Audit Meldplicht datalekken

Transcriptie

1 Datum 20 februari 2018 Versie 1.0 Auteur Irith Kist Opdrachtnaam Opdrachtgever Rekeningencommissie Status 1.0

2 Inhoudsopgave 1 Inleiding 3 2 Achtergrond Meldplicht datalekken Organisatie van de meldplicht datalekken in de gemeente Den Haag Recente ontwikkelingen inzake datalekken bij de gemeente Den Haag 5 3 Voorbereiding van de gemeente Den Haag op de AVG 6 4 Risico s 7 5 Kansen: nu en in de toekomst 8 Bijlage 1: Procedure meldplicht datalekken 9 Bijlage 2: Beantwoording vragen 10 2/10

3 1 Inleiding De audit over de meldplicht Datalekken maakt deel uit van de planning van proces- en projectaudits over 2017 zoals vastgesteld door de Rekeningencommissie (RC) op 7 juni 2017 (GAD/ ). De audit is uitgevoerd door auditors van de GAD. Voorafgaand aan de audit hebben twee inleidende gesprekken plaatsgevonden met respectievelijk Marijn Fraanje (Bestuursdienst, CIO) en Irith Kist (Bestuursdienst, Functionaris Gegevensbescherming, FG). Over het auditontwerp alsook over de vragen van de enquête heeft tevens een consulterend vooroverleg plaatsgevonden. De CIO en de FG hebben hierbij de wens geuit voor een interne audit naar de bekendheid onder de medewerkers van de enquête over het onderwerp: wat weten de medewerkers van Den Haag van de meldplicht datalekken? De uitgezette enquête heeft een meer verdiepende insteek gekend. De hoofdvraag van onderzoek luidt aldus: in hoeverre zijn de medewerkers in staat om de meldplicht datalekken te vertalen naar de eigen werkzaamheden? Het verantwoordingsdocument dat voor u ligt is opgesteld door de FG en de CIO. De audit is uitgevoerd door auditors van de GAD. 3/10

4 2 Achtergrond Meldplicht datalekken Ingevolge artikel 34 Wet bescherming persoonsgegevens (wbp), waarin de meldplicht datalekken is neergelegd, dient een datalek gemeld te worden als sprake is van de volgende situatie: Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (Artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp). 1 De meldplicht datalekken is op 1 januari 2016 van kracht geworden. In de Algemene Verordening Gegevensbescherming (AVG) is de meldplicht datalekken opgenomen in artikel 33 (melding aan de Autoriteit Persoonsgegevens) en 34 (melding aan de betrokkene). Een belangrijke deelclausule in artikel luidt als volgt (cursief en onderstreept): Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen ( ). 2 Deze nuancering houdt in dat niet ieder datalek aan de Autoriteit Persoonsgegevens gemeld dient te worden. Een vergelijkbare nuance over de melding aan de betrokkenen is opgenomen in artikel 34 lid 1 AVG (cursief en onderstreept): Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee ( ) 3. Deze nuancering houdt in dat niet ieder datalek aan de betrokkene(n) dient te worden gemeld. 2.1 Organisatie van de meldplicht datalekken in de gemeente Den Haag De Wet bescherming persoonsgegevens die op 1 september 2001 in werking getreden, voorziet reeds in belangrijke mate in de rechten en plichten van burgers en organisaties inzake de gegevensbescherming. Met de komst van de Algemene Verordening Gegevensbescherming is dan 1 Zie de beleidsregels van de Autoriteit Persoonsgegevens voor toepassing van artikel 34a Wbp. Zie: Ingelezen op 7 december Artikel 33 lid 1 AVG. 3 Artikel 34 lid 1 AVG. 4/10

