Meldplicht datalekken

Transcriptie

1 Meldplicht datalekken Auteur(s): Project Moore in opdracht van SURF Versie: 1,0 Datum: Juli 2014 Radboudkwartier CK Utrecht Postbus DA Utrecht ING Bank NL54INGB KvK Utrecht BTW NL B01

2 Inhoudsopgave 1 Inleiding Het melden van een datalek Stappenplan voorbereiding meldplicht datalekken Veel gestelde vragen... 8 Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op

3 Dit document Meldplicht Datalekken is een handreiking voor de instellingen die behoren tot de doelgroep van SURF. Het document bevat een stappenplan dat de instellingen kunnen gebruiken bij hun voorbereiding op de meldplicht waardoor zij compliant met de toekomstige wetgeving kunnen worden. Het stappenplan benadert het vraagstuk vanuit de optiek van integrale veiligheid en benadrukt daarom de taken en verantwoordelijkheden voor verschillende functionarissen binnen de organisaties van de doelgroep. Ter informatie is een korte vraagbaak opgenomen waarin SURF uitlegt wat de meldplicht inhoudt en waarin de antwoorden op de belangrijkste vragen over datalekken en de meldplicht zijn te vinden. De teksten in dit document zijn gebaseerd op het Voorstel van wet Wijziging Wet bescherming persoonsgegevens (Meldplicht datalekken) en de Nota van Wijziging van 15 april /11

4 1 Inleiding Geregeld lezen we in de media dat gegevens van werknemers, studenten of patiënten letterlijk op straat liggen; dossiers die worden aangeboden als oud papier, een gestolen smartphone of een verloren USB-stick. Als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben spreken we van een datalek. Het risico op datalekken wordt steeds groter omdat onze persoonsgegevens in steeds meer databanken en/of op dragers zijn opgeslagen. Er zijn verschillende categorieën datalekken denkbaar; bepalend voor de reikwijdte van het wetsvoorstel is dat sprake moet zijn van een inbreuk op een beveiligingsmaatregel en dat er ernstige nadelige gevolgen zijn voor de privacy van betrokkenen. Een datalek kan nadelige gevolgen hebben voor persoonlijke levenssfeer van betrokkenen doordat de weggelekte gegevens oneigenlijk gebruikt kunnen worden. Identiteitsfraude is hiervan een voorbeeld maar ook kan gedacht worden aan ongewenste profilering of doorbreking van bewust gekozen anonimiteit. Om ernstige nadelige consequenties voor de bescherming van persoonsgegeven te beperken is het wetsvoorstel Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken) ingediend. Deze meldplicht draagt bij aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Na overleg met diverse partijen heeft het Ministerie van Veiligheid en Justitie in april 2014 het wetsvoorstel aangepast waardoor de meldplicht is versoepeld. Door deze aanpassingen beoogt de wetgever de bepalingen over de meldplicht te verduidelijken en te vereenvoudigen. Daarnaast moeten de aanpassingen zorgen voor een beter evenwicht tussen de belangen die zijn gediend met een goede bescherming van persoonsgegevens en de administratieve en nalevingskosten die met een meldingsverplichting gepaard gaan. Het wetsvoorstel introduceert een verplichting voor de verantwoordelijke om datalekken te melden. Hierdoor moeten onderwijs- en onderzoeksinstellingen die persoonsgegevens verwerken straks bepaalde inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens rapporteren aan zowel aan het College bescherming persoonsgegevens (Cbp) als aan de betrokkenen. Als een instelling hieraan niet voldoet riskeert zij een hoge boete die kan oplopen tot maximaal euro. De meldplicht in het wetsvoorstel heeft alleen betrekking op doorbrekingen van de maatregelen voor de beveiliging van persoonsgegevens. De meldplicht staat dus in nauw verband met de beveiligingsverplichting van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) op basis waarvan een verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Door het Cbp zijn richtsnoeren gepubliceerd die uitleggen hoe het College bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. De wetgever streeft een geclausuleerde meldplicht na: alleen die inbreuken die ernstige nadelige gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens moeten bij het Cbp worden gemeld. Door deze clausulering worden inbreuken met geringe nadelige gevolgen voor de bescherming van persoonsgegevens uitgezonderd van de meldplicht. De toekomstige Europese Privacy Verordening kent ook een meldplicht voor datalekken; de invoering meldplicht datalekken in Nederland loopt vooruit op de regelgeving die op dit moment in Brussel wordt voorbereid. 4/11

