te gaan.
Bijzonder is wat er daarna gebeurde. Vanuit en namens het personeel is een “class action” tegen het bedrijf gestart. Normaal zijn externe advocaten die dit doen. Zij “ontfermen” zich over de slachtoffers, omdat dit soort procedures veel kan opleveren. Deze keer waren het echt de werknemers zelf die de stappen hebben gezet.
Andere data dan klantdata
Zoals wel vaker het geval is, is het ook hier uitgedraaid op een schikking. Elke (oud) werknemer krijgt $5.000 en excuses voor de diefstal aangeboden. De hoogte van het bedrag is een detail. Waar het hier om draait is dat we dankzij Parker-Hannifin nu een goed gedocumenteerd voorbeeld hebben van ransomware waarbij het personeel het slachtoffer was. Dat wordt namelijk te vaak en te makkelijk over het hoofd gezien, ook in Nederland waar de AVG default wordt geassocieerd met het beschermen van bepaalde data van klanten. De plicht te beschermen geldt ook voor personeelsdata en die van toeleveranciers.