Lunch & Learn Datalekken en Safe Harbor

Transcriptie

1 Lunch & Learn Datalekken en Safe Harbor Peter Kager, juridisch adviseur ICTRecht 18 februari

2 Programma Introductie Wet bescherming persoonsgegevens Datalekken Melden aan de AP Melden aan betrokkene Pauze Bewerkersovereenkomst Safe Harbor Administratie Voorbeelden Sancties Maatregelen Afsluiting

3 Privacy

4

5

6 Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene")

7 Direct herleidbaar Indirect herleidbaar Mogelijkheid tot herleiding Persoonsgegevens

8 Persoonsgegevens

9 Verwerking Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

10 Grondslagen Toestemming Uitvoering overeenkomst Wettelijke plicht Vitale belangen betrokkenen Uitvoering overheidstaak Gerechtvaardigd eigen belang (Wetenschappelijk en statistisch onderzoek)

11 Terminologie en rollen Betrokkene ( data subject ) Bepaalt doel en middelen van verwerking Verwerkt uitsluitend in opdracht van verantwoordelijke Verantwoordelijke ( controller ) Bewerker ( processor )

12

13 Toepasselijkheid meldplicht Niet van toepassing als: Wet op het financieel toezicht van toepassing is; Wbp niet van toepassing is (persoonlijk of huishoudelijke doeleinden). Deels van toepassing als: Telecommunicatiewet van toepassing is.

14 Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene

15 Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene

16

17

18

19 Voorbeelden van beveiligingsincidenten Een kwijtgeraakte USB-stick; een gestolen laptop; een inbraak door een hacker; verzending van waarin de adressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; een malware-besmetting; een calamiteit zoals een brand in een datacentrum.

20 Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene

21 Datalek? Verlies: Verlies houdtin dat niemand de persoonsgegevens meer heeft; Dat wil zeggen dat er ook geen complete en actuele reservekopie van de persoonsgegevensmeer is. Onrechtmatige verwerking: Aantasting van persoonsgegevens (blokkeren/versleutelen); Onbevoegde kennisneming; Wijziging van persoonsgegevens; Verstrekking van persoonsgegevens; Ook als het niet uitgesloten kan worden!

22 Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene

23 Melden aan AP Gegevens van gevoelige aard: Bijzondere persoonsgegevens; Gegevens over financiële of economische situatie betrokkene; Gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, werkprestaties, relatieproblemen); Gebruikersnamen, wachtwoorden en andere inloggegevens; Gegevens die kunnen worden misbruikt voor (identiteits)fraude (biometrische gegevens, BSN, kopie ID-bewijs). Aard en omvang van de inbreuk: Databases met persoonsgegevens van grote groepen mensen; Mate van gebruik van persoonsgegevens; Overheidsverwerkingen; Verlies NAW-gegevens in specifieke gevallen.

24

25 Tijdsdruk

26 Tijdsdruk Een datalek dient onverwijld aan de Autoriteit Persoonsgegevens gemeld te worden; Dat wil zeggen dat u na ontdekking nog enige tijd mag nemen om het lek te onderzoeken om onnodige meldingen te voorkomen; Termijn start op het moment dat uzelf, of een bewerker, op de hoogte raakt van een beveiligingsincident dat mogelijk een datalek is.

27 72 uur

28 Tijdsdruk Als nog niet alles binnen 72 uur duidelijk is, doet u de melding met de gegevens waar u op dat moment over beschikt; De melding kan op een later moment aangepast worden; Overschrijding van de 72 uur vereist motivering.

29 Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene

30 Een melding aan de betrokkenen is niet nodig als verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. Geen meldplicht

31 Kenmerkend voor encryptie is dat het omkeerbaar is. Met de juiste encryptiesleutel kun je de encrypte informatie terugkrijgen. Encryptie

32 Hashing Hashing bewerkt de informatie zodat er een unieke hashcode ontstaat. Hashing wordt bijvoorbeeld gebruikt voor de opslag van wachtwoorden. Let op dat de gebruikte hashfunctie niet gemakkelijk achterhaald kan worden.

33 Adequaat De gebruikte technieken moeten passend en adequaat zijn. Een encryptietechniek kan nu nog als veilig te boek staan, maar over een half jaar bijvoorbeeld gekraakt zijn. Dan zullen uw technieken aangepast moeten worden.

34 Adequaat Een versleuteling is adequaat als: Encryptie volgens een veilig standaardalgoritme is uitgevoerd en onbevoegden geen toegang hebben tot decryptiesleutel; De hashfunctie waarmee de gegevens zijn gehashed niet gecompromitteerd is.

35 Remote wipe Alleen adequaat als: De wipe tijdig in gang wordt gezet waardoor onbevoegde kennisname onmogelijk is; Het apparaat nog intact is waardoor remote wipe mogelijk is; Er een backup van de gewiste persoonsgegevens is.

