CrowdStrike-storing: datalek onder de AVG?

De recente wereldwijde storing veroorzaakt door een software-update van cybersecuritybedrijf CrowdStrike heeft geleid tot discussies over de juridische kwalificatie van het cyberincident. Terwijl bedrijven worstelen met de nasleep van de storing, rijst de vraag of de tijdelijke ontoegankelijkheid van gegevens moet worden beschouwd als een "datalek" in de zin van de AVG.

31 juli 2024

Cybersecurity

Privacy

Toezichthouders

DPO

Experts op het gebied van gegevensbescherming, zoals Peter Craddock en Tim Turner, uitten op LinkedIn bedenkingen over de brede interpretatie van "datalek" door sommige autoriteiten. Craddock, advocaat technologierecht bij Keller and Heckman, benadrukt dat de AVG “onbeschikbaarheid” niet expliciet benoemt in de definitie van een datalek. Hoewel instanties zoals de European Data Protection Board (EDPB) en de Information Commissioner's Office (ICO) tijdelijk gegevensverlies als een datalek beschouwen, vindt Craddock dat de letterlijke tekst van de wetgeving leidend moet zijn. Hij pleit voor een uitspraak van het Europese Hof van Justitie om duidelijkheid te scheppen.

Turner, een leidende stem op het gebied van gegevensbeschermingsrecht, stemt hiermee in. Hij stelt in een LinkedIn post dat zelfs als de CrowdStrike-storing als een datalek wordt beschouwd, dit niet automatisch betekent dat er een meldingsplicht geldt. De AVG vereist dat organisaties de waarschijnlijkheid van schade voor getroffen personen beoordelen voordat zij overgaan tot melding. In het geval van CrowdStrike, waar de impact aanzienlijk was, zou dit voor veel organisaties tot een meldingsplicht hebben geleid. Turner bekritiseert deze rigide benadering en stelt dat deze in de praktijk tot ongewenste situaties kan leiden, bijvoorbeeld dat organisaties gedwongen worden een melding te doen van een incident dat al bekend is bij autoriteiten. Hiermee zouden organisaties de werkdruk bij autoriteiten onnodig verhogen.

Deze interpretatie van Craddock en Turner staat haaks op de richtlijnen van de EDPB. De EDPB stelt dat zelfs een tijdelijk verlies van de beschikbaarheid van persoonsgegevens kan worden aangemerkt als een datalek onder de AVG. Dit omdat de autoriteit de toegang tot gegevens als een fundamenteel onderdeel van de "beschikbaarheid" beschouwt. De EDPB benadrukt dat organisaties alle passende technische en organisatorische maatregelen moeten nemen om de bescherming van persoonsgegevens te waarborgen, inclusief de voortdurende beschikbaarheid ervan.

Over de auteurs

Christian Cordoba Lenis

Christian Cordoba Lenis is nieuwsredacteur voor PONT | Data & Privacy. Cordoba Lenis is geïntrigeerd door het raakvlak tussen technologie en recht. Cordoba Lenis heeft zowel een juridische als een technische achtergrond en waagt zich nu aan het journalistieke vak.

Gerelateerd nieuws

Inzichten en succesfactoren van proeftuinen met het Digitaal Meedoen Pakket

16 april 2025

Onderzoekers van het Centrum voor Digitale Inclusie hebben onderzocht hoe financieel kwetsbare mensen in Nederland meer kunnen deelnemen aan de digitale samenleving. Door middel van een proeftuin onder 100 deelnemers is gekeken naar toegang tot de digitale wereld voor groepen die geen of beperkt internet hebben. Het onderzoeksrapport laat de noodzaak zien van toegang tot het internet en digitale middelen om aangesloten te blijven bij de maatschappij. De resultaten bieden concrete aanbevelingen voor overheden, beleidsmakers en organisaties om toegang tot de digitale wereld in Nederland verder te verbeteren.

Zorg & Sociaal

Naast kansen ook veel risico’s bij AI op het gebied van corruptie

16 april 2025

Artificiële Intelligence (AI) wordt met de dag slimmer, en de afgelopen jaren wordt AI dan ook steeds meer gebruikt. Hiermee groeien echter ook de risico’s op misbruik en corruptie. Experts van Transparency International waarschuwen dat AI op verschillende manieren voor corruptie gebruikt kan worden. Daarnaast zouden sommige eigenschappen van AI corruptie ook nog eens aanlokkelijker maken. Wetgeving om misbruik tegen te gaan en corruptie te voorkomen is dan ook hard nodig.

Overheid laat burger verdwalen in de jungle van gegevensverwerking

11 april 2025

Wat kun je als burger doen wanneer de overheid je persoonsgegevens gebruikt en daarmee besluiten neemt waar je het niet mee eens bent? Fatma Çapkurt promoveerde op een onderzoek hiernaar. Burgers moeten verwerking van hun gegevens beter kunnen beoordelen.

'Als we zo doorgaan, gaat de datacenter-sector de duurzaamheidsdoelstelling voor 2030 niet halen'

7 april 2025

De groeiende afhankelijkheid van onze samenleving van digitale technologieën zoals AI veroorzaakt een steeds grotere ecologische voetafdruk. Kristina Irion, universitair hoofddocent aan het Instituut voor Informatierecht, onderzoekt de wetgeving en het beleid van de Europese Unie rondom datacenters. In een recent artikel leggen zij en co-auteur Jessica Commins uit waarom, ondanks maatregelen om de energie-efficiëntie en het verbruik van hernieuwbare energie te verhogen, de ongebreidelde groei van de datacentersector het bereiken van de duurzaamheidsdoelstelling voor 2030 in gevaar brengt.

Meer nieuws