5 ook voor Nederland de lijn van de gegevensbescherming bestendigd. Vanwege de directe werking van de verordening, alsmede vanwege de vervroegd ingevoerde meldplicht inzake datalekken en tot slot het gewijzigde (versterkte) toezicht van de nationale toezichthouder, zijn de ontwikkelingen in een stroomversnelling gekomen. Vanaf 1 januari 2016 is de meldplicht datalekken van kracht. De gemeente Den Haag bestuursdienst, juridische zaken en het CIO-office heeft medio 2015 een procedure opgesteld voor zowel interne als externe meldingen van datalekken. Vanaf 1 januari 2016 houdt de gemeente een intern register bij van alle meldingen. Hierin zijn aldus zowel de interne meldingen alsook de meldingen aan de Autoriteit Persoonsgegevens (AP) opgenomen. In de periode van 1 januari 2016 tot 18 april 2017 zijn de meldingen intern beoordeeld door de commissie datalekken, onder auspiciën van het hoofd juridische zaken bij de bestuursdienst (BSD). Met de komst van de functionaris gegevensbescherming (FG) per 18 april 2017 worden de meldingen vanuit de diensten rechtstreeks aan haar gemeld. Vanaf dat moment houdt zij tevens het register van de meldingen van datalekken bij. Naast de inrichting van beleid en governance op het terrein van de meldplicht datalekken, is tevens het proces van melden hiertoe ingericht per 1 januari Met de komst van de functionaris gegevensbescherming (FG) per 18 april 2017 is de procedure enkel op dit punt aangepast. Deze geringe wijziging is in januari 2018 tezamen met de laatste versie van de verwerkersovereenkomst aangeboden aan het college van Burgemeester en Wethouders. Het beleidskader wordt in maart 2018 aangeboden aan zowel de ambtelijke als bestuurlijke lijn. In de praktijk is de werkwijze van de interne melding aan de FG bekend gemaakt op Werknet, alsook onder de privacy- en securityofficers. De procedure is als bijlage bij dit document toegevoegd (bijlage 1). 2.2 Recente ontwikkelingen inzake datalekken bij de gemeente Den Haag Op 17 oktober 2017 is de Rekeningencommissie geïnformeerd (RIS ) in de halfjaarlijkse rapportage over de voortgang op de onderwerpen privacy en informatieveiligheid. Hierin is opgenomen dat het aantal meldingen van datalekken in de gemeente stabiel is gebleven. Tevens zijn op 27 juni 2017 schriftelijke vragen beantwoord over het aantal meldingen en de aard van de meldingen (RIS : Meer meldingen van datalekken door gemeenten ). De beantwoording is als bijlage bij dit document toegevoegd (bijlage 2). 5/10

6 3 Voorbereiding van de gemeente Den Haag op de AVG De gemeente Den Haag bereidt zich zo optimaal mogelijk voor op de implementatie van de Algemene Verordening Gegevensbescherming (AVG). De gemeente werkt volgens het tien-stappenplan dat door de Autoriteit Persoonsgegevens is opgesteld 4. Op basis van dit tien-stappenplan heeft de FG een startnotitie opgesteld, een werkdocument waarmee vorm en uitvoering wordt gegeven aan de tien stappen van de Autoriteit Persoonsgegevens. Tevens stelt de gemeente een beleidskader op met als basis het kader van de Vereniging Nederlandse Gemeente (VNG). Dit beleidskader zal aan het college en de raad ter instemming worden voorgelegd. Tot slot wijzigt de verwerkersovereenkomst ingevolge de AVG licht. Een nieuwe versie van de huidige verwerkersovereenkomst is in januari 2018 aan het college ter instemming voorgelegd, tezamen de geringe procedurewijziging inzake de meldplicht datalekken na de komst van de Functionaris Gegevensbescherming (FG). Een van de actiepunten uit het tien-stappenplan van de Autoriteit Persoonsgegevens betreft de bewustwording in de organisatie van de medewerkers over de nieuwe privacyregels. De gemeente heeft hiertoe een vijfwekelijks privacy-/security-overleg in het leven geroepen, een tweewekelijks privacy-spreekuur ingericht, en de FG verzorgt inleidingen over dit thema aan (management-)teams. Ook geeft zij workshops over een specifiek thema, zoals de inleiding AVG tijdens de Labtalk in oktober 2017, en de Kerstspecial voor leidinggevenden in december In januari 2018 heeft zij een workshop over het thema datalekken verzorgd, waarna in februari 2018 het thema Register van verwerkingen volgt. Daarnaast wordt als onderdeel van de bewustwordingscampagne een app-game ontwikkeld voor medewerkers in de gemeente. Dit spel, Gegevensweg?!, is op 5 februari 2018 gelanceerd waarbij teams van collega s worden aangemoedigd de vragen op het terrein van gegevensbescherming en veiligheid te beantwoorden in een interactieve app. De audit dient tevens het doel van het vergroten van het bewustzijn over een deelthema van privacy: datalekken. Naast het vergroten van het bewustzijn onder de medewerkers streeft de gemeente er juist en bovenal naar om niet alleen vanuit de bedreigingen maar ook vanuit de mogelijkheden de bewustwording over privacy te vergroten. Het is de nadrukkelijke wens en ambitie van de gemeente om de bewustwording over gegevensbescherming onder de medewerkers en burgers te vergroten, en om gezamenlijk te streven naar preventie, inrichting en implementatie ten behoeve van de gegevensbescherming van onze burgers en medewerkers. De audit inzake de meldplicht datalekken ziet het college daarmee als een kans om bewustzijn over dit (deel-)thema verder te vergroten. Een onderdeel van het tien-stappenplan zoals opgesteld door de Autoriteit Persoonsgegevens is de opstelling van een register van verwerkingen. Elke organisatie die gegevens verwerkt, dient hiervan een register op te stellen. Op het moment van schrijven wordt dit register door de diensten decentraal opgesteld, waarna de samenvoeging in een centraal register volgt. De FG houdt dit centrale register bij op actualiteiten. 4 Zie: In tien stappen voorbereid op de AVG, opgesteld door de Autoriteit Persoonsgegevens Zie: ingelezen op 7 december /10