36 Restrisico Waterdichte beveiliging is onmogelijk. Weeg mee wat de gevolgen voor betrokkenen kunnen zijn bij het doorbreken van beveiliging.

37 Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene

38 Ongunstige gevolgen Persoonsgegevens van gevoelige aard; Onrechtmatige publicatie; Aantasting in eer en goede naam; (identiteits)fraude; Discriminatie; Financiële schade.

39 Let op: ook versleutelde data kan worden vernietigd of aangetast en daardoor ongunstige gevolgen voor de betrokkene hebben. Dus ook in dat geval moet de betrokkene daarover ingelicht worden.

40 Zwaarwegende belangen Een melding aan de betrokkene kan achterwege blijven als daarvoor zwaarwegende belangen aanwezig zijn (veiligheid van de staat, opsporingsdoeleinden). Zwaarwegende belangen van de betrokkenen kunnen het achterwege laten van een melding ook rechtvaardigen. De verantwoordelijke kan ook een zwaarwegend belang hebben. Denk bijvoorbeeld aan een datalek tijdens een overnameproces van een beursgenoteerde onderneming.

41 PAUZE

42 Terminologie en rollen Bepaalt doel en middelen van verwerking Betrokkene ( data subject ) Bewerkersovereenkomst Verwerkt uitsluitend in opdracht van verantwoordelijke Verantwoordelijke ( controller ) Bewerker ( processor )

43 Verantwoordelijke is verantwoordelijk voor het doen van de melding tenzij anders afgesproken; Bewerker is verantwoordelijk voor het doen van een melding bij de verantwoordelijke; Bewerker is verantwoordelijk voor het doen van een melding indien het ziet op data waar hij verantwoordelijk voor is. Wie doet de melding?

44 Bewerker De bewerker zal in veel gevallen eerder kennis krijgen van een lek dan verantwoordelijke. U kunt overeen komen dat bewerker eerste melding aan AP doet. Het moet voor de bewerker wel duidelijk zijn in welke situaties hij dat moet doen.

45 Bewerkersovereenkomst Contract Onderlinge rolverdeling vastleggen qbewerker handelt uitsluitend in opdracht qonderwerp, doel en duur van de verwerking qbewerker neemt gepaste beveiligingsmaatregelen qinschakelen subbewerkers alleen met aparte toestemming qwissen/terugleveren van gegevens einde gegevensverwerkingsdienst qverantwoordelijke mag audit uitvoeren bij bewerker

46 Bewerkersovereenkomst Afspraken over datalekken: Gaat de bewerker over alle incidenten rapporteren? Verstrekt de bewerker alle informatie die nodig is voor een melding aan de AP? Hoe informeert de bewerker over incidenten? Gebeurt dit tijdig? Gaat de bewerker zelf meldingen doen aan de AP?

47 Welke risico s loop ik als bewerker als de bewerkersovereenkomst ontbreekt?

48 Hij dient niet alleen de instructies van de verantwoordelijke op te volgen maar is eveneens zelfstandig aansprakelijk voor de naleving van de beginselen met betrekking tot de verwerking van persoonsgegevens die zijn opgenomen in hoofdstuk 1 en 2 van de Wbp.

49 De keten, een tijdsprobleem? Hoe gaat u met 72 uur om in de keten? Sub-bewerker dient een melding te doen bij de bewerker; Na ontdekking verantwoordelijke óf bewerker; Sub-bewerker valt buiten deze keten?

50 Sub-bewerkersovereenkomst Ook sluiten met de sub-bewerker; Doorzetten afspraken tussen verantwoordelijkebewerker; Ook als het om weinig gegevens gaat, of het inschakelen van een zzp-er. Verantwoor -delijke ( controller ) Betrokkene ( data subject ) Bewerker ( processor ) Sub-bewerker

51 Wat als ik gebruik maak van een bewerker in het buitenland?

52 wanneer de bewerker gevestigd is in een andere lidstaat van de EU, [de verantwoordelijke] er zorg voor moet dragen dat de bewerker het recht van die lidstaat nakomt. Het 'recht van die lidstaat' heeft betrekking op de lokale verplichtingen op het gebied van informatiebeveiliging.

53 Doorgifte aan derde landen

54 Doorgifte aan derde landen Noorwegen Liechtenstein Ijsland Zwitersland Canada Andorra Argentinië VS (voor gegevens van luchtvaartpassagiers) Guernesey Het Eiland Man De Faeröereilanden Jersey Australië (voor gegevens van luchtvaartpassagiers) Israël Nieuw-Zeeland Uruguay

55 Doorgifte aan derde landen 1. Als EC bepaald heeft dat land adequate privacybescherming heeft 2. Als verantwoordelijke adequate safeguards heeft genomen Binding corporate rules Safe Harbor Contract conform standaardclausulestoezichthouder 3. Met toestemming betrokkene na adequate uitleg 4. Bij noodzaak onder uitvoering contract 5. Bij belangrijk algemeen belang 6. Bij brengen of aanvechten van juridische claims 7. Bij beschermen vitaal belang betrokkene

56

57 Safe Harbor

58 Begin van het einde Facebook Ierland stuurt mijn gegevens door naar Facebookservers in de VS. Daar zijn ze niet veilig!

