Mobile (in)security and the law. Marianne Korpershoek

Transcriptie

1 Mobile (in)security and the law Marianne Korpershoek Black Hat Sessions 2016, 23 juni 2016

2 We only do what we are damn good at

3 Agenda 1. Meldplicht Datalekken en BYOD 2. Tracking van mobile devices in winkels en winkelgebieden.

4 BYOD en Datalekken Wet meldplicht datalekken per 1 januari 2016 Overtreding kan leiden tot boetes van maximaal Own devices zijn een liability voor datalekken Wat zijn de wettelijke plichten voor een organisatie?

5 Wat is een datalek? Artikel 34 WBP inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens

6 Datalekken Voorbeelden Autoriteit Persoonsgegevens: een kwijtgeraakte USB-stick; een gestolen laptop; een inbraak door een hacker; verzending van waarin de adressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; -> contactgegevens, foto s, maar ook bedrijfsgeheimen een malware-besmetting; -> een gestolen mobiel, tablet een calamiteit zoals een brand in een datacentrum.

7 Een datalek zit in een klein hoekje Foto: Rob Wetzer via De Correspondent

8 Een datalek zit in een klein hoekje

9 Datalekken Melden aan betrokkenen: Wat? waarschijnlijk ongunstige gevolgen Niet melden indien technische beveiligingsmaatregelen voldoende bescherming bieden, bv. adequaat versleuteld of effectieve remote wipe techniek kan worden toegepast. In ieder geval wel als het gevoelige gegevens betreft, en als de betrokkene maatregelen kan nemen om erger te voorkomen (bijvoorbeeld door het vervangen van een wachtwoord).

10 Boetes Na bindende aanwijzing, behalve bij opzet of ernstig verwijtbare nalatigheid Max voor overtreding van de WBP (niet alleen bij datalekken)

11 Boetes Niet alleen bij een datalek Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht. Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.

12 Boetes Art 13 WBP Verplichting om passende technische én organisatorische maatregelen te nemen om verlies óf onrechtmatige verwerking van persoonsgegevens tegen te gaan. Bij overtreding van dit artikel is ook een boete mogelijk AP kijkt o.a. naar ernst van de overtreding, structurele overtredingen en overtredingen waar veel mensen bij betrokken zijn.

13 HOE? Ontwikkel beleid

14 Tracking in winkel(gebieden)

15

16

17 Hoe? Wifi-tracking Opstaan MAC-adressen Blue tooth tracking i-beacons

18 Grote juridische bezwaren Geen informatie aan betrokken mensen weten niet dat ze gevolgd worden mensen worden niet geïnformeerd over hoe en waarom Geen bewaartermijnen Gevoelige gegevens (locatie) Tracking over een lange termijn Geen balans tussen doel en middelen

19 Autoriteit Persoonsgegevens 1 december 2015 onderzoek naar Bluetrace Geen proportionaliteit verwerking in evenwicht met doel Geen subsidiariteit niet gezocht naar minder ingrijpende methodes geen pseudonimisering Geen informatie aan betrokken Geen grondslag Collateral damage Geen bewaartermijnen 15 juni 2016 brief aan gemeenten, Detail handel Nederland, Citytraffic Dreigen met een onderzoek

20 Autoriteit Persoonsgegevens Wie aansprakelijk? Wifitrackers én Opdrachtgevers

21 Boetes Niet alleen bij een datalek Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht. Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.

22

23 Contactgegevens Kantoor Eindhoven Ten Hagestraat 5 Postbus AK Eindhoven Telefoon: +31 (0) Kantoor Den Haag Gebouw 'De Rode Olifant' Zuid-Hollandlaan AL Den Haag Telefoon: +31 (0)