Geluk van de Ieren? Commissie voor gegevensbescherming van Ierland publiceert jaarverslag

As shared by the Commissioner for Data Protection, Helen Dixon, “The progress the DPC has made in 2020 provides a solid platform on which to build across our enforcement and complaint-handling functions in particular. The GDPR must be understood as a project for the now, but equally for the longer-term. The DPC intends to continue as a leader in its full implementation.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Opmerking van de redactie: De Data Protection Commission (DPC) is de Ierse toezichthoudende autoriteit voor de Algemene Verordening Gegevensbescherming (GDPR). Het heeft ook functies en bevoegdheden met betrekking tot andere kritieke regelgevingskaders, waaronder de Ierse eCrivacy Regulations (2011) en de EU-richtlijn die bekend staat als de wetshandhavingsrichtlijn. Onlangs heeft Helen Dixon, commissaris voor gegevensbescherming, het jaarverslag 2020 van de Ierse Commissie voor gegevensbescherming gelanceerd. In dit onlangs gepubliceerde rapport (25 februari 2021) geeft DPC Ireland een overzicht van de uitgebreide reeks regelgevingswerkzaamheden die tijdens de uitvoering van zijn taken zijn voltooid in de rol van toezicht op en regulering van de toepassing van de EU-wetgeving inzake gegevensbescherming en e-privacy. Als onderdeel van die detaillering van het werk deelt de DPC details over meldingen van inbreuken aan de DPC in 2020. Aangezien data en juridische professionals die actief zijn in het eDiscovery ecosysteem proberen inzicht te krijgen in de marktimpact en kansen die worden veroorzaakt door datalekken, kunnen zij profiteren van de details en gegevenspunten die in dit belangrijke jaarverslag worden gedeeld.

Jaarverslag DPC Ierland 2020

Een uittreksel over overtredingen (hoofdstuk 3)

Het aantal meldingen van inbreuken aan de DPC bleef hoog in 2020, maar de DPC is meer dan ooit overtuigd van de waarde van de verplichte verplichting om op grond van de AVG te melden. Het stelt de DPC in staat om inzicht te krijgen in de risico's rond de beveiliging en verwerking van persoonsgegevens die zich voordoen in organisaties per geval en om in voorkomend geval tussenbeide te komen en te begeleiden over risicobeperkende maatregelen rond die risico's, waar nodig. Over het algemeen stimuleren de reacties die we van organisaties ontvangen de DPC in de ogen dat de meeste organisaties de input van de DPC willen naleven en waarderen.

Overtredingen onder de AVG

In 2020 ontving de DPC 6.783 kennisgevingen inzake inbreuken in verband met gegevensinbreuken op grond van artikel 33 AVG, waarvan 110 gevallen (2%) als niet-inbreuken werden geclassificeerd omdat zij niet voldeden aan de definitie van een inbreuk op persoonsgegevens zoals uiteengezet in artikel 4, lid 12, AVG. De DPC heeft in 2020 in totaal 6.673 geldige inbreuken op de gegevensbescherming geregistreerd, wat neerkomt op een toename van 10% (604) ten opzichte van de in 2019 gerapporteerde aantallen.

Net als in andere jaren, werd de hoogste categorie gegevenslekken gemeld onder de AVG geclassificeerd als Niet-geautoriseerde openbaarmakingen en was goed voor 86% van de totale kennisgevingen van gegevensinbreuken die in 2020 werden ontvangen. Het merendeel van de inbreuken heeft zich voorgedaan in de:

Particuliere sector: 4,097

Publieke sector: 2.559

Vrijwillig: 16

Liefdadigheid: 1

Totaal: 6.673

De DPC zag ook een toename in het gebruik van social engineering en phishing aanvallen om toegang te krijgen tot de ICT-systemen van controllers en verwerkers. Hoewel veel organisaties aanvankelijk effectieve ICT-beveiligingsmaatregelen hebben ingevoerd, is het duidelijk dat organisaties geen proactieve stappen ondernemen om deze maatregelen te controleren en te herzien, of om personeel op te leiden om ervoor te zorgen dat zij zich bewust zijn van zich ontwikkelende bedreigingen. In deze gevallen blijven we organisaties aanbevelen hun ICT-beveiligingsmaatregelen periodiek te evalueren en een uitgebreid opleidingsplan voor werknemers uit te voeren, ondersteund door bijscholings- en bewustmakingsprogramma's om de risico's van een zich ontwikkelend bedreigingslandschap te beperken.

