CrowdStrike-storing: datalek onder de AVG?

De recente wereldwijde storing veroorzaakt door een software-update van cybersecuritybedrijf CrowdStrike heeft geleid tot discussies over de juridische kwalificatie van het cyberincident. Terwijl bedrijven worstelen met de nasleep van de storing, rijst de vraag of de tijdelijke ontoegankelijkheid van gegevens moet worden beschouwd als een "datalek" in de zin van de AVG.

31 juli 2024

Cybersecurity

Privacy

Toezichthouders

DPO

Experts op het gebied van gegevensbescherming, zoals Peter Craddock en Tim Turner, uitten op LinkedIn bedenkingen over de brede interpretatie van "datalek" door sommige autoriteiten. Craddock, advocaat technologierecht bij Keller and Heckman, benadrukt dat de AVG “onbeschikbaarheid” niet expliciet benoemt in de definitie van een datalek. Hoewel instanties zoals de European Data Protection Board (EDPB) en de Information Commissioner's Office (ICO) tijdelijk gegevensverlies als een datalek beschouwen, vindt Craddock dat de letterlijke tekst van de wetgeving leidend moet zijn. Hij pleit voor een uitspraak van het Europese Hof van Justitie om duidelijkheid te scheppen.

Turner, een leidende stem op het gebied van gegevensbeschermingsrecht, stemt hiermee in. Hij stelt in een LinkedIn post dat zelfs als de CrowdStrike-storing als een datalek wordt beschouwd, dit niet automatisch betekent dat er een meldingsplicht geldt. De AVG vereist dat organisaties de waarschijnlijkheid van schade voor getroffen personen beoordelen voordat zij overgaan tot melding. In het geval van CrowdStrike, waar de impact aanzienlijk was, zou dit voor veel organisaties tot een meldingsplicht hebben geleid. Turner bekritiseert deze rigide benadering en stelt dat deze in de praktijk tot ongewenste situaties kan leiden, bijvoorbeeld dat organisaties gedwongen worden een melding te doen van een incident dat al bekend is bij autoriteiten. Hiermee zouden organisaties de werkdruk bij autoriteiten onnodig verhogen.

Deze interpretatie van Craddock en Turner staat haaks op de richtlijnen van de EDPB. De EDPB stelt dat zelfs een tijdelijk verlies van de beschikbaarheid van persoonsgegevens kan worden aangemerkt als een datalek onder de AVG. Dit omdat de autoriteit de toegang tot gegevens als een fundamenteel onderdeel van de "beschikbaarheid" beschouwt. De EDPB benadrukt dat organisaties alle passende technische en organisatorische maatregelen moeten nemen om de bescherming van persoonsgegevens te waarborgen, inclusief de voortdurende beschikbaarheid ervan.

Over de auteurs

Christian Cordoba Lenis

Christian Cordoba Lenis is nieuwsredacteur voor PONT | Data & Privacy. Cordoba Lenis is geïntrigeerd door het raakvlak tussen technologie en recht. Cordoba Lenis heeft zowel een juridische als een technische achtergrond en waagt zich nu aan het journalistieke vak.

Gerelateerd nieuws

Bestuurders en de Cyberbeveiligingswet

30 oktober 2025

In het tweede kwartaal van 2026 treedt naar verwachting de Cyberbeveiligingswet (“Cbw”) in werking. De Cbw heeft tot doel de cyberverplichtingen voor entiteiten in sectoren met maatschappelijk of economisch gewicht te versterken. Ook bevat de Cbw bepalingen over het toezicht, de handhaving en aanvullende verantwoordelijkheden voor bestuurders van zogeheten essentiële of belangrijke entiteiten.

Data & Privacy

Digitale duurzaamheid onder druk: AI en datagebruik vragen om bewuste keuzes

30 oktober 2025

Digitale communicatie en opslag bieden enorme voordelen: van efficiënter samenwerken tot razendsnelle toegang tot informatie. Maar achter die gemakzucht schuilt een groeiend probleem: ons digitale leven verbruikt steeds meer energie. Niet alleen onze laptops en telefoons, maar ook de datacenters die al die informatie opslaan en verwerken, draaien op volle toeren.

NPD-monitor: partijen missen visie op uitvoerbaarheid beleid en publieke dienstverlening

22 oktober 2025

Het Netwerk van Publieke Dienstverleners (NPD) concludeert in de nieuwste NPD-monitor dat veel politieke partijen in hun verkiezingsprogramma’s te weinig aandacht besteden aan de uitvoerbaarheid en eenvoud van beleid. Volgens het netwerk ontbreekt in tal van programma’s een samenhangende visie op hoe publieke organisaties beleid daadwerkelijk kunnen uitvoeren, en hoe regelgeving begrijpelijk blijft voor burgers.

Strijd tegen cybercrime krijgt mondiale vorm, maar tegen welke prijs?

13 oktober 2025

De Europese Unie heeft aangekondigd de nieuwe VN-Conventie tegen cybercriminaliteit te zullen ondertekenen. Daarmee zet de EU een belangrijke stap in de internationale strijd tegen online misdaad en digitale aanvallen. De conventie – die op 25 oktober 2025 in Hanoi officieel wordt opengesteld voor ondertekening – is het eerste wereldwijde verdrag dat gemeenschappelijke regels vastlegt voor samenwerking, opsporing en bewijsdeling in de cyberwereld.