(door Federica De Stefani, advocaat en hoofd van Aidr Regione Lombardia) We horen (steeds vaker) vaak praten over datalekken en het verzoek dat daaruit voortvloeit, bijna vanzelfsprekend, betreft de mogelijkheid om het te vermijden of, op zijn minst, in te dammen het.
Het antwoord is helaas negatief, het is niet mogelijk om een datalek te vermijden aangezien "nul risico" niet bestaat.
Het is zeker mogelijk om de mogelijkheden om in de "val" van het cyberincident te trappen te beperken en het is ook mogelijk om de gevolgen die daaruit voortvloeien te beperken, maar dit is een andere zaak.
Om het fenomeen van het datalek, dat vaak uitsluitend wordt geïdentificeerd met een hackeraanval, te begrijpen, is het noodzakelijk om te begrijpen wat het is.
Wat is het datalek?
De term "gegevensinbreuk" duidt op een inbreuk op de beveiliging die - per ongeluk of illegaal - de vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de toegang tot doorgestuurde, opgeslagen of anderszins verwerkte persoonsgegevens met zich meebrengt.
Zoals u kunt zien, kan een datalek het verlies van gegevens inhouden dat niet het gevolg is van een hackeraanval, maar het kan ook het gevolg zijn van het verlies van de beschikbaarheid daarvan, zoals gebeurt in de hypothese waarin er bijvoorbeeld , een diefstal van een apparaat. .
Wanneer het datalek zich voordoet
De soorten datalekken zijn zeer uiteenlopend en daarom kunnen we bijvoorbeeld de toegang tot of verkrijging van gegevens door onbevoegde derden, de diefstal of het verlies van IT-apparaten met persoonlijke gegevens aangeven als vallende onder de casus. de gegevens door onopzettelijke oorzaken of aanvallen van buitenaf, virussen, malware, enz., het opzettelijk wijzigen van persoonsgegevens, het verlies of de vernietiging van persoonsgegevens door ongevallen, ongunstige gebeurtenissen, branden of andere rampen, de ongeoorloofde openbaarmaking van persoonsgegevens.
Waar een datalek kan optreden
Een datalek, zoals gezegd opgevat als een overtreding die de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens aantast, kan op elk gebied betrekking hebben, zowel fysiek als digitaal.
Denk bijvoorbeeld aan de vernietiging van een papieren archief, of de diefstal van documenten of opnieuw het knoeien en wijzigen ervan.
De onderwerpen die getroffen zijn door een datalek
Een datalek is een gebeurtenis die, afhankelijk van de specifieke kenmerken van het individuele geval, verschillende onderwerpen kan betreffen.
De verwerkingsverantwoordelijke is de persoon die op grond van art. 33 AVG, moet zonder onnodige vertraging worden geactiveerd en, indien mogelijk, binnen 72 uur vanaf het moment waarop het bekend werd, om de schending aan de Garant voor de bescherming van persoonsgegevens te melden, behalve in de hypothese waarin het onwaarschijnlijk is dat de schending van persoonsgegevens brengt een risico met zich mee voor de rechten en vrijheden van personen. Integendeel, als de schending grote risico's met zich meebrengt voor de rechten en vrijheden van natuurlijke personen, moet de eigenaar, altijd onverwijld, ook de belanghebbenden informeren. In het geval dat bij het constateren van een overtreding een Data Processor is aangesteld, is hij verplicht de eigenaar hiervan onverwijld op de hoogte te stellen zodat deze actie kan ondernemen.
De oorzaken van een datalek
Zoals gezegd is het datalek een beveiligingslek waarbij - per ongeluk of onrechtmatig - sprake is van vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot de verwerkte gegevens en dit betekent in de praktijk dat de getroffen beveiligingsmaatregelen niet hebben gewerkt. We mogen echter niet de fout begaan om het datalek automatisch te associëren met de adequaatheid van de maatregelen die zijn genomen om sic et simplicter een (objectieve) verantwoordelijkheid van de verantwoordelijke af te leiden. De vraag is veel complexer, aangezien de AVG niet voorziet in een dergelijke aansprakelijkheid van de eigenaar, maar wel in de mogelijkheid voor deze om aan te tonen dat hij er alles aan heeft gedaan om de verwerkte gegevens te beschermen .
De menselijke factor en het belang van training
Als aan de ene kant het datalek niet volledig kan worden geëlimineerd, omdat, zoals verwacht, nulrisico niet bestaat, is het aan de andere kant noodzakelijk om de te nemen strategieën en maatregelen om het risico zo veel mogelijk te beperken in twijfel te trekken.
Naast de "adequate" technische en organisatorische maatregelen, zoals in de terminologie van de Europese verordening, wordt een belangrijk onderdeel van preventie vertegenwoordigd door opleiding van personeel.
Tot op heden vertegenwoordigt de menselijke factor nog steeds een vrij wijdverbreide achilleshiel in vele realiteiten, zelfs gestructureerde en grote.
Het gebrek aan adequate en specifieke training, het ontbreken van adequaat beleid voor het gebruik van IT-tools en -procedures, zijn vandaag de dag nog steeds vrij wijdverbreide oorzaken van datalekken.
De kern van de zaak wordt niet alleen vertegenwoordigd door het type bescherming dat wordt toegepast, maar ook door de toepassingsmethoden ervan, door de actualisering en specifieke opleiding van de personen die de gegevens verwerken.
Overigens mag niet worden vergeten dat compliance op meerdere niveaus moet plaatsvinden, transversaal moet zijn en niet alleen de technische kant en cybersecurity kan betreffen, maar ook het organisatorische en procedurele aspect van de zogenaamde menselijke factor.