Meldingen van gegevensinbreuk per categorie

Openbaarmaking (ongeautoriseerd): 5.837

Hacken: 146

Malware: 19

Phishing - Inclusief Social Engineering: 74

Ransomware/Denial of Service: 32

Beveiligingslek in softwareontwikkeling: 5

Verloren of gestolen apparaat (versleuteld): 19

Apparaat verloren of gestolen (niet-versleuteld) 29

Verloren of gestolen papier: 275

E-Waste (Persoonsgegevens aanwezig of verouderd apparaat: 1

Ongepaste verwijdering van papier: 21

Systeem Misconfiguratie: 40

Ongeautoriseerde toegang: 146

Onbedoelde online-publicatie: 61

Andere: 78

Totaal: 6.783

Overtredingen van e-Privacy

De DPC ontving in totaal 70 geldige meldingen van inbreuken op gegevens onder de e-Privacy Regulations (SI nr. 336 van 2011), die goed waren voor iets meer dan 1% van de totale geldige zaken die voor het jaar zijn aangemeld.

LED Overtredingen

De DPC heeft ook 25 kennisgevingen van inbreuken ontvangen met betrekking tot de LED (Richtlijn (EU) 2016/680), die door bepaalde delen van de Data Protection Act 2018 in Iers recht zijn omgezet.

DPC-beoordeling van een inbreuk

Zodra een kennisgeving van een inbreuk bij de DPC is ingediend, beoordeelt de DPC deze met inachtneming van meerdere aspecten van de inbreuk en de risico's die deze inhoudt. De eerste is de aard van de inbreuk, met inbegrip van de vraag of deze opzettelijk of per ongeluk is veroorzaakt, of de gegevens zijn geëxfiltreerd of ontoegankelijk zijn gemaakt, en de betrokken methoden van technologie en organisatie. Een geschiedenis van inbreuken van een bepaald type kan wijzen op een systeemprobleem dat een individuele verwerkingsverantwoordelijke, een bepaalde locatie of een hele economische sector treft. Kenmerken van de betrokken persoonsgegevens staan centraal in de beoordeling van de DPC. Deze omvatten de soorten, het formaat en de gevoeligheid van de persoonsgegevens, het aantal personen en de betrokken bestanden, en de mogelijkheid om de gegevens te lezen of te verspreiden. De DPC zal nagaan of er sprake is van aspecten zoals profilering, geautomatiseerde besluitvorming, monitoring of tracking.

Evenzo kunnen de categorieën van de betrokkenen — zoals kinderen of kwetsbare personen — en kenmerken van de verwerkingsverantwoordelijke en/of verwerker, zoals wettelijke verantwoordelijkheden of verwerking van andere soorten persoonsgegevens, van zeer groot belang zijn. Het volume van de betrokkenen en de locatie van deze betrokkenen wordt in aanmerking genomen.

Andere factoren die in aanmerking moeten worden genomen zijn de mogelijke schade voor betrokkenen als gevolg van openbaarmaking, misbruik of verlies van persoonsgegevens die door de inbreuk zijn getroffen. Dit aspect van de risicobeoordeling wordt vaak over het hoofd gezien door de verwerkingsverantwoordelijken. Harms kan variëren van tijdelijk ongemak tot zeer ernstige risico's, zoals identiteitsdiefstal, financieel verlies en verkeerde diagnose van medische aandoeningen of reputatieschade. De DPC zal nagaan wat de impact op de getroffen personen is, met inbegrip van de ernst, omvang en context van de personen.

Ten slotte beoordeelt de DPC beperkende factoren, zoals of back-ups beschikbaar zijn, kwetsbaarheden worden verholpen en of de gegevens worden opgehaald of verdere openbaarmaking wordt voorkomen. Vaak implementeren gegevensbeheerders geen eenvoudige maatregelen, zoals versleuteling van informatie die via e-mail wordt gedeeld, om ervoor te zorgen dat alle IT-beveiligingsmaatregelen zijn getroffen, maar ook regelmatig worden bijgewerkt. Deze factoren worden in de beoordeling in aanmerking genomen.

Als de feiten niet volledig bekend zijn of onduidelijk blijven na de eerste beoordeling van een inbreuk door de DPC, blijven zij contact opnemen met de verwerkingsverantwoordelijke totdat alle zaken zijn beantwoord, tot tevredenheid van de DPC. In sommige gevallen kan de verwerkingsverantwoordelijke of de verwerker worden gevraagd de oorzaken en gevolgen van de inbreuk opnieuw te beoordelen en verslag uit te brengen over de bevindingen ervan. Inbreuken met complexe IT-problemen vereisen mogelijk een beoordeling en analyse door de technische specialisten van de DPC. In gevallen waarin de verwerkingsverantwoordelijke een technisch verslag of onderzoeksverslag over de inbreuk heeft opgesteld of opdracht heeft gegeven, zal een kopie hiervan worden gevraagd.

