Overzicht van de methodologie

Criteria

De belangrijkste criteria waarmee rekening wordt gehouden bij het beoordelen van de ernst van een inbreuk in verband met persoonsgegevens zijn:

  • Gegevensverwerkingscontext (DPC): pakt het type van de gelekte gegevens aan, samen met een aantal factoren die verband houden met de algemene context van de verwerking.
  • Identificatiegemak (EI): bepaalt hoe gemakkelijk de identiteit van de individuen kan worden afgeleid uit de gegevens die bij de inbreuk zijn betrokken.
  • Omstandigheden van inbreuk (CB): pakt de specifieke omstandigheden van de inbreuk aan, die verband houden met het type inbreuk, met inbegrip van voornamelijk het verlies van de beveiliging van de gelekte gegevens, evenals alle betrokken kwaadwillende bedoelingen.

Berekening van de ernst

Op basis van de bovenstaande criteria is de aanpak van deze methodologie als volgt:

  • DPC vormt de kern van de methodologie en evalueert de kriticiteit van een bepaalde dataset in een specifieke verwerkingscontext.
  • EI is een correctiefactor van de DPC. De algehele kriticiteit van een gegevensverwerking kan worden verminderd, afhankelijk van de waarde van EI. Met andere woorden, hoe lager het identificatiegemak, hoe lager de algehele score. De combinatie van de EI en DPC (vermenigvuldiging) geeft daarom de beginscore van de ernst (SE) van het datalek.
  • CB kwantificeert specifieke omstandigheden van de inbreuk die al dan niet aanwezig kunnen zijn in een bepaalde situatie. Dus, indien aanwezig, kan CB alleen bijdragen aan de ernst van een specifieke inbreuk. Om deze reden kan de initiële score door de Ci verder worden aangepast.

Zo kan de uiteindelijke score van de ernstbeoordeling worden afgeleid met behulp van de volgende formule:

SE = DPC x EI + CB

Op deze manier moeten alle drie de criteria worden gescoord om ervoor te zorgen dat de controller het resultaat van de ernst krijgt.

Het resultaat behoort tot een bepaald waardenbereik dat overeenkomt met een van de vier ernstniveaus: laag, gemiddeld, hoog en zeer hoog7. Aan het einde van de beoordeling worden andere mogelijk relevante criteria (aantal personen en onbegrijpelijkheid van gegevens) die niet in de methodologie zijn meegenomen, geëvalueerd en, indien van toepassing, aan de bevoegde autoriteit gemeld.

Het is essentieel om in gedachten te houden dat alle scores en / of ranglijsten die in deze methodologie worden gebruikt, uitsluitend zijn vastgesteld voor gebruik binnen de ernstformule. Ze zijn niet bedoeld om enige betekenis te hebben voor een conclusie over de weging of rangschikking van bepaalde soorten gegevens in het algemeen, laat staan ​​een indicatie van eventuele juridische consequenties of precedenten met betrekking tot het gebruik van deze gegevens voor andere doeleinden.

Laatste wijziging: Saturday, 20 February 2021, 22:27