Omstandigheden van de inbreuk (CB)
Omstandigheden van de overtreding (CB)
De elementen die onder CB worden beschouwd, zijn het verlies van beveiliging (vertrouwelijkheid, integriteit, beschikbaarheid) en kwaadwillende bedoelingen en zijn complementair aan DPC en EI, en wel als volgt:
Verlies van vertrouwelijkheid: verlies van vertrouwelijkheid treedt op wanneer de informatie wordt geopend door partijen die niet geautoriseerd zijn of geen legitiem doel hebben om er toegang toe te krijgen. De mate van verlies van vertrouwelijkheid hangt af van de omvang van de openbaarmaking, d.w.z. het potentiële aantal en type partijen dat mogelijk onrechtmatig toegang heeft tot de informatie.
Verlies van integriteit: verlies van integriteit treedt op wanneer de oorspronkelijke informatie wordt gewijzigd en vervanging van gegevens kan nadelig zijn voor het individu. De meest ernstige situatie doet zich voor wanneer er serieuze mogelijkheden zijn dat de gewijzigde gegevens zijn gebruikt op een manier die het individu zou kunnen schaden.
Verlies van beschikbaarheid: Verlies van beschikbaarheid treedt op wanneer de originele gegevens niet toegankelijk zijn wanneer daar behoefte aan is. Het kan tijdelijk zijn (gegevens kunnen worden hersteld, maar het zal enige tijd duren en dit kan nadelig zijn voor het individu) of permanent (gegevens kunnen niet worden hersteld).
Kwaadaardige bedoelingen: dit element onderzoekt of de inbreuk te wijten was aan een fout of vergissing, hetzij menselijk of technisch, of werd veroorzaakt door een opzettelijke handeling met kwaadaardige bedoelingen. Niet-kwaadwillende inbreuken omvatten gevallen van onopzettelijk verlies, onvoldoende verwijdering, menselijke fouten en softwarefouten of verkeerde configuraties. Schadelijke inbreuken omvatten gevallen van diefstal en hacking die bedoeld zijn om personen schade te berokkenen (bijv. Door hun persoonlijke gegevens bloot te stellen aan onbevoegde derden). In andere gevallen kunnen kwaadwillende bedoelingen de overdracht van persoonlijke gegevens aan derden voor winst omvatten (bijvoorbeeld de verkoop van lijsten met persoonlijke gegevens). In sommige gevallen kan kwaadwillende bedoelingen ook worden afgeleid uit acties die erop gericht zijn de gegevensbeheerder te schaden (bijvoorbeeld door het stelen van en het blootstellen van de persoonsgegevens aan onbevoegde partijen). Kwaadwillige bedoelingen zijn een factor die de kans vergroot dat de gegevens op een schadelijke manier worden gebruikt, aangezien dit het oorspronkelijke doel van de inbreuk was.
Met betrekking tot CB-scores worden, in tegenstelling tot DPC en EI, waar de maximaal behaalde score wordt gekozen, de punten die voor elk CB-element worden behaald, opgeteld om de eindscore te verkrijgen, aangezien zich bij dezelfde overtreding verschillende omstandigheden kunnen voordoen. Beoordelingstabel 3 geeft verschillende scores per CI-element en voor verschillende soorten omstandigheden.