In afwachting van de voltooiing van zijn onderzoek kan de DPC de voortgang van de maatregelen die zijn genomen om de gevolgen van de inbreuk te verhelpen of te verzachten, sturen en volgen. Dit kan omvatten het informeren van betrokkenen over de inbreuk op grond van artikel 34 AVG, of het uitvoeren van technische of organisatorische maatregelen om kwetsbaarheden te verhelpen.

Op basis van zijn beoordeling en van de maatregelen van de verwerkingsverantwoordelijke om verdere soortgelijke incidenten te voorkomen of te beperken, kan de DPC zijn onderzoek op dit punt afronden. Als de DPC niet tevreden is met de beperkende maatregelen of reacties van de controller, kan het de zaak escaleren voor verdere onderzoeks-/handhavingsmaatregelen.

Bekijk het volledige rapport (pdf)

Jaarverslag DPC 2020 (Nederlands)

Lees het oorspronkelijke bericht via de website Data Protection Commission (DPC Netherlands).

* Auteursrechtelijk beschermde informatie-notitie gedeeld met toestemming volgens het Hergebruik van Openbare Sectie Informatie

Extra lezen

De Commissie voor gegevensbescherming (DPC) Ierland

Een Ierse update: DPC Ierland publiceert AVG Regulatory Activity Report (2018-2020)

Bron: complexDiscovery

Gezamenlijk Cybersecurity Advisory van de CISA, FBI en NSA over BlackMatter Ransomware

This Joint Cybersecurity Advisory from the CISA, FBI, and NSA provides...

Geheimen bewaren? Ransomware-trends in Bank Secrecy Act Gegevens tussen januari 2021 en juni 2021

According to a recently published report, the U.S. Treasury's Financial Crimes...

Een geografische afbeelding: Ransomware-aanvallen in de Verenigde Staten tussen 2018 en vandaag

Published by Comparitech, a pro-consumer website providing information, tools, reviews, and...

Aanbevelingen voor het beperken van het risico op softwareklekken: NIST Secure Software Development Framework

This draft document from NIST on a proposed secure software development...

Consilio voltooit de overname van juridische advies⸺- en e-Discovery Business Units van Special Counsel van Adecco

According to Andy Macdonald, CEO of Consilio, “Consilio’s acquisition of D4...

Cellebrite verwerft digitale aanwijzingen

According to Cellebrite CEO Yossi Carmil, “We are pleased to announce...

iCONECT verwerft Ayfie Inspector Artificial Intelligence Codebase

According to Ian Campbell, CEO of iCONECT, “Direct access to the...

eDiscovery Fusies, overnames en investeringen in Q3 2021

From Ipro and Disco to Nuix and Lighthouse, the following findings,...

A New Era in eDiscovery? Framing Market Growth Through the Lens of Six Eras

There are many excellent resources for considering chronological and historiographical approaches...

Een eDiscovery Market Size Mashup: 2020-2025 Wereldwijd overzicht van software en services

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

De basislijn resetten? EDiscovery Marktgrootte aanpassingen voor 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Thuis of weg? eDiscovery Collection Market Overwegingen voor afmetingen en prijzen

One of the key home (onsite) or away (remote) decisions that...

Vijf geweldige lezingen over Cyber, Data en Legal Discovery voor september 2021

From countering ransomware to predictive coding and packaged services, the September...

Vijf geweldige lezingen over cyber, data en juridische ontdekking voor augustus 2021

From the interplay of digital forensics in eDiscovery to collecting online...

Vijf geweldige lezingen over cyber, data en juridische ontdekking voor juli 2021

From considerations for cyber insurance and malware to eDiscovery business confidence...

Vijf geweldige lezingen op eDiscovery voor juni 2021

From remediating cyberattacks to eDiscovery pricing, the June 2021 edition of...

Oogsttijd? eDiscovery Operationele Metrics in het najaar van 2021

In the fall of 2021, 67 eDiscovery Business Confidence Survey participants...

Ongewoon heet? Najaar 2021 eDiscovery Resultaten van onderzoek naar bedrijfsvertrouwen

Since January 2016, 2,595 individual responses to twenty-four quarterly eDiscovery Business...

Nog meer keepers? Voorspellende coderingstechnologieën en protocollen enquête — Resultaten van herfst 2021

From the most prevalent predictive coding platforms to the least commonly...

Gloeiende verwachtingen? Achttien waarnemingen over het vertrouwen van eDiscovery in de zomer van 2021

In the summer of 2021, 63.3% of survey respondents felt that...