5 2 Het melden van een datalek Door een wijziging van de Wbp (invoering artikel 34a) wordt een algemene meldplicht datalekken voor alle organisaties in de publieke en private sector ingevoerd. Een onderwijs- of onderzoekinstelling is straks verplicht een datalek te melden die ernstige nadelige gevolgen voor de privacy van de betrokkenen heeft. De meldplicht geldt voor de verantwoordelijke zoals deze in de Wbp is gedefinieerd. Betrokkenen zijn de personen van wie de persoonsgegevens zijn gelekt. Omdat er sprake is van een hoge sanctie bij niet naleving van de meldplicht heeft dit een directe relatie met de governance van de instelling. Zodra het datalek bekend is, moet de instelling het incident melden bij het Cbp. De instelling moet hierbij een inschatting maken van de ernst van de nadelige gevolgen voor de bescherming van de persoonsgegevens; zij hoeft niet het daadwerkelijk gebleken ernstig misbruik hiervan te beoordelen. De instelling moet het datalek ook melden aan de betrokkenen (zoals studenten, (tijdelijke) werknemers van de instellingen, stagiaires, en/of patiënten) als de inbreuk op de verwerkte persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. De instelling zal bij een melding aan het Cbp moeten aangeven of zij van plan is om ook de betrokkenen van de inbreuk in kennis te stellen. Het Cbp kan deze melding aan betrokkenen zonodig afdwingen. Melding aan het Cbp en betrokkenen kan achterwege blijven als de betreffende persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. Volgens het Cbp geeft een passende versleuteling van persoonsgegevens bij een beveiligingslek geen gevaar voor ernstige nadelige gevolgen voor de privacy van betrokkene. De instelling is verantwoordelijk voor de beoordeling of voldaan is dit het criterium van onbegrijpelijkheid of ontoegankelijkheid voor derden. Indien hier twijfels over zijn is melding aan het Cbp aan te raden. Verder rust op de onderwijsinstelling de verplichting om in de contracten met (IT-)leveranciers een vergelijkbare meldplicht op te nemen, die erop neerkomt dat deze leveranciers de instelling informeren indien sprake is van een datalek. Het Juridische Normenkader Cloudservices voor het hoger onderwijs in Nederland geeft voorbeelden van bepalingen die hiervoor gebruikt kunnen worden 1. Bij het niet voldoen aan bovengenoemde verplichtingen kan het Cbp een boete opleggen van maximaal EUR Dit is een aanzienlijke uitbreiding van de huidige boetebevoegdheid van het College. Om te beoordelen of een instelling een datalek moet melden, moet de instelling alle van de volgende drie vragen bevestigend beantwoorden: 1. Is er sprake van een inbreuk op de beveiligingsmaatregelen (een datalek)? 2. Zijn de verwerkte persoonsgegevens daardoor blootgesteld aan verlies of onrechtmatige verwerking? 3. Heeft deze blootstelling geleid tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens of de privacy van de betrokkenen? 1 Juridische Normenkader Cloudservices Hoger Onderwijs Definitieve versie /11

6 Bij de beantwoording van de eerste vraag moet niet alleen gedacht worden aan actieve handelingen om de beveiliging te doorbreken zoals hacken van bestanden maar moet ook diefstal of verlies van dragers waarop persoonsgegevens zijn opgeslagen worden meegenomen. Wanneer gegevens zodanig zijn beveiligd dat het redelijkerwijs is uitgesloten dat een datalek kan leiden tot kennisname van persoonsgegevens door onbevoegden kan kennisgeving aan het Cbp en betrokkene achterwege blijven. Blootstelling aan ernstige nadelige gevolgen in de vorm van onrechtmatige verwerking moet objectief en naar feitelijke omstandigheden van het geval worden vastgesteld. Een richtlijn bij de beantwoording van de laatste vraag zijn vooral aard en omvang van de inbreuk van belang, de aard van de gelekte persoonsgegevens en de mate waarin technische beschermingsmaatregelen zijn getroffen ten aanzien van de desbetreffende persoonsgegevens. Het gaat hierbij om een inschatting van de ernst van de gevolgen. In het stadium waarin het wetsvoorstel zich bevindt, is nog niet helemaal uitgekristalliseerd wanneer er wel aan het Cbp maar niet aan betrokkenen gemeld moet worden. Van het College mag worden verwacht dat zij hiervoor richtsnoeren vaststelt. 6/11

