Is tijdelijke onbeschikbaarheid van persoonsgegevens ook een datalek?

Photo by OpenClipart-Vectors on Pixabay

Een lezer vroeg me:

Onder de AVG is een datalek (volgens mij) ook als data onbeschikbaar is voor geautoriseerde gebruikers. Mijn bedrijf slaat persoonsgegevens op die klanten zelf uploaden en biedt tools voor het bewerken daarvan. Als ik door een storing deze tijdelijk niet beschikbaar heb, is dat dan een datalek en is het meldplichtig?
Het lijkt me goed om even terug te vallen op de definitie van wat een “datalek” precies is. De AVG noemt het een “inbreuk in verband met persoonsgegevens” (artikel 4 lid 12):
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
Er moet dus sprake zijn van een inbreuk (schending) op de beveiliging. Die moet leiden tot vernietiging, verlies, wijziging of verstrekking van persoonsgegevens. En dat moet op onrechtmatige wijze of per ongeluk gebeuren.

De EDPB (de verzamelde AVG-toezichthouders) heeft in een advies in 2022 duidelijk gemaakt wanneer ook onbeschikbaarheid een datalek kan zijn:

Therefore, a security incident resulting in personal data being made unavailable for a period of time is also a type of breach, as the lack of access to the data can have a significant impact on the rights and freedoms of natural persons. To be clear, where personal data is unavailable due to planned system maintenance being carried out this is not a ‘breach of security’ as defined in Article 4(12) GDPR.
Kern is dus ook hier dat sprake is van een beveiligingsincident. Dat kan een simpele storing zijn (een ongeplande reboot) tot een regelrechte ramp (je hele netwerk zit vol malware, alles moet weken offline tot je vanaf veilige backups kon herstellen).

Hoofdregel is dat ieder datalek moet worden gemeld. Ja, dus ook je ongeplande reboot waardoor 3 minuten lang niemand kon inloggen. Maar gelukkig is er een uitzondering: “tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.” Die drie minuten downtime gaan (meestal) heus geen problemen geven, dus dan hoef je dat niet te melden.

Drie weken offline vanwege malware is wél meldingsplichtig, lijkt me. Al die tijd niet met je data kunnen werken kan wel degelijk problemen geven. Uiteraard is het afhankelijk van het systeem: het medischdossierbeheersysteem van een ziekenhuis zal eerder weer online moeten komen dan de backend van een personal fitness app en die weer eerder dan een datumpriktool.

Arnoud

 

22 reacties

  1. Het lijkt erop dat de AVG geest echt uit de fles is en we keihard met de law of untended consequences te maken krijgen: alles wordt in de context van de AVG gedefinieerd. Net als een timmerman die alleen maar overal spijkers ziet.

    1. Onzin – ik heb dertig jaar geleden al geleerd dat security bestaat uit CIA (confidentiality integrity and availability). Onbeschikbaarheid is altijd al een belangrijk aspect geweest. Stel dat ik het ziekenhuis word binnengereden en ze niet op tijd konden zien dat ik allergisch ben voor bepaalde medicatie.

      Als ik mijn gegevens in handen leg van een derde partij verwacht ik niet alleen dat ze ze niet op straat gooien maar ook dat ik erbij kan wanneer ik ze nodig heb.

      Bovendien weet je vaak in eerste instantie niet of er sprake is van tijdelijke of blijvende onbeschikbaarheid (terwijl je systeembeheerder wanhopig probeert de backup terug te zetten).

      En is een DoS ook geen probleem dan?

      1. Ik heb gewerkt in een gebouw waar de stroom regelmatig uitviel, leverde alleen irritatie op. Voordeel hier is dat ik niet de enige was die nergens bij kon = geen datalek gevaar. Wel verlies in tijd, in verband met het verlies van gegevens die je op dat moment aan het invoeren.

          1. Waarom zou een stroomonderbreking wel een datalek zijn? Ja als je een dienst levert waarin je 99,99% beschikbaarheid en geen ongeplande onbeschikbaarheid afneemt.

            Maar de meeste diensten, zeker voor consumenten, beloven helemaal niet dit soort up-time. En dan is het echt onzin om beperkte down-time, of het nu wel of niet gepland is, als datalek te bestempelen.

            99,99% availability is minder dan een uur per jaar niet beschikbaar, maar de meeste hosting providers beloven 99,9%, dat is ca 8,75 uur down-time per jaar die ik met de beste wil van de wereld niet als datalek kan bestempelen, want het staat in je contract dat dit kan gebeuren. Laat staan goedkopere consumenten partijen die slechts 99% beloven: dat is ruim drie en een halve dag downtime per jaat!

            Als jouw data zo belangrijk is, dan moet je een – dure – dienst met garanties afnemen.

              1. Dan nog is er, ondanks garanties, sprake van een datalek?

                Stel dat die 8 uur downtime net gebeurt op het moment dat jij binnengereden wordt en er niet kan worden opgezocht dat je een allergie hebt, wat tot blijvende medische schade leidt.

                Dan is er echt wel sprake van een datalek, terwijl je wel netjes binnen de SLA bent. Dan kun je de SLA wel als redelijk betitelen maar is er daadwerkelijk wel schade door de niet-beschikbaarheid van persoonsgegevens.

                Dan kun je inderdaad gaan zwaaien met je SLA maar ik weet niet of dat bescherming biedt.

            1. Als je contractueel een uptime van x% garandeert, maakt dat toch niet dat maximaal 100%-x legitieme downtime ‘gepland’ is? Dat kan dan toch nog altijd een beveiligingsincident zijn? De afspraken die je over de beschikbaarheid maakt staan toch los van of het wel of niet een AVG-issue is?

