Meldplicht Datalekken en meldplicht Inbreuken op elektronische systemen

Transcriptie

1 Meldplicht Datalekken en meldplicht Inbreuken op elektronische systemen Met aandacht voor de Europese ontwikkelingen. Initiatief, bewerking en redactie: Aramis Jeanpierre, Gineke Kuipers en Ruud de Bruijn (eindredactie) Centrum voor Informatiebeveiliging en Privacybescherming, Domeingroep Privacy [v] Het CIP betracht zorgvuldigheid bij het samenstellen van zijn publicaties. Het kan echter voorkomen dat er toch sprake is omissies of onjuistheden. Het is altijd de verantwoordelijkheid van de lezer zelf dit te beoordelen en te corrigeren indien hij zich baseert op of gebruik maakt van een CIP-publicatie.

2 2 van 55 Inhoudsopgave Leeswijzer 4 1 Inleiding Doel van dit document Herkomst en status Samenvatting 6 2 Bespreking van de wetsvoorstellen Meldplicht datalekken Vertrouwen Reikwijdte Ongeoorloofde toegang en misbruik Voorkomen van nodeloze meldingen Beslismodel meldplicht Wbp Verhouding verantwoordelijke voor de verwerking en bewerker Kennisgeving aan betrokkene en aansprakelijkheidsrecht Verhouding tot meldplicht incidenten Wet op het financieel toezicht Administratieve lasten en nalevingskosten Meldplicht inbreuken op elektronische informatiesystemen Het voorstel in het kort Vertrouwen, geen sancties Melding Meldplichtige partijen Te melden ICT-inbreuken (DDos is geen inbraak) Vertrouwelijkheid Verhouding tot sectorale meldplichten en het wetsvoorstel meldplicht datalekken Verhouding tot wetsvoorstel meldplicht datalekken Verhouding tot EU-richtlijnen Naleving Administratieve lasten en nalevingskosten 17 3 De Europese Privacyverordening Voortgang Verhoging van de bestuurlijke boetes Nieuwe criteria voor de verplichte privacy officer Bestuurlijke veranderingen Vervolg De actuele versie van de AVG Aanvullende informatie 19 4 Wat moet u regelen? Incidenten Accountability Wat moet gebeuren? The human factor Techniek Organisatie De praktijk Voorkómen van incidenten Weerbaarheid 22

3 3 van Organiseren Ingrijpen en afwikkelen Ideeën voor implementatie Beslisboom Toelichting bij de beslisboom 25 5 Open eindjes/conclusie 25 Gebruikte of genoemde informatiebronnen 27 Lijst van afkortingen 28 Colofon 28 Bijlage 1: Wbp-definities 29 Bijlage 2: Overzicht huidige en toekomstige meldplichten 30 1 Inleiding Verkort overzicht 30 2 Huidige meldplichten Telecommunicatiewet - Persoonsgegevens Telecommunicatiewet Aantasting continuïteit Wet op het financieel toezicht integere bedrijfsvoering 32 3 Toekomstige meldplichten - telecomsector en vertrouwensdiensten AMvB meldplicht inbreuken gekwalificeerde certificaten Meldplicht inbreuken ongekwalificeerde certificaten Verordening elektronische identificatie en vertrouwensdiensten 33 4 Toekomstige meldplichten algemeen Aanpassing Wet bescherming persoonsgegevens (meldplicht datalekken) Algemene Verordening Gegevensbescherming Wet melding inbreuken elektronische informatiesystemen (Security Breach Notification) Netwerk- en informatiebeveiligingsrichtlijn 36 Bijlage 3: Wanneer melden aan het CBP? 37 Bijlage 4: Doorbraak in ontwikkeling EU privacy Verordening 39 Bijlage 5: 2013 Cost of Data Breach Study: United Kingdom 42 Bijlage 6: Wetsvoorstel Meldplicht datalekken en artikelsgewijze toelichting 44 Bijlage 7: Concept wetsvoorstel Melding inbreuken en artikelsgewijze toelichting 52

