Is tijdelijke onbeschikbaarheid van persoonsgegevens ook een datalek?
29/04
Onder de AVG is een datalek (volgens mij) ook als data onbeschikbaar is voor geautoriseerde gebruikers. Mijn bedrijf slaat persoonsgegevens op die klanten zelf uploaden en biedt tools voor het bewerken daarvan. Als ik door een storing deze tijdelijk niet beschikbaar heb, is dat dan een datalek en is het meldplichtig?
Het lijkt me goed om even terug te vallen op de definitie van wat een “datalek” precies is. De AVG noemt het een “inbreuk in verband met persoonsgegevens” (artikel 4 lid 12):
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
Er moet dus sprake zijn van een inbreuk (schending) op de beveiliging. Die moet leiden tot vernietiging, verlies, wijziging of verstrekking van persoonsgegevens. En dat moet op onrechtmatige wijze of per ongeluk gebeuren.
De EDPB (de verzamelde AVG-toezichthouders) heeft in een advies in 2022 duidelijk gemaakt wanneer ook onbeschikbaarheid een datalek kan zijn:
Therefore, a security incident resulting in personal data being made unavailable for a period of time is also a type of breach, as the lack of access to the data can have a significant impact on the rights and freedoms of natural persons. To be clear, where personal data is unavailable due to planned system maintenance being carried out this is not a ‘breach of security’ as defined in Article 4(12) GDPR.
Kern is dus ook hier dat sprake is van een beveiligingsincident. Dat kan een simpele storing zijn (een ongeplande reboot) tot een regelrechte ramp (je hele netwerk zit vol malware, alles moet weken offline tot je vanaf veilige backups kon herstellen).
Hoofdregel is dat ieder datalek moet worden gemeld. Ja, dus ook je ongeplande reboot waardoor 3 minuten lang niemand kon inloggen. Maar gelukkig is er een uitzondering: “tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.” Die drie minuten downtime gaan (meestal) heus geen problemen geven, dus dan hoef je dat niet te melden.
Drie weken offline vanwege malware is wél meldingsplichtig, lijkt me. Al die tijd niet met je data kunnen werken kan wel degelijk problemen geven. Uiteraard is het afhankelijk van het systeem: het medischdossierbeheersysteem van een ziekenhuis zal eerder weer online moeten komen dan de backend van een personal fitness app en die weer eerder dan een datumpriktool.
Arnoud
Het bericht Is tijdelijke onbeschikbaarheid van persoonsgegevens ook een datalek? verscheen eerst op Ius Mentis.
Datum: maandag 29 april 2024, 08:09
Bron: Iusmentis Blog
Categorie: Internet en ICT
Tags: Leiden, Zuid-Holland
Gerelateerde berichten:
- Als een security onderzoeker een datalek ontdekt, is dat dan een datalek? (10/09/18 08:18)
- Ransomware is inderdaad ook een datalek als je niet uitkijkt (13/01/21 08:15)
- Is het een datalek als de curator een domeinnaam opheft? (10/01/19 08:19)
- Is een datalek pas een datalek als je zeker weet dat er data is gelekt? (30/05/16 08:18)
- Moet je betrokkenen vertellen dat je een melding bij de AP hebt gedaan van hun datalek? (16/03/20 08:10)
Reacties:
Er zijn nog geen reacties op dit bericht.