              1. Als jij kiest voor risico op 1-x downtime, dan is die downtime toch geen onaanvaardbaar risico en daarmee een incident? Anders heb je een fout gemaakt bij de keuze voor de uitvoerder.

                Sowieso zou ik zeggen dat niet beschikbaar alleen een incidentis als het de vooraf ingecalculeerde onbeschikbaarheid te boven gaat.

      2. Niet alles wat je dertig jaar geleden ooit geleerd hebt is vandaag nog waar, relevant, rechtsgeldig, of volgens de norm. Wetten, regelgeving, standaarden en praktijken veranderen doorlopend. Sinds het ingaan van de wet, of in elk geval sinds het advies uit 2022, is het dus zo dat een tijdelijke, kortdurende onbeschikbaarheid van persoonsgegevens geen datalek is omdat daar een uitzondering voor opgenomen is (die ook heel redelijk lijkt, anders is elke kleine wijziging of reboot gelijk een datalek).

        Dat betekent niet dat het daarom dan ook geen invloed kan hebben op bedrijfsvoering, maar dat was niet de vraag. De vraag was: is een korte storing een datalek dat je moet melden, en het antwoord is: nee. Dat de eerstehulparts niet per direct kan zien dat jij een allergie hebt en wat dat dan precies is, is een hele andere vraag.

        1. Er is niets veranderd aan de basisprincipes van security. Als er een systeem is waarvan bedacht is dat het 100% beschikbaar moet zijn – bijvoorbeeld zo’n ziekenhuis-systeem – en dat is niet het geval, ongeacht de reden, dan is dat een risico voor mij als persoon.

          Dertig jaar later is 100% uptime of five-nines (99,999%) een stuk beter te realiseren als toen.

        2. De vraag was: is een korte storing een datalek dat je moet melden,

          Nee. De vraag was: is een korte storing een datalek? Zoals ik de blogpost begrijp, kán het dat zijn (en als het dat is, hoef je hem onder voorwaarden niet te melden).

  2. Je hoeft het niet te melden, maar mag je het (geautomatiseerd) melden, voor het geval dat. Het moet toch mogelijk zijn de tool die je servers monitort automatisch bij iedere downtime een datalekmelding te laten doen. Of is er zoiets als het juridisch equivalent van een (d)dos?

  3. Semantische discussie misschien, maar hoe kan iets een data”lek” zijn, als er niets is gelekt (giecheltoets)? Evenzo als je kijkt naar het begrip Algemene Verordening Gegevensbescherming; als iets (tijdelijk) niet beschikbaar is, is daarmee de bescherming weg? Nee, lijkt me.

      1. Het gaat mij te ver om elke storing als een beveiligingsincident te bestempelen.

        Als je een contract afsluit dat na een storing de data binnen een uur beschikbaar moet zijn is een uitval van minder dan een uur niet te bestempelen als een inbreuk op de beveiliging. Ook al is het geen gepland onderhoud, de beschikbaarheid is binnen de overeengekomen grenzen hersteld.

        Alle SLA’s die ik inhanden heb gehad hebben zowel grenzen voor beschibaarheid op jaar basis (99,9% voor niet kritische diensten)als de maximale duur van een incident.

        1. Eens met Elroy. Als “availability” (beschikbaarheid) in het geding is, dan is dat m.i. een zaak van strijdigheid met leveringsvoorwaarden of een SLA bijvoorbeeld. De veiligheid komt niet in het geding als data voor een klant niet beschikbaar is. Bij de andere twee, confidentiality integrity, is de volledigheid en of juistheid van de data zelf mogelijk gecompromitteerd, bij availability niet. De bedoeling van de wet- en regelgeving lijkt me juist om die twee te waarborgen en niet de beschikbaarheid, da’s meer contractrecht.

          1. Ik zie het zelf primair als een stok achter de deur bij SLA schendingen – die kunnen dus tevens een AVG-schending opleveren. Maar het is ook een reminder voor afnemers dat als ze een te slappe SLA kiezen, ze aangesproken kunnen worden. Een ziekenhuis met een best-effort SLA zonder regeling over backups heeft echt een probleem, ook al is die storing van een week naar de letter geen schending van de SLA.

            1. Daar noem je indirect denk ik een heel belangrijk punt:

              Als A een dienst met 99% beschikbaarheid en best effort SLA aanbiedt (zelfs voor een hobbyist niet best).

              En B deze dienst afneemt voor data waarbij de beschikbaarheid kritiek is. (Bijvoorbeeld patentiendata)

              Als de dienst er dan een dag uitligt voeldoet A volledig aan zijn leveringsvoorwaarden. Die meldt geen ‘dataincident’. Voor B is het wel een ‘dataincident’ en die moeten dat dan melden. En kunnen dan gelijk uitleggen waarom ze voor dienst A gekozen hebben.

              Maar zoals ik nu jouw post lees zou ook A een incident moeten melden en dat gaat me dus te ver.

        2. Ik denk dat organisaties in hun AVG / Security beleid moeten beoordelen hoe kritisch de beschikbaarheid van bepaalde (persoons)gegevens zijn en daarmee wat een acceptabele downtime mag zijn. Dat kan anders zijn voor een ziekenhuis of een reisbureau. Vervolgens zullen er maatregelen genomen moeten worden in SLA’s en investeringen in redundancy etc. om aan deze beschikbaarheidseisen te voldoen. Alleen als de downtime (ten gevolge van een storing) groter is dan de vastgestelde acceptabele downtime, dan lijkt het mij meldingsplichtig. Als de downtime het gevolg is van een (D)DOS of hackpogingen dan lijkt het mij sowieso meldingsplichtig.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.