7 3 Stappenplan voorbereiding meldplicht datalekken De onderwijsinstelling kan zich als volgt voorbereiden op de meldplicht datalekken: Inventariseer waar in de onderwijs- en onderzoeksorganisatie welke gegevens worden verwerkt. Oftewel, breng de datastromen van de organisatie in kaart. Let daarbij op gevoelige gegevens die worden verwerkt zoals bijvoorbeeld medische en etnische gegevens van studenten en medewerkers. Denk ook aan de gegevens die in het kader van wetenschappelijk onderzoek worden verwerkt. Neem de huidige beveiligingsmaatregelen onder de loep. Inventariseer de mogelijke risico s van verlies van gegevens en pas waar nodig het beveiligingsbeleid aan. Basis voor deze risicoanalyse kan de Hoger Onderwijs Referentie Architectuur (HORA) zijn waar al in staat aangegeven welke gegevensentiteiten vertrouwelijke gegevens bevatten. Opstellen duidelijke interne procedure (actieplan); Zorg voor een procedure waaruit duidelijk blijkt wie de verantwoordelijke is en welke afdeling/functionaris betrokken moet worden indien een datalek wordt geconstateerd. Denk hierbij aan het bestuur of hun gemandateerde eigenaar van de gegevens, de functionaris gegevensbescherming, de veiligheidsfunctionaris, de juridische afdeling en niet te vergeten de afdeling communicatie. Beschrijf hierbij de rollen en taken van deze afdelingen/functionarissen en sluit hierbij aan op bestaande processen binnen de instelling. Zo zou bijvoorbeeld de melding van een datalek overeen kunnen komen met de afhandeling van meldingen in het kader van Computer Security Incident Response Teams (CSIRT). In de procedure moet in ieder geval worden geregeld aan wie een datalek intern wordt gemeld, welke maatregelen door wie binnen welke termijnen moeten worden genomen en hoe het datalek naar buiten toe wordt gecommuniceerd. Indien er een functionaris gegevensbescherming aanwezig is moet deze in ieder geval in kennis gesteld worden. Een communicatieplan voor het naar buiten brengen van de melding zal hier ook deel van uitmaken. Denk er verder over na of het datalek gemeld moet worden bij de verzekering en of er een advocaat ingeschakeld moet worden. Zorg ook voor voldoende interne training met betrekking tot deze procedure. Zorg voor een strikt beleid met betrekking tot het verwerken van persoonsgegevens. Stel richtlijnen op voor het opslaan van persoonsgegevens door werknemers/studenten op draagbare apparatuur. Het opstellen van een protocol inclusief voorbeeldbrieven voor melding aan het Cbp en betrokkenen kan hier eveneens deel van uitmaken; Inventariseer de contracten met de bewerkers en zorg dat die waar nodig worden aangepast. Neem de verplichting op dat de bewerker onverwijld een melding aan de organisatie moet doen als er bij hem een datalek heeft plaatsgevonden. Vraag aan de bewerker een beschrijving van de gevolgen van de inbreuk en de maatregelen om de gevolgen te verhelpen. Spreek duidelijk met de bewerker af wie bepaalt of een datalek wel of niet meldingsplichtig is (bij voorkeur de instelling). Maak ook duidelijk welke datalekken gemeld moeten worden (dit zijn bij voorkeur alle incidenten en niet alleen de meldingsplichtige beveiligingsincidenten). Regel daarnaast hoe wordt omgegaan met eventuele boetes die als gevolg van een datalek bij de bewerker aan de organisatie worden opgelegd. Stel van te voren vast hoe omgegaan wordt met een keten van bewerkers/sub-bewerkers en sub-sub-bewerkers. Wees duidelijk over de geschillenprocedure hiervoor. Overweeg encryptie waardoor melding aan betrokkenen achterwege gelaten kan worden. 7/11

