Kort samengevat: omdat je niet kunt uitsluiten dat ransomware de gegevens ook kopieert, moet je het als een datalek behandelen. Daar ben ik het mee eens, maar wat nu als we wél kunnen uitsluiten dat er gegevens zijn gemanipuleerd of gekopieerd? Stel de ransomware infecteerde een computer via een USB-stick, en achteraf kunnen we met extern opgeslagen hashes vaststellen dat de bestanden in originele toestand zijn hersteld. Enerzijds vind ik de versleuteling zelf al overduidelijk een onrechtmatige verwerking, die dan als zodanig onder de meldplicht zou vallen, maar anderzijds staat op pagina 20 van het beleidsdocument van AP deze zin: Kenmerkend voor een inbreuk op de beveiliging is verder dat het beveiligingsincident daadwerkelijk gevolgen heeft voor de persoonsgegevens die u verwerkt. Als je alles kan herstellen en zeker kan zijn dat er niets bij derden is beland (of nog kan belanden; weet je zeker dat er niets aan dat systeem is toegevoegd dat in de toekomst nog voor ellende kan zorgen?) kan je stellen ...