OVHcloud Help centre

Hello. How can we help you?

Use case

Wanneer het gaat om persoonsgegevens, moet de verwerkingsverantwoordelijke de inbreuk in kwestie in een intern register documenteren.

 

Mijn dedicated server is enkele dagen ontoegankelijk geweest, maar bevat geen persoonsgegevens. Moet ik dit melden?

Nee, de inbreuk moet verplicht gemeld worden wanneer een toevallig of onrechtmatig beveiligingsincident leidt tot vernietiging, verlies, wijziging of ongeoorloofde openbaarmaking van persoonsgegevens of waar sprake is van ongeoorloofde toegang tot deze gegevens. Als u geen persoonsgegevens verwerkt, is melding dus niet verplicht.

 

Mijn infrastructuur wordt als "niet-herstelbaar" beschouwd als gevolg van de brand en ik had geen back-up gemaakt. Is een kennisgeving aan de toezichthoudende autoriteit noodzakelijk?

Een kennisgeving aan de toezichthoudende autoriteit is vereist indien:

  • persoonsgegevens voor altijd verloren zijn gegaan (geen back-up); of
  • deze lang genoeg niet beschikbaar zijn gebleven op een zodanig manier dat dit een risico vormt voor de betrokken natuurlijke personen.

Indien dit verlies of deze onbeschikbaarheid echter geen risico voor de rechten en vrijheden van de betrokken natuurlijke personen inhoudt (bijvoorbeeld: gegevens van weinig betekenis, zoals technische gegevens), dan is kennisgeving niet vereist.

Als het wel nodig is, dient de verwerkingsverantwoordelijke de kennisgeving zo spoedig mogelijk te verrichten, zo mogelijk binnen 72 uur na de melding van de inbreuk.

Als u een verwerker bent, oftewel u verwerkt de gegevens in kwestie volgens instructies van een derde partij, bijvoorbeeld uw klant, dan moet u het incident zo snel mogelijk melden aan deze partij, zodat de klant de vereiste meldingen kan doen of, als deze partij niet verantwoordelijk is voor de verwerking, de verwerkingsverantwoordelijke hiervan op de hoogte kan stellen.

Indien de inbreuk voor de betrokkenen een hoog risico kan inhouden, moeten zij ook rechtstreeks op de hoogte worden gebracht. Bij de beoordeling van het risiconiveau wordt met name rekening gehouden met het type gegevens dat bij de inbreuk betrokken is, met de betrokken groep mensen (klanten, patiënten, werknemers, minderjarigen, kwetsbare personen) en met de mogelijke gevolgen van de inbreuk voor de betrokkenen zelf (bijvoorbeeld het definitieve verlies van gezondheidsgegevens van een patiënt kan een hoog risico inhouden).

 

Ik ben verwerkingsverantwoordelijke en mijn infrastructuur wordt na de brand als "niet-herstelbaar" beschouwd, maar ik heb back-ups. Moet ik de toezichthouder hiervan op de hoogte brengen?

Indien de implementatie van een disaster recovery plan (DRP) of een Business Continuity Plan (BCP) de continuïteit van de dienst heeft gewaarborgd en de gegevens vanaf de back-ups konden of kunnen worden hersteld, zonder dat dit voor de betrokkenen grote gevolgen heeft, is kennisgeving niet nodig.

 

Ik gebruik de Exchange-services van OVH en mijn tijdens het incident verzonden of ontvangen e-mails zijn te laat aangekomen. Moet ik mijn autoriteit voor gegevensbescherming hiervan op de hoogte stellen?

Door de implementatie van OVH's DRP's en BCP's konden de gegevens vanaf back-ups worden hersteld. De gevolgen voor de betrokkenen waren dus beperkt (tijdelijk geen toegang tot e-mail). In dat geval is een kennisgeving in principe niet nodig, tenzij een risico voor de betrokken personen wordt vastgesteld.

 

Mijn e-mailservices waren enkele uren na het incident ontoegankelijk, maar er is niets verloren gegaan. Moet ik deze onbeschikbaarheid melden?

Nee, alleen "inbreuk met betrekking tot persoonsgegevens" moet worden gemeld. Tijdelijke onbeschikbaarheid wordt niet gedefinieerd als een inbreuk in artikel 4, lid 12, van de AVG (GDPR).