8 4 Veel gestelde vragen Moet de onderwijsorganisatie straks elk datalek gaan registreren? Nee, de verplichting om binnen de instelling een overzicht bij te houden van alle inbreuken is in de nota van wijziging op het wetsvoorstel geschrapt gezien de lasten die dit met zich meebrengt. Uit de algemene beveiligingsverplichting van artikel 13 Wbp vloeit al voort dat de instelling procedures heeft voor het tijdig en doeltreffend behandelen van beveiligingsincidenten. Moet de onderwijsorganisatie straks elk datalek gaan melden? Ook als een medewerker bijvoorbeeld een telefoon of usb-stick verliest? Nee, alleen een datalek met ernstige nadelige gevolgen voor de privacy van de betrokkenen moet worden gemeld. Wanneer er sprake is van nadelige gevolgen voor de privacy, is afhankelijk van de omstandigheden van het geval en kan beoordeeld worden aan de hand van drie eerdergenoemde vragen. Bijvoorbeeld het verliezen van een telefoon van de medewerker hoeft normaal niet te worden gemeld. Is de telefoon echter niet goed beveiligd en bevat deze gevoelige gegevens van betrokkenen, bijvoorbeeld verzuimgegevens, dan dient het datalek wel te worden gemeld. Hoe dient de melding eruit te zien? In geval van een datalek dient te worden geregistreerd en eventueel aan het Cbp te worden doorgegeven (i) de aard van de inbreuk, (ii) de persoon of instantie waar meer informatie kan worden verkregen en (iii) de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Bij een melding aan het Cbp dient daarnaast te worden gemeld (iv) de gevolgen van de inbreuk voor de verwerking van persoonsgegevens en (v) de maatregelen om deze gevolgen te verhelpen. Moet de instelling een datalek ook melden aan de betrokkenen? Als een datalek ernstige nadelige gevolgen heeft voor de privacy van de betrokkenen en indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer, dan moet dit ook aan de betrokkenen worden gemeld. Het informeren aan de betrokkenen kan achterwege worden gelaten als de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens, tenzij het Cbp alsnog beveelt om een melding aan de betrokkenen te doen. De melding aan de betrokkene moet op een zodanige wijze gebeuren dat deze op een behoorlijke en zorgvuldige wijze wordt geïnformeerd. Wanneer moet de organisatie een boete betalen? En hoe hoog zal deze boete zijn? Het Cbp kan handhavend optreden als niet aan de verplichtingen met betrekking tot de meldplicht datalekken wordt voldaan. Er gelden geen vaste boetebedragen; het Cbp is vrij te bepalen óf en welk boetebedrag zij in een gegeven geval wenselijk acht. Onder het wetsvoorstel tot het wijziging van de Wbp (meldplicht datalekken) kan het Cbp een boete opleggen van maximaal EUR Welke afspraken moet ik maken met mijn leveranciers? Met betrekking tot de contracten met de leveranciers legt de wetgever de verplichting dat de leverancier een melding aan de onderwijsorganisatie doet als er bij hem een datalek heeft plaatsgevonden. Daarnaast is het raadzaam afspraken te maken over hoe partijen omgegaan met eventuele boetes die als gevolg van een datalek bij de leverancier aan de onderwijsorganisatie worden opgelegd. 8/11

9 De Europese Privacyverordening (EPV) is op komst. Heeft dit invloed op de meldplicht datalekken? De Europese Privacyverordening zal de Wbp op den duur vervangen. In de ontwerpverordening is een vergelijkbare meldplicht datalekken opgenomen. De EPV kent overigens een nog hoger boetemaximum voor het niet voldoen aan de meldingsplicht. Naar verwachting zal de verordening niet eerder dan in 2016 in werking treden. Wanneer treedt de wetgeving met betrekking tot de meldplicht datalekken in werking? Op het moment van schrijven is het wetsvoorstel en de nota van wijziging tot het wijziging van de Wbp (meldplicht datalekken) ingediend bij de Tweede Kamer. De datum van inwerkingtreding is nog niet bekend, maar zal naar verwachting eind 2014 zijn. Het is ook mogelijk dat gewacht wordt op de Europese Privacyverordening. Deze treedt naar verwachting in werking in Hoe kan onze organisatie zich het beste voorbereiden op de meldplicht datalekken? Een instelling kan zich voorbereiden op de meldplicht datalekken door het stappenplan dat is opgesteld door SURF te volgen. Wat betekent de meldplicht datalekken voor de beveiliging? De meldplicht staat in nauw verband met de beveiligingsverplichting van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) op basis waarvan een verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Door het Cbp zijn richtsnoeren gepubliceerd die uitleggen hoe het College bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. Wat doet het College bescherming persoonsgegevens met de melding? Het Cbp richt zich op naleving van de normen van de Wbp en andere wetten en regelingen op grond waarvan persoonsgegevens worden verwerkt. De wijze waarop het College dit doet is neergelegd in haar Beleidsregels handhaving. Het Cbp geeft prioriteit aan zaken waarbij zij het vermoeden heeft van ernstige overtredingen; structurele overtredingen; overtredingen die veel mensen treffen; overtredingen waarbij het CBP door de inzet van handhavingsinstrumenten effectief verschil kan maken; en overtredingen die vallen binnen de (jaarlijkse) aandachtspunten die door het CBP bekend zijn gemaakt. De eerste vier criteria gelden cumulatief, tenzij zwaarwichtige gronden zich daartegen verzetten. Het Cbp handelt bij de inzet van handhavingsinstrumenten conform de algemene beginselen van behoorlijk bestuur en de Algemene Wet Bestuursrecht. Zij stelt prioriteiten met het oog op de beschikbare middelen en maakt zelfstandig een afweging bij het bepalen van de inzet van handhavingsinstrumenten. De inzet van handhavingsinstrumenten door het Cbp hangt mede af van de omstandigheden van het geval, waaronder de inhoud en de strekking van de overtreden norm en de daarbij betrokken belangen. Doel, effect en efficiëntie staan voorop. De Memorie van Toelichting (MvT) op het wetsvoorstel wijst erop dat het geen gegeven is dat het Cbp iedere melding laat volgen door een onderzoek of andere maatregelen. Volgens de MvT is het feit of een onderzoek of en verdere maatregelen volgen, afhankelijk van de omstandigheden. Het Cbp zal de ingekomen meldingen moeten bezien en daarop reageren in overeenstemming met de door het College zelf gestelde prioriteiten. Indien een instelling heeft gehandeld op de manier die van hem 9/11