4 4 van 55 Leeswijzer Voor een korte globale indruk van de meldplichten-materie kunt u terecht in de samenvatting: paragraaf 1.3. Hoofdstuk 2 gaat gedetailleerd in op de wetsvoorstellen, hoofdzakelijk aan de hand van de Memories van toelichting, plus enkele aanvullende informatie en wat overpeinzingen. Hoofdstuk 3 geeft een korte impressie van de ten tijde van schrijven van deze notitie actuele stand van zaken van het Brusselse EPV-traject, de Europese Privacy Verordening. Overigens zullen wij vanaf nu de afkorting AVG gebruiken: de Algemene Verordening Gegevensbescherming. Deze aanduiding begint algemeen de overhand te krijgen en is 'in sync' met de Engelse aanduiding: GDPR, General Data Protection Regulation. Hoofdstukken 4 en 5 gaan in op de praktische organisatorische aspecten van de aankomende wetsvoorstellen, en de knelpunten en open eindjes die daar nog in zitten. Paragraaf 4.4 bevat tips voor implementatie en een beslisboom voor de bepaling van de meldplichtigheid van een incident. Bijlage 2 verdient een aparte vermelding: er zijn nog meer meldplichten actueel en in aankomst. Een uitgebreide verhandeling, voor wie het allemaal weten wil. Bijlage 4 over de AVG is de moeite waard als update over de stand van zaken in het Europese wetgevingstraject, maar ook omdat daaruit blijkt dat "Datalekken" slechts één van de onderwerpen is waarop dit voorstel zich richt. Dit document wordt geschreven op een moment dat er nog open einden zitten in de wetsontwerpen waarover het hier gaat. De tekst zal door CIP bij gelegenheid worden bijgewerkt met de definitieve uitkomsten van de verschillende parlementaire besluitvormingstrajecten. Deze tekst (dec 2013) wordt gepubliceerd als een versie om twee redenen. Hoewel leden van de domeingroep Privacy betrokken zijn geweest bij de totstandkoming ervan, heeft de domeingroep als geheel zich er nog niet 'officieel' over uitgesproken. Ook zullen mettertijd nog updates nodig zijn als gevolg van de ontwikkelingen in de nationale en Europese wetgevingstrajecten. - red.

5 5 van 55 1 Inleiding 1.1 Doel van dit document Het CIP wil met dit document: Een statusoverzicht geven van de ontwikkelingen met betrekking tot: - het wetsvoorstel "Meldplicht datalekken"; - het wetsvoorstel "Meldplicht Inbreuken op elektronische systemen"; - het voorstel voor de "Algemene Verordening Gegevensbescherming" (AVG) 1. De lezer bewust maken van de (aankomende) wetgeving en haar mogelijke gevolgen. Praktische adviezen aandragen over hoe te anticiperen/reageren op de Meldplicht datalekken. 1.2 Herkomst en status Met het doel informatie-uitwisseling en kennisdeling te bevorderen, wil CIP onder andere 'good practices' ter beschikking stellen. Dit kunnen praktijkvoorbeelden zijn, handreikingen voor beleid, beschrijvingen van de stand van zaken in bepaalde ontwikkelingen, en dergelijke. De herkomst is van oorsprong een reflectie op een onderwerp door mensen in de CIP-kring, maar het kunnen ook notities zijn uit de praktijk van de CIP-organisaties die zonder verder commentaar worden gepubliceerd. De kern is dat de bijdragen altijd zijn gebaseerd op de expertise van de opstellers en deelnemende reviewers en/of het idee dat wat in één organisatie goed werkt, ook voor andere organisaties nuttig zou kunnen zijn. Soms is het resultaat dus de uitkomst van een groepsproces en in andere gevallen wordt iets 'as is' ter kennisneming of overname aangeboden. De CIP-documenten hebben geen ander doel dan kennisoverdracht en reflecteren niet noodzakelijk de opvattingen van alle contribuanten, CIP-deelnemers en/of alle CIP-partijen. Publicatie vindt plaats op zowel de openbare website