59 Begin van het einde Kunnen wij niets aan doen. De Commissie heeft gezegd dat Safe Harbor veilig is.

60 NSA kijkt mee; Meer dan nodig is om nationale veiligheid te waarborgen; Geen gerechtelijke beroepsmogelijkheden; Dus geen passende maatregelen ter bescherming persoonsgegevens.

61 Besluit EU: VS is safe HvJ EU 9 oktober 2015: VS is absoluut niet safe Persoonsgegevens exporteren naar VS mag alleen Met aparte toestemming Bij gebruik modelcontracten Indien organisatie ontvangend land (VS) als Safe Harbor aangemerkt Begin 2016 nieuw verdrag? (Einde van) Safe Harbor

62 Modelcontract de oplossing?

63

64 DEAL! Wij houden ons nu echt aan Europese regels; Wij gaan niet meer onbeperkt datagraaien; Onze bedrijven reageren gedegen op Europese klachten; Wij stellen een ombudsman aan.

65

66

67

68 Bewaren van de melding De verantwoordelijke houdt een overzicht bij van iedere inbreuk.. Lering trekken uit het datalek; Antwoord geven op vragen van betrokkenen; Alsnog melden aan betrokkenen, wanneer dit in eerste instantie niet nodig was. Het overzicht hoeft niet openbaar te zijn!

69 Bewaren van de melding Drie jaar informatie over de melding bewaren indien technische maatregelen adequaat zijn. Een jaar informatie over de melding bewaren indien datalek waarschijnlijk ongunstige gevolgen voor betrokkenen heeft. Wat bewaar je? Moment van ontdekking Moment van melding Genomen maatregelen Informatie verstrekt aan betrokkenen Preventiemaatregelen

70 Is dit een datalek? Een werknemer geeft aan een leverancier een gebruikersnaam en wachtwoord die per abuis toegang geven tot alle klantgegevens van alle klanten van het bedrijf. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de leverancier geen toegang meer heeft. Daarna onderzoekt het bedrijf of de leverancier daadwerkelijk toegang heeft gezocht tot de klantgegevens. Uit de logbestanden blijkt dat er geen toegang is gezocht tot gegevens.

71 Is dit een datalek? Een werknemer geeft aan een leverancier een gebruikersnaam en wachtwoord die per abuis toegang geven tot alle klantgegevens van alle klanten van het bedrijf. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de leverancier geen toegang meer heeft. Daarna onderzoekt het bedrijf of de leverancier daadwerkelijk toegang heeft gezocht tot de klantgegevens. De logbestanden kunnen geen uitsluitsel geven.

72 Is dit een datalek? Een werknemer geeft aan een leverancier een gebruikersnaam en wachtwoord die per abuis toegang geven tot alle klantgegevens van alle klanten van het bedrijf. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de leverancier geen toegang meer heeft. Daarna onderzoekt het bedrijf of de leverancier daadwerkelijk toegang heeft gezocht tot de klantgegevens. Uit de logbestanden blijkt dat enkel toegang is gezocht tot gegevens van klanten aan wie deze leverancier technische ondersteuning moest leveren.

73 Is dit een datalek? Een werknemer geeft aan een leverancier een gebruikersnaam en wachtwoord die per abuis toegang geven tot alle klantgegevens van alle klanten van het bedrijf. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de leverancier geen toegang meer heeft. Daarna onderzoekt het bedrijf of de leverancier daadwerkelijk toegang heeft gezocht tot de klantgegevens. De logbestanden laten zien dat diverse klantrecords zijn gewist. Er is geen backup.

74 Moet dit datalek gemeld worden? Voetbalvereniging FC Bal op t Dak houdt haar ledenadministratie bij via een online softwarepakket. De ledenadministratie bevat namen, adressen, geboortedata en telefoonnummers van leden. Op een avond wordt de voorzitter van de voetbalvereniging gebeld door de aanbieder van het softwarepakket. Door een fout in de inlogmodule hebben kwaadwillende zichzelf toegang verschaft tot de ledenadministratie van FC Bal op t Dak. De aanbieder constateerde dit en heeft het lek onmiddellijk gedicht. De gegevens van de spelers van het eerste elftal zijn verloren gegaan.