7 De AVG schrijft voor, en de Autoriteit Persoonsgegevens heeft dit verwoord in het tien-stappenplan onder de noemer privacy by default en privacy by design, alsmede onder de noemer data protection impact assessment dat elke organisatie dient te streven naar a) dataminimalisatie; b) inzicht in autorisatie en logging van persoonsgegevens; c) aandacht voor de rechten van betrokkenen. Dit betekent dat de processen en applicaties van onze gemeente dusdanig ingericht dienen te worden dat zowel informatiebeveiliging alsook de gegevensbescherming hierin onverkort worden meegenomen. Met de samenwerking op beide terreinen krijgen preventie en inrichting de aandacht die zij verdienen. Op het terrein van inrichting en governance, streeft de gemeente naar een robuuste organisatie van gegevensbescherming, hand in hand met aandacht voor beveiliging en veiligheid. Bij de diensten is een aanspreekpunt voor privacy-vraagstukken en bij deze collega( s) ligt tevens de verantwoordelijkheid voor het decentrale register van verwerkingen, de quick scans en privacy impact assessments (PIA s), en met de komst van de AVG tevens de Data Protection Impact Assessments (DPIA s) voor de verwerking van gevoelige persoonsgegevens op grote schaal. 4 Risico s Het thema gegevensbescherming heeft juist vanwege de veelzijdigheid een aantal risico s. Ten eerste is de inhoud van de AVG voor het leeuwendeel van de medewerkers in de gemeente, alsook voor de burgers, onontgonnen terrein. Een bekend gezegde luidt: Onbekend maakt onbemind, en ook in casu gaat dit adagium op. Een gedegen, veelvuldige aandacht voor dit thema alsmede de kennisdeling is dan ook van essentieel belang opdat de medewerkers nieuwe handvatten hebben voor de dagelijkse praktijk met inachtneming van de AVG. Ten tweede heeft de gemeente op dit moment op centraal niveau de functionaris gegevensbescherming (FG), en op decentraal niveau zijn er inhoudsdeskundigen (wbp-coördinatoren of privacy-officers). Terwijl de FG zich in een voltijdse aanstelling toelegt op de gegevensbescherming en implementatie van de AVG in de gemeente, hebben de inhoudsdeskundigen op decentraal niveau evenwel vaak beperkte (taak-)tijd voor het metier van gegevensbescherming. Bij enkele diensten ontbreekt voorts de juridische expertise of is er in het geheel geen wbp-coördinator/ privacy-officer aanwezig. De inrichting van het BEC heeft voorts nog geen toebedeling van de privacy-functie behelst. Gezien de aandacht voor dit thema, de reputatie van onze gemeente alsook de versterkte rechten van de burgers ingevolge de AVG, is extra menskracht wenselijk. Ten derde is sinds 1 januari 2016 de nadruk, zowel extern als intern, gelegd op de meldplicht datalekken, gezien het feit dat deze meldplicht op een eerder moment van kracht is geworden. Met hierbij tevens de (vergrote) aandacht voor de mogelijke sanctionering, is er een zekere angst onder sommige medewerkers ontstaan. Met een goede voorlichting, gericht op preventie, inrichting en implementatie van de vereisten ingevolge de AVG, kan aan deze zorg het hoofd worden geboden. 7/10

8 5 Kansen: nu en in de toekomst De meldplicht datalekken omvat een deelthema van de gegevensbescherming voor onze burgers en medewerkers. De audit datalekken biedt inzicht in de huidige bewustwording en de mogelijke stappen van vergroting alsmede herkenning van datalekken. De audit kan dienen als startpunt op weg naar de stip aan de horizon van gegevensbescherming. De AVG biedt hierbij tevens kansen. De AVG is zogeheten principle-based wetgeving. Dit houdt in dat algemene kaders zijn ingericht waarin de bescherming van de persoonsgegevens in alle deelthema s centraal staat. En juist bij deze open wetgeving liggen de kansen. In het onontgonnen terrein zijn talrijke scenario s voor inrichting denkbaar. 8/10

9 Bijlage 1: Procedure meldplicht datalekken Deze bijlage is als separaat document toegevoegd. 9/10

10 Bijlage 2: Beantwoording vragen Deze bijlage is als separaat pdf-document toegevoegd. 10/10