als het besloten CIP-documenten kunnen van tijd tot tijd aanpassingen ondergaan of worden ingetrokken als gevolg van veranderde inzichten. De CIP-redactie streeft binnen haar mogelijkheden naar een zo actueel mogelijke status van de documenten. In de praktijk betekent dit dat enige tijd zal verstrijken voordat wijzigingen kunnen zijn doorgevoerd. Suggesties voor aanpassingen kunnen ook door lezers worden aangedragen en worden altijd in behandeling genomen. Er mag vrijelijk worden verwezen naar CIP-documenten of eruit worden geciteerd. Gebruik van het document of van delen daaruit moet vergezeld zijn van een correcte bronvermelding en is altijd voor eigen risico. Dit CIP-document is een product van de Domeingroep Privacy, een van de vier domeingroepen in CIP-verband. De eerste aanzet is gemaakt door Aramis Jeanpierre, Gineke Kuiper en Ruud de Bruijn, naar aanleiding van de aanvankelijke planning, waarin de Meldplicht datalekken in september 2013 een feit had moeten zijn. Die planning is te ambitieus gebleken, maar het is wel duidelijk dat nationale wetgeving niet lang meer op zich zal laten wachten. Min of meer aansluitend daarop zal de Europese Verordening er nog een schepje bovenop gaan doen. CIP heeft categorieën geformuleerd waarmee reikwijdte, intentie, status en/of draagvlak van CIPpublicaties wordt aangegeven. Deze publicatie valt in categorie 2: "becommentarieerde praktijk: een door meerdere professionals veralgemeniseerde praktijk als handreiking voor hergebruik binnen geïnteresseerde organisaties". 2 1 Zie de Leeswijzer over AVG ipv EPV. 2 Zie "De totstandkoming en status van CIP-publicaties".

6 6 van 55 Bij het opstellen van het eerste concept is gebruik gemaakt van twee actuele interne notities over de Meldplicht datalekken van de SVB en UWV, van de hand van Hatice Dogan en Mieke Anema (respectievelijk beleidsjurist SVB en juridisch adviseur UWV en beide lid van de domeingroep Privacy). Tevens is dankbaar gebruik gemaakt van bijdragen van Privacy Management Partners, waaronder een update over de besluitvorming in het AVG-traject. De keuze van de overige toegevoegde artikelen en verwijzingen is gemaakt door de redactie. Tenslotte zijn natuurlijk ook inhoudelijke bijdragen van diverse reviewers verwerkt. 1.3 Samenvatting Het doel van het wetsvoorstel Meldplicht datalekken is beperking van de schade voor betrokkenen ten gevolge van 'datalekken'. De meldplicht geldt voor de verantwoordelijke voor de verwerking van persoonsgegevens (niet: de bewerker 3 ) en wordt opgenomen in de Wet bescherming persoonsgegevens (Wbp) als een nieuw artikel 34a. De norm bevat een verplichting voor de verantwoordelijke tot kennisgeving aan het College bescherming persoonsgegevens (CBP) én de betrokkenen. De verantwoordelijke verwerker van gegevens in de zin van de Wbp moet het CBP onverwijld in kennis stellen van het datalek, als sprake is van een inbreuk die aan de volgende kenmerken voldoet: er is een inbreuk op de beveiligingsmaatregelen als bedoeld in artikel 13 Wbp 4 waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkenen zijn verbonden. De verantwoordelijke moet ook de betrokkenen, wier gegevens in het geding zijn, in kennis stellen van de inbreuk als: de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen. De kennisgeving aan het CBP en de betrokkenen omvat: de aard van de inbreuk; de instantie(s) waar meer informatie over de inbreuk kan worden verkregen; de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Naast de bovengenoemde