10 verwacht mag worden en zelf zo spoedig mogelijk de nodige maatregelen heeft getroffen om het datalek te dichten en herhaling te voorkomen zal een reactie van het Cbp naar verwachting veelal uitblijven. Het Cbp zal de meldingen wel opslaan mede om daarover in het jaarverslag verantwoording af te leggen. Valt het verlies van een papieren dossier onder de reikwijdte van de meldplicht? Ja het verlies van een papieren dossier valt ook onder de meldplicht indien er sprake is van inbreuk op de beveiliging waarvan redelijkerwijs kan worden aangenomen dat die ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens. Valt bewust lekken van een medewerker onder de meldplicht? Ja, als er redelijkerwijs kan worden aangenomen dat dit leidt tot ernstige nadelige gevolgen voor de privacy van de betrokkenen. Kan de betrokkene zelf ook melden? Nee, de meldingsplicht rust op de verantwoordelijke; het is de instelling die het College onverwijld in kennis moet stellen van een datalek. Komen er formulieren voor de melding? De MvT bij lid 5 van het nieuwe artikel 34a stelt dat er zonodig nadere regels kunnen worden gesteld voor gebruikmaking van een formulier. Krijg je altijd de maximum boete als je niet meldt? Dat is nog niet bekend. Waarschijnlijk zal het College bescherming persoonsgegevens boetebeleidsregels vaststellen. Hierdoor krijgen belanghebbenden inzicht over de aard en hoogte van sancties die zij kunnen verwachten bij overtreding van de wet. Hoe zit het met versleutelde gegevens? Als de instelling passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn hoeft de instelling de inbreuk niet te melden aan het Cbp en evenmin aan de betrokkenen. De formulering onbegrijpelijk en ontoegankelijk dekt niet alleen versleuteling maar ook technieken die persoonsgegevens ontoegankelijk kunnen maken als een datalek zich voordoet. Wat moet een instelling doen als deze de betrokkenen wil informeren maar deze niet weet wie precies betrokkenen zijn of hoe deze te bereiken zijn? Dit is afhankelijk van de situatie maar een instelling zou bijvoorbeeld via berichten in de media aan betrokkenen kunnen laten weten dat er sprake is geweest van een datalek. Het is aan te raden dit in overleg met de afdeling communicatie te doen. 10/11

11 Moet een instelling de betrokkenen ook laten weten wat ze het beste kunnen doen om de schade te beperken? De instelling moet betrokkenen verschillende zaken laten weten: de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Kan een instelling een verzekering afsluiten voor de boete? Het is in beginsel niet mogelijk om een verzekering af te sluiten voor boetes. Dit is in strijd met de wet. Wel zou een verzekering kunnen worden afgesloten worden voor kosten die gemaakt worden in een eventuele procedure. Wat zijn passende maatregelen in het geval van een datalek? In geval van een datalek moet de instelling haar interne procedures volgen, het actieplan uitvoeren en het datalek dichten. Hiertoe moet de instelling de omvang van het datalek en de benodigde maatregelen inventariseren. Alle acties en beslissingen moeten gedocumenteerd worden. 11/11