Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst!

Transcriptie

1 Juridische blik op: hacking en bescherming van persoonsgevens Nieuwe wetgeving op komst!

2 Het kan de beste overkomen

3 In het nieuws: database piloten EASA wil database gegevens gezondheid van piloten 20 oktober 2015 om 21:59 door I. de Vries Als het aan de Europees Agentschap voor de veiligheid van de luchtvaart (EASA) ligt, komt er een database waarin gegevens staan over de gezondheid van piloten. Het streven is de database in december 2016 actief te hebben, meldde de EASA vandaag.

4 Medisch dossier op straat ANP Kramer woedend over lekken uit medisch dossier Sven Kramer heeft met woede en verbazing kennis genomen van een verhaalzaterdag in de Volkskrant waarin zenuwschade in zijn rechterbeen in december 2010 aan de orde komt. 'Of ik boos ben? Dat is nog zacht uitgedrukt', zei hij zondag in Calgary tegen de NOS. 16 november 2015, 00:20 - Bron: ANP

5 Gevolgen van een inbreuk of datalek? - Diverse schade! Maar ook: Verplichtingen op basis van de Wet bescherming persoonsgegevens

6 Stand van zaken medio 2015: Breach Level Index van Gemalto Meer dan datalekken leidden in 2014 tot bijna één miljard aangetaste datarecords wereldwijd. Dat blijkt uit de Breach Level Index (BLI) van Gemalto. Deze getallen betekenen ten opzichte van 2013 een toename van 49 procent van het aantal datalekken en van 78 procent van het aantal datarecords dat gestolen werd of zoekraakte.

7 Wet- en regelgeving privacy - Internationale verdragen (EVRM, IVBPR) - Europese wetgeving (privacy richtlijn 95/46/EC) - Grondwet (artikel 10) - Telecommunicatiewet (cookies, spam e.d.) deze wet kent al een meldplicht / art 11.3 Wet bescherming persoonsgegevens + publicaties CBP - per 1 januari 2016 Wet meldplicht datalekken Burgerlijk Wetboek (aansprakelijkheid) - Wetboek van Strafrecht (div opsporing) - zelfregulering

8 Wat zijn persoonsgegevens volgens de wet? Artikel 1 Wbp / persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Niet alleen naam, adres, geboortedatum en BSN nummer maar ook een telefoonnummer, een IP adres, foto, adres, kenteken, vingerafdruk e.d. zijn gegevens die naar een persoon kunnen leiden. Voor verwerking van gewone persoonsgegevens geldt: nee, tenzij Artikel 16 Wbp / Bijzondere persoonsgegevens: De verwerking van over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden tenzij.. Voor bijzondere persoonsgegevens geldt verboden, tenzij

9 Per 1 januari 2016: Wet meldplicht datalekken meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp. Artikel 13 Wbp bepaalt: dat bij de verwerking van persoonsgegevens passende technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking Het nieuwe artikel 34a lid 1 Wbp bepaalt: De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

10 Aanzienlijke kans op ernstig nadelige gevolgen dan wel ernstige nadelige gevolgen (?) Melden of niet? Dat hangt er vanaf of het beveiligingsincident leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. De aard van het incident, het soort gegevens, risico s voor de betrokkenen en de omvang van de inbreuk bepalen de ernst. Het zoekraken of hacken van de ledenadministratie van een schaakvereniging is iets anders dan een datalek bij de Belastingdienst of het verlies van een laptop met medische gegevens of diefstal van een usb-stick van een minister.

11 Wel ernstig? Dan dubbele meldplicht Niet alleen bij het College bescherming persoonsgegevens (vanaf 1 januari Autoriteit Persoonsgegevens ) maar ook bij de betrokkene! Het lid 2 van het nieuwe artikel luidt: De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

12 Hoe en wat moet worden gemeld? Melden moet conform lid 3 en lid 4 van het nieuwe artikel 34a Wbp: Lid 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Lid 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen Van 1 januari staat er een formulier op de website van het CBP waarmee een datalek kan worden gemeld.

13 Cbp heeft met de huidige Wbp weinig boetebevoegdheid Vanaf 1 januari voor veel overtredingen boetes, zoals onzorgvuldige gegevensverwerking verweking zonder legitiem doel, onnodig bewaren niet zorgen voor adequate beveiliging. Niet opzettelijk of ernstig verwijtbaar? Dan eerst een bindende aanwijzing voordat een boete kan worden opgelegd. De overtreder kan vrijwillig herstellen, bijvoorbeeld door alsnog passende beveiliging te regelen. Het niet-naleven van een bindende aanwijzing kan direct worden bestraft met een boete die kan oplopen tot wel ,- of zelfs 10% van de jaaromzet. Bij opzettelijk overtreden, kan dit direct tot een boete leiden.

14 Stand van zaken / Richtsnoeren Cbp 15 oktober 2015 Consultatie richtsnoeren datalekken van VPR Nodige kritiek op huidige tekst richtsnoeren Cbp: - Onduidelijke definities o.a. datalek, bestand e.d. - Te ruime lezing inbreuk, verlies door blikseminslag is ook een inbreuk - Termijn melding: 2 werkdagen na ontdekking (geen tijd voor check of het echt een lek is) - Bestendigheid richtsnoeren: worden in 2017 herzien - Summiere uitleg waarom financiële instellen zijn uitgezonderd - Onduidelijke voorbeelden door Cbp van praktijkgevallen.

15 Zwakke schakels? Een ketting is zo sterk als de zwakste schakel Alles beveiligd tegen gevaar van buitenaf? Prima, maar denk aan de achterdeur! Personeel is vaak een zwakke schakel (installeren programma s op werk pc, binnenhalen malware en virussen, verlies smart phone) Leg restricties en afspraken vast in personeelshandboek (BYOD bepaling) Beperk toegang tot systemen op basis van noodzakelijke toegang

16 Privacy Impact Assessment

17 Tja Woman Capital is een Head Hunters bureau. Het (in beslaggenomen) databestand bestaat uit informatie van circa zogenaamde topvrouwen uit het bedrijfsleven verdeeld over circa organisaties. De deurwaarder wordt geconfronteerd met ongeveer 40 bezwaren van in de databank opgenomen personen Volgens Woman Capital dient het databestand te worden vernietigd vanwege de privacy van de daarin opgenomen personen en om misbruik van vertrouwelijke gegevens te voorkomen. De deurwaarder heeft in veilingvoorwaarden opgenomen dat alleen organisaties in dezelfde branche mogen bieden. Ondanks de bezwaren tegen overdracht van gegevens aan derden staat de executie van het databestand niet in de weg. Vzr. Rechtbank Amsterdam 22 oktober 2015 ECLI:NL:RBAMS:2015:7501 (deurwaarder tegen Women Capital)

18 Wat nu te doen? - Volg de ontwikkelingen op de voet en maak iemand binnen de organisatie verantwoordelijk voor privacy - Wees voorbereid op een eventuele datalek en leg vast wat er in uw organisatie moet worden gedaan bij een lek - Let op bij van ICT contracten en check deze op uitsluiting van aansprakelijkheid. - Zorg voor een passende verzekering en laat de verzekeraar meedenken. - Luister goed naar wat de komende sprekers u vertellen

19 Dank voor uw aandacht Fruytier Lawyers in Business Keizersgracht GD Amsterdam The Netherlands P. +31 (0) F. +31 (0) W. mr. Marten van Hasselt E: M: +31 (0)