verplichtingen omvat de kennisgeving aan het CBP tevens: een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens; de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De verantwoordelijke stelt de betrokkenen in kennis van de mogelijke gevolgen van de inbreuk voor hun persoonlijke levenssfeer en adviseert de betrokkenen over de door hen te nemen maatregelen ter beperking van schade. De wet bepaalt straks expliciet dat een behoorlijke en zorgvuldige informatievoorziening gewaarborgd moet zijn naar de betrokkenen. 3 Zie voor deze en andere begrippen Bijlage 1 op pagina Verantwoordelijke is verplicht om technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

7 7 van 55 De verantwoordelijke moet een register bijhouden van inbreuken - ook de inbreuken die hij niet of mogelijk niet bij het CBP hoeft te melden! - en de gegevens over de meldingen bewaren. Bij niet tijdige melding kan het CBP: een aanwijzing geven om alsnog te melden; een boete opleggen. De bedoeling van de wetgeving is duidelijk, maar de feitelijke uitvoering ervan kan nog wel voor problemen en discussies zorgen: niet alle criteria om vast te stellen of er sprake is van een meldplicht zijn 'harde criteria'; de wijze waarop het CBP de handhavingsrol gaat invullen is nog niet duidelijk; hoe de aankomende nationale wetgeving en de invoeringstermijnen zich gaan verhouden tot de - op punten strengere - AVG is eveneens nog onduidelijk. Naast de op stapel staande Meldplicht datalekken is onlangs ook een consultatieronde afgesloten voor een wetsvoorstel Meldplicht inbreuken op elektronische systemen. Onder dat voorstel hoeft er geen sprake te zijn van persoonsgegevens. De Algemene Verordening Gegevensbescherming komt summier ook ter sprake. Summier omdat de daarvoor nog een indrukwekkende serie geschilpunten moet worden uitonderhandeld. Maar enkele dingen staan wel vast: op punten is de AVG strenger dan de nationale wetsvoorstellen; na inwerkingtreding van de AVG wordt deze regeling direct werkend recht en wordt de Wbp ingetrokken; qua timing zit de AVG de (vertraagde) invoering van de nationale wetgeving op de hielen; aanname in het Europarlement wordt medio 2014 verwacht 5, daarna is er nog wel een invoeringstermijn van 2 jaar. De bijlagen bevatten onder meer de integrale teksten van de Meldplichtvoorstellen en toelichtingen en een overzicht van andere meldplichten. 2 Bespreking van de wetsvoorstellen In de volgende paragrafen worden de onderhavige wetsvoorstellen kort inhoudelijk behandeld. De informatie over de twee Nederlandse wetsvoorstellen is voor het grootste deel afkomstig uit de bijgeleverde Memories van toelichting. Omdat het - vreemd genoeg - nog lastig is om alle bij elkaar horende stukken op het internet te vinden, zijn de teksten van beide wetsvoorstellen en de artikelsgewijze toelichtingen toegevoegd in Bijlage 6 en Bijlage Meldplicht datalekken In de Memorie van Toelichting (MvT) bij het wetsvoorstel staat in de eerste paragraaf een compacte en strakke samenvatting van het wetsvoorstel. Beetje lastig te lezen, maar wel zeer compleet: "Algemeen - Strekking van het wetsvoorstel In dit wetsvoorstel wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (hierna: Wbp) voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. De verantwoordelijke moet op grond van het voorgestelde artikel 34a van de Wbp bij een inbreuk waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens een melding doen 5 Deze planning staat mogelijk onder druk n.a.v. de NSA-affaire(s).

8 8 van 55 bij de toezichthouder, het College bescherming persoonsgegevens (hierna: CBP). Daarnaast dient in de meeste gevallen een melding aan de betrokkene te geschieden indien de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als publieke sector. Het nalaten aan deze verplichtingen te voldoen kan worden gesanctioneerd met een bestuurlijke boete, op te leggen door het CBP. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen en als deze zich toch voordoen, de gevolgen ervan voor de betrokkenen zoveel mogelijk te beperken. Met de meldplicht wordt bijgedragen aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens." Einde citaat. Het voorstel heeft niet geleid tot een aparte wet maar tot een uitbreiding van de Wbp met artikel 34a Wbp. De Nederlandse wetgever gaat hiertoe over in het zicht van het verschijnen van een Europese Verordening inzake de verwerking van persoonsgegevens (de Algemene Verordening Gegevensbescherming, AVG) waarin ook een meldplicht datalekken is geformuleerd. De MvT zegt hierover het volgende: "Op 25 januari 2012 heeft de Europese Commissie een voorstel gepresenteerd voor een Algemene verordening gegevensbescherming (COM (2012)11 def). Deze verordening zal richtlijn 95/46/EG vervangen en daarmee ook de Wbp (de richtlijn is in Nederland in de Wbp geïmplementeerd). De artikelen 31 en 32 van de ontwerpverordening bevatten een algemene regeling voor een meldplicht van datalekken aan de toezichthouder respectievelijk de betrokkene. Mede naar aanleiding van het advies van CBP is overwogen of de regeling van dit wetsvoorstel niet volledig moet worden toegesneden op die van de ontwerpverordening. Ook in de zienswijzen van andere organisaties is daarop aangedrongen, zoals VNO/NCW-MKB Nederland en ICT-Office.Daarvan wordt afgezien. De regeling van de meldplicht in de ontwerpverordening geeft in dit stadium nog te veel aanleiding tot vragen over de reikwijdte van de daarin opgenomen verplichtingen en de invulling van de daarbij in acht te nemen voorwaarden. Het is nog te prematuur om ervan uit te gaan dat de Europese wetgever met een redelijke mate van zekerheid regeling overeenkomstig het voorstel zal vaststellen. Naar verwachting zal het bovendien nog geruime tijd duren voor de ontwerpverordening wordt vastgesteld. Toch is het advies van het CBP aanleiding geweest het aanvankelijke voorstel voor artikel 34a van de Wbp tekstueel zo nauw mogelijk te laten aansluiten bij artikel 11.3a van de Telecommunicatiewet dat de implementatie vormt van artikel 4, derde lid, van richtlijn 2002/58/EG. Deze bepaling bevat een specifieke meldplicht voor aanbieders van openbare elektronische communicatiediensten met betrekking tot datalekken, die ook ten grondslag ligt aan de artikelen 31 en 32 van de ontwerpverordening. Naar verwachting zal de verordening niet eerder dan in 2016 in werking treden." De Nederlandse wetgever kiest dus voor een eigen tekst in plaats van exact de tekst over te nemen uit het voorstel van de AVG, aangezien de tekst ervan nog te onzeker is. Wel heeft de wetgever de formulering van het voorstel zo dicht mogelijk laten aansluiten op de tekst van de meldplicht die reeds in de Telecommunicatiewet is opgenomen. Deze wet zich richt tot de aanbieders van openbare elektronische diensten. Overigens zal ook de Telecommunicatiewetbepaling mettertijd vervangen worden door de regeling in de AVG die ook bewerkers in de meldplicht omvat. We lezen verder: de wet adresseert ' verantwoordelijke(n) voor de verwerking van persoonsgegevens'. Het is niet relevant of de verantwoordelijke een natuurlijke persoon of rechtspersoon is. Evenmin is relevant of de verantwoordelijke deel uitmaakt van de publieke of de private sector. De verantwoordelijkheid binnen de gangbare opdrachtgever - opdrachtnemer relatie in geval van inkoop van diensten komt nog ter sprake in paragraaf

9 9 van 55 Tot zover is het voorstel op zichzelf helder en is er weinig tot geen ruimte voor interpretatie 6. Hierna wordt het lastiger: er moet sprake zijn van 'gebleken doorbreking van de getroffen maatregelen 7 ter beveiliging van persoonsgegevens', waarbij bovendien: een 'aanmerkelijke kans op verlies of misbruik' zou kunnen bestaan. met als extraatje dat moet worden ingeschat of deze gebeurtenis 'ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van betrokkene(n)' Dat is nogal wat. Het merendeel van de lezers zal feilloos aanvoelen wat de bedoeling is. Maar tegelijkertijd berust de werking van de wet dus op een reeks van beoordelingen en interpretaties, die op de eerste plaats moeten worden gemaakt door de 'verantwoordelijke' voor de gegevensverwerking. En in veel gevallen zal die het onaangenaam en mogelijk schadelijk vinden om aan de daaruit voortvloeiende meldverplichting(en) te voldoen. Het melden van falende beveiliging is immers nooit leuk en kan naast imagoschade ook commerciële schade met zich meebrengen. Anderzijds is het niet ondenkbaar dat na verloop van tijd het publiek de openbaarheid juist als een positieve kant van een organisatie of bedrijf zal gaan waarderen. Omdat de verantwoordelijken, naast imago- en herstelschade, ook kans lopen op een forse boete ( 450 duizend mln? 8 ), is het te verwachten dat zij in voorkomende gevallen bij alle punten van interpretatie de grenzen van de meldplicht zullen opzoeken en getoetst willen zien. Daarnaast is het niet ondenkbaar dat de financiële schade als gevolg van een datalek een verzekerbaar risico wordt, misschien ook de boete zelf. Het ongewenste effect daarvan zou kunnen zijn dat verantwoordelijken op deze wijze de inspanningen en betrokkenheid, die eigenlijk nodig zijn, simpelweg afkopen Vertrouwen De benaderingswijze van de wetgever is sterk gebaseerd op het publiek belang bij het kunnen vertrouwen op een juiste en veilige verwerking van persoonsgegevens, volgens de normen van de wet: "Wat de Wbp betreft, geldt dat de wetgever door middel van algemeen-abstract geformuleerde normen, een relatief grote mate van vrijheid, en dus ook vertrouwen, geeft aan de bedrijven, instellingen en burgers die onder de reikwijdte van de wet vallen. Bij het geven van vertrouwen hoort echter ook het afleggen van een zekere mate van rekenschap aan samenleving en de kringen van betrokkenen. Wanneer er een reëel risico is voor verlies of onrechtmatige verwerking van persoonsgegevens, of wanneer dat risico zich heeft verwezenlijkt, kan dat vertrouwen in meer of minder ernstige mate worden geschaad. Het is in het belang van zowel de verantwoordelijke als de betrokkene dit vertrouwen zo snel mogelijk te herstellen. Transparantie over de aard van het datalek, de vermoedelijke omvang ervan en aard van de mogelijke schade, de inspanningen die gepleegd worden om de schade te herstellen en raadgevingen aan publiek en klanten om zichzelf zo goed mogelijk in staat te stellen de consequenties voor de eigen belangen te overzien zijn noodzakelijke maatregelen voor behoud en herstel van dat vertrouwen. Dat vertrouwen wordt ondersteund doordat onafhankelijke toezichthouders (CBP c.q. Autoriteit Consument en Markt) in staat worden gesteld zich een 6 Wij gaan voorbij aan het gegeven dat de definitie van een 'persoonsgegeven' nog wel wat interpretatieruimte laat en af en toe ook wordt getoetst bij de rechter. 7 De voorgestelde meldplicht voor datalekken staat in nauw verband met de beveiligingsverplichting van artikel 13 van de Wbp, dat is de verplichting voor de verantwoordelijke om 'passende' technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Ook dit is niet zonder interpretatieruimte. 8 De boetebedragen zijn ten tijde van schrijven van deze passage aan het schuiven, in de voorstellen voor de AVG is nu sprake van max 100 mln of 5% jaaromzet, het Nederlandse wetsvoorstel spreekt nog steeds van

10 10 van 55 eigen beeld te vormen van de feiten, een oordeel kunnen geven over de genomen maatregelen, onder omstandigheden vertrouwelijk met de verantwoordelijke kunnen overleggen en zonodig kunnen interveniëren.als sluitstuk op het geheel wordt het nalaten aan deze verplichting te voldoen gesanctioneerd met een bestuurlijke boete." Reikwijdte In het voorstel is pas sprake van een onder de meldplichtbepaling vallend datalek als de technische en organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd en de persoonsgegevens blootgesteld zijn aan een aanmerkelijke kans op verlies of onrechtmatige verwerking. Daarbij hoeft niet noodzakelijkerwijs sprake te zijn van verwijtbaar onvoldoende beveiligingsmaatregelen. De beveiliging kan op orde zijn en niettemin worden teniet gedaan of omzeild. Denk bijvoorbeeld aan een hack van een ICT-systeem dat persoonsgegevens bevat of de diefstal van een laptop of mobiele telefoon uit een afgesloten locker 9. Verwijtbaar/toerekenbaar tekortschieten kan variëren van een niet adequate en vakkundig toegepaste beveiliging van de bestanden of de gegevens, tot menselijke fouten van ondergeschikten. Denk bijvoorbeeld aan het slordig omgaan met het beheer van wachtwoorden die toegang geven tot informatiebestanden of aan situaties van het per ongeluk verkeerd adresseren van een brief of die persoonsgegevens bevat, het als oud papier aanbieden van gevoelige stukken, of het zoekraken van een mobiele telefoon of een geheugenstick. De meldplicht geldt alleen dan niet wanneer voorzieningen van algemene aard die niet specifiek zijn gericht op de beveiliging van persoonsgegevens worden aangetast. Als bijvoorbeeld een blikseminslag tot gevolg heeft dat het gebouw afbrandt, waarbij ook persoonsgegevens verloren gaan, zal niet van een inbreuk op de beveiligingsmaatregelen kunnen worden gesproken. 10 Het blijft lastig. Het is immers goed voorstelbaar dat bij een calamiteit persoonsgegevens verloren gaan op een wijze die het mogelijk maakt dat zij toch in verkeerde handen kunnen vallen. De letterlijke wettekst biedt strikt genomen geen grond voor een stellige uitzondering als de MvT hier lijkt te maken. Het zal van geval tot geval beoordeeld moeten worden. Zie ook de volgende twee paragrafen, met name paragraaf Ongeoorloofde toegang en misbruik Het begrip ongeoorloofde toegang snijdt door zowel verwijtbare als onverwijtbare inbreuk heen. Ongeoorloofde toegang kan het gevolg zijn van een hack, diefstal, of verlies van gegevens, maar ook van slordig of opzettelijk foutief handelen van personeel in relatie tot persoonsgegevens. De suggestie 11 om de meldplicht te laten gelden voor elke vorm van ongeoorloofde toegang wordt in dit wetsvoorstel niet gevolgd. De wetgever erkent dat ongeoorloofde toegang kan leiden tot datalekken, die meldplichtig zijn. 'Hacken' is daarvan het meest aansprekende voorbeeld, maar ook de nalatige omgang met wachtwoorden of vergelijkbare voorzieningen in een werkomgeving. In de praktijk zal ongeoorloofde toegang moeilijk te onderscheiden zijn van het oneigenlijke gebruik of misbruik maken van gegevens na op zichzelf geoorloofde toegang. 9 Dit en andere voorbeelden hierna zijn afkomstig uit de MvT. 10 Letterlijk citaat uit MvT, paragraaf 3.1 "Inbreuk op beveiligingsmaatregelen". 11 Met name gedaan door Bits of Freedom, tijdens de consultatieronde.

11 11 van 55 Er is dan geen sprake van het inbreuk maken op beveiligingsmaatregelen, maar het misbruik maken van vertrouwen. Hoe schadelijk dit ook kan zijn, dat is niet het onderwerp van dit wetsvoorstel. 12 " Het is een dun lijntje: opzettelijk ongeoorloofde toegang verkrijgen, vergelijkbaar met hacken van binnenuit, is meldplichtig. Het opzettelijk ongeoorloofd handelen met persoonsgegevens die op rechtmatige wijze werden verkregen, dus binnen ongeschonden organisatorische en technische beveiligingsmaatregelen, is misbruik (bijvoorbeeld: schending van de doelbinding), maar niet een datalek waarop de meldplicht ziet Voorkomen van nodeloze meldingen De effectiviteit van de meldplicht voor datalekken zal snel aan betekenis verliezen wanneer elk denkbaar datalek in aanmerking komt om te worden gemeld. Een meldplicht zonder enige beperking leidt bovendien tot een nodeloze belasting van bedrijfsleven en overheid. De voorziening in de Wbp houdt volgens de letterlijke tekst in dat de verantwoordelijke niet elke inbreuk op de beveiliging van persoonsgegevens behoeft te melden, maar alleen die inbreuken waarvan 'redelijkerwijs' kan worden aangenomen dat die leiden tot een 'aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens' die door hem worden verwerkt. Dit geldt zowel voor de meldplicht van de verantwoordelijke aan het CBP als aan de betrokkene. De bezorgdheid over verlies van betekenis en nodeloze kosten heeft niettemin tot gevolg dat inbreuken dus niet alleen moeten worden gemeld bij daadwerkelijk verlies of onrechtmatige verwerking van persoonsgegevens, maar ook bij en reëel risico daarop. Hierover meer in de volgende paragraaf Beslismodel meldplicht Wbp In de MvT wordt erop gewezen dat een goede werking van onderstaande beslismodel, meer in het bijzonder: op de punten waarop risicoinschattingen moeten worden gemaakt, een essentiële voorwaarde vormen voor de werking en het succes van het wetsvoorstel. Verderop in dit document komen wij nog op terug de inventarisatie van wat dit allemaal, in combinatie met tijdigheid, voor de implementatie en correcte uitvoering gaat betekenen (paragraaf 4 "Wat moet u regelen?") Bij de vraag of aan de meldplicht moet worden voldaan, kan de verantwoordelijke het volgende beslismodel langslopen Inbreuk ja/nee? Is er sprake is van een inbreuk op de getroffen beveiligingsmaatregelen. 2a 2b Persoonsgegevens? Aanmerkelijke kans op onrechtmatige verwerking? Kan redelijkerwijs worden aangenomen dat er een aanmerkelijke kans is op nadelige gevolgen voor de bescherming van de persoonsgegevens? (verlies, aantasting, toegang door onbevoegden) Die nadelige gevolgen kunnen zich dan vooral voordoen in de vorm van verlies of onrechtmatige verwerking. Tegen die schade wil artikel 13 van de Wbp bescherming bieden. Die laatste stap vergt een beoordeling die zo geobjectiveerd mogelijk moet zijn. De aanmerkelijke kans dat persoonsgegevens zijn blootgesteld aan nadelige gevolgen in de vorm van verlies of onrechtmatige 12 Merk op dat deze redenering ook zou moeten opgaan voor het voorstel Meldplicht inbreuken op elektronische systemen. 13 Zie paragraaf voor een overzichtelijke weergave van de beslisboom.

12 12 van 55 verwerking moet redelijkerwijs aanwezig zijn. Dat moet naar feitelijke omstandigheden van het geval worden vastgesteld. Het risico zal zich bij een geslaagde aanval van hackers eerder voordoen dan bij fysieke schade aan het gebouw waar zich de ICT-apparatuur bevindt waarmee de verwerking plaatsvindt. Een 'aanmerkelijke kans': niet elk risico rechtvaardigt immers een melding. Of er sprake is van een aanmerkelijke kans is eveneens afhankelijk van de concrete feiten en omstandigheden. De aard van de inbreuk zal doorgaans van belang zijn bij het bepalen van de grootte van het risico. Het is niet goed mogelijk aan te geven of het verlies van een mobiele telefoon, de diefstal van een laptop of het zoekraken van een geheugenstick wel of geen aanleiding geeft een melding te doen. Of die noodzaak aanwezig is, is afhankelijk van de aard van de data die het betreft en het in te schatten vermoedelijke risico dat de betrokkene en de verantwoordelijke lopen ingeval van zoekraken of onrechtmatige verwerking. 3 Zijn ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene redelijkerwijs te voorzien? Is het aannemelijk dat, wanneer de aanmerkelijke kans op verlies of onrechtmatige verwerking zich verwezenlijkt, daaraan ongunstige gevolgen zijn verbonden voor