De GDPR is een van de meest complexe en verstrekkende wetten op het gebied van privacy en gegevensbescherming. De huidige complexe IT-omgevingen maken dit nog uitdagender. Organisaties moeten er immers voor zorgen dat hun gehele ecosysteem aan de eisen van de GDPR voldoet.
Dit is niet eenvoudig, omdat de GDPR heel wat open normen bevat en “inspanningen” oplegt aan de verwerkingsverantwoordelijke (en in beperkte mate aan de verwerkers). Dit kan leiden tot frustraties binnen organisaties. De GDPR kan dan wel voorschrijven dat er iets moet gebeuren, maar geeft weinig richting wanneer het resultaat ook daadwerkelijk goed (genoeg) is: het blijft vaak onbesproken hoe iets moet gebeuren.
Steeds maar interpreteren…`
GDPR is een algemene wet
Soms vergeten we dat de GDPR een algemene wet is. Dit betekent onder andere dat de regels/begrippen uit de GDPR voor interpretatie vatbaar zijn. Er staat bijvoorbeeld dat organisaties een “passend” beschermingsniveau voor persoonsgegevens moeten bieden, maar er wordt niet gedefinieerd wat onder “passend” wordt verstaan.
Het gevolg? Dit geeft de meeste toezichthoudende autoriteiten (zoals onze GBA) veel speelruimte bij het bepalen van boetes voor niet-naleving en datalekken onder de GDPR.
Voor- en nadelen
Open normen in de GDPR zorgen voor flexibiliteit. Dat is een zegen voor de creatieve GDPR-experts/juristen-pur-sang tussen ons. Tegelijk creëren open normen echter vooral onduidelijkheid en onzekerheid. Wat voor ondernemers dan weer een nachtmerrie is.
Een onduidelijke GDPR is voor creatieve GDPR-experts/juristen een voordeel: er is immers ruimte om bepaalde zaken in te vullen. Het is daardoor voor organisaties vooraf niet steeds duidelijk wat er precies van hen verwacht wordt. Er wordt enkel een algemene kader geschetst. Deze onduidelijkheid is een groot nadeel voor ondernemers, die best wel een inspanning willen leveren, maar die natuurlijk willen weten waar ze aan toe zijn.
Aanvulling op de GDPR
Om wat meer opheldering te creëren en duidelijkheid te verschaffen over de zaken in de GDPR, moeten we kijken naar het steeds groeiende gepubliceerde materiaal van de European Data Protection Board, nationale toezichthoudende autoriteiten (zoals onze GBA), rechters en Europese rechters. Het zal dan ook nog even duren voordat alle aspecten uit de GDPR zijn verduidelijkt. We moeten er bovendien rekening mee houden dat de interpretaties en aanvullingen over de tijd heen zullen “evolueren”.
Een datalek als praktisch voorbeeld
Wat zegt de GDPR?
Artikel 4 van de GDPR geeft een definitie wat onder een datalek wordt verstaan:
“Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
Dit zou betekenen dat pogingen om een computer, computernetwerk of dienst niet of moeilijker bereikbaar te maken, niet direct onder de definitie van een datalek zou vallen.
Wat zegt de European Data Protection Board?
De WP29 (inmiddels de EDPB) heeft echter in 2016 een richtlijn uitgebracht over de interpretatie van een datalek, waarbij de definitie uit de GDPR zéér ruim wordt geïnterpreteerd.
Volgens deze ruime interpretatie is het tijdelijk geen toegang hebben tot persoonsgegevens een inbreuk op de beschikbaarheid van de persoonsgegevens en valt dit dus onder een datalek. Deze bedenking is nadien ook overgenomen in de recente richtlijn van de EDBP (status: open for public consultation) omtrent voorbeelden voor het melden van datalekken.
Een DDoS aanval IS een datalek!
Maar waarover gaat het?
DDoS aanval (distributed denial of service) betekent dat hackers pogingen ondernemen om een computer(netwerk) onbereikbaar te maken voor de reguliere bezoekers of gebruikers. Ze gebruiken hiervoor een groot aantal toestellen die ze eerder hebben kunnen hacken. Deze verzameling van gehackte computers noemt men ook wel een ‘botnet’. Vaak weten de eigenaars van dergelijke gehackte toestellen niet dat hun computer gebruikt wordt voor cybercriminaliteit.
Vanuit het botnet laat de hacker alle toestellen gelijktijdig verbinding maken met een uitgekozen server. Deze plotse hoge concentratie van dataverkeer zorgt ervoor dat de server al deze aanvragen niet meer deftig kan verwerken, met als gevolg dat het systeem eerst erg vertraagt, en vervolgens zelfs kan crashen. Een succesvolle DDoS aanval zal dan ook leiden tot een (tijdelijke) onbereikbaarheid van de uitgekozen server.
Onbeschikbare data
Een voor het publiek onbereikbare server wil helemaal niet zeggen dat de data die daarop opgeslagen zijn, verloren of corrupt zijn. Integendeel kan geargumenteerd worden dat deze data zich daar nog steeds veilig en wel bevinden.
Het is zelfs best mogelijk dat de beheerder van de server, via een andere methode, de data nog steeds kan raadplegen, en ze dus ook technisch niet geheel onbeschikbaar zijn. Een succesvolle DDoS aanval zal met andere woorden misschien wel het portaal platleggen waarlangs de data normaal gezien benaderd wordt, maar zal de achterliggende data onaangeroerd laten.
Volgens de EDPB zal een incident altijd beschouwd worden als een inbreuk op de beschikbaarheid als persoonsgegevens permanent verloren zijn of zijn vernietigd, maar ook wanneer zich een incident voordoet dat tot gevolg heeft dat persoonsgegevens gedurende een bepaalde periode niet beschikbaar zijn.
De vraag die hier rijst is, hoe ver gaat dit? Moeten we dit vanuit een technische kant bekijken of vanuit het oogpunt van de betrokkenen (van wie de persoonsgegevens zijn)?
Natuurlijk moeten we de situatie analyseren vanuit het oogpunt van de betrokkene, immers de toegang tot hun persoonsgegevens is tijdelijk niet gelukt. Dit is het gehele uitgangspunt van de GDPR: de rechten en vrijheden van betrokkenen beschermen. Met andere woorden: de betrokkenen moeten de controle over hun persoonsgegevens behouden.
Conclusie
De belangrijkste implicatie van het verlies van de beschikbaarheid van de persoonsgegevens is dan ook dat de verwerkingsverantwoordelijke tijdelijk geen toegang meer had tot de persoonsgegevens om te voldoen aan verzoeken van betrokkenen om toegang, rectificatie, portabiliteit, enz.
Het voorhanden hebben van een eventuele andere technische manier om toegang te geven tot de centrale systemen, moet gezien worden als een maatregel om de inbreuk in verband met persoonsgegevens te verhelpen en niet als argument om te concluderen dat er geen sprake is van een inbreuk in verband met persoonsgegevens.
Een succesvolle DDoS aanval kan de verwerkingsverantwoordelijke dus opzadelen met een notificatieverplichting m.b.t. een datalek naar de verantwoordelijke toezichtshouder, tenzij het onwaarschijnlijk is dat de inbreuk een risico vormt voor de rechten en vrijheden van de betrokkenen! Voor hulp bij de analyse hiervan en hoe dit aan te pakken, kan je steeds beroep doen op onze GDPR specialisten bij via hallo@dejuristen.be.
Geschreven door Duygu Öztürk, CIPP/E, Privacy Chair deJuristen, en Kris Seyen, Partner deJuristen