75 Moet dit datalek gemeld worden? Voetbalvereniging FC Bal op t Dak houdt haar ledenadministratie bij via een online softwarepakket. De ledenadministratie bevat namen, adressen, geboortedata en telefoonnummers van leden. Daarnaast bevat de administratie een lijst van leden die te laat zijn met het betalen van hun contributie. Op een avond wordt de voorzitter van de voetbalvereniging gebeld door de aanbieder van het softwarepakket. Door een fout in de inlogmodule hebben kwaadwillenden zichzelf toegang verschaft tot de ledenadministratie van FC Bal op t Dak. De aanbieder constateerde dit en heeft het lek onmiddellijk gedicht. De gegevens van de spelers van het eerste elftal zijn verloren gegaan.

76 Sancties Elke onrechtmatige verwerking van persoonsgegevens Nederlandse wet Per 1 januari 2016 van kracht Boete tot per overtreding of 10% van de jaaromzet Boete tot voor het niet melden van een datalek of niet op orde hebben van beveiliging Pas op te leggen nadat bindende aanwijzing niet is opgevolgd, tenzij opzettelijk of grof nalatig is gehandeld

77 De AP kijkt bij het bepalen van de boete naar: De aard en omvang van de overtreding; De duur van de overtreding; De impact van de overtreding; Verwijtbaarheid; Omstandigheden waaronder overtreding is gepleegd en financiële omstandigheden van de overtreder. Sancties

78 Sancties Boete kan verhoogd worden als: Dezelfde overtreding eerder is begaan; De overtreder het onderzoek tegenwerkt. Boete kan verlaagd worden als: De overtreder meewerkt met AP; De overtreder de overtreding zelf heeft beëindigd voor of bij eerste melding van AP; De overtreder de betrokken personen zelf schadeloos heeft gesteld.

79 Calamiteitenplan Wie vangt meldingen op? Welke informatie is nodig? Wie beslist over ernst? Wie beslist over melding bij toezichthouder? Hoe wordt dit alles vastgelegd?

80 Responsible disclosure

81 Responsible disclosure 1)Organisatie stelt meldpunt in; 2)Meldpunt bevestigt ontvangst en leidt intern door; 3)Organisatie en melder overleggen over afhandeling; 4)Termijn voor publicatie wordt samen afgesproken (60 dagen als vuistregel); 5)Organisatie houdt melder op de hoogte van voortgang; 6)Afspraken worden gemaakt over persbericht en credits; 7)Organisatie kan beloning geven, hoeft niet; 8)Organisatie belooft af te zien van juridische stappen tegen melders die de leidraad volgen.

82 Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene

83 Wat te doen tegen datalekken? 1. Maak beleid over interne doorgifte datalekken en besluitproces melding toezichthouder 2. Werk beleid uit tot concrete procedures en toets de uitvoering 3. Dwing bij leveranciers van tools garanties af over datalekken Ø Verhoog hun aansprakelijkheid voor bugs die datalekken veroorzaken Ø Laat ze opdraaien voor de kosten van een security audit. 4. Herzie bewerkersovereenkomsten ten aanzien van datalekken 5. Publiceer responsible disclosure procedure 6. Audit jezelf

84 Waarom nieuwe wetgeving? Van papier naar digitaal Verschillen in Europese lidstaten Meer mogelijkheden om onopvallend en meer gegevens te verzamelen Rechten betrokkenen moeten uitgeoefend kunnen worden Meer datalekken Lage boetes

85 Tijdlijn Privacyverordening 25 januari 2012: Commissie publiceert voorstel Voorjaar 2012: LIBE commissie laat zich adviseren Voorjaar 2013: adviescommissies stemmen over voorstel 15 juni 2015: Algemene benadering van de Raad 12 maart 2014: Parlement neemt LIBE tekst over 21 oktober 2013: LIBE commissie reviseert voorstel Winter 2015: Codecisie/tripartiet overleg 2016: Publicatie in Official Journal 2018: Volledig van kracht op alle verwerkingen in EU

86 Richtlijn Instructie aan lidstaten Om te zetten in wetgeving Nationale afwijkingen mag tenzij volledige harmonisatie Verordening Rechtstreekse werking In alle lidstaten direct verbindend Geen nationale afwijkingen tenzij in Verordening toegestaan Richtlijn vs Verordening

87 Datalekken en de verordening Inbreuk in verband met persoonsgegevens die leidt tot vernietiging, verlies, aanpassing of ongeautoriseerde toegang of openbaarmaking; Melden bij toezichthouder tenzij het onwaarschijnlijk is dat het een risico inhoudt voor de rechten en vrijheden van personen; Melden aan betrokkenen indien hoog risico rechten en vrijheden van personen; Niet melden aan betrokkenen indien: Gegevens onleesbaar/onbegrijpelijk zijn gemaakt; Maatregelen zijn genomen om risico s te voorkomen; Het melden onevenredig veel inspanning kost. Publieke melding volstaat in dat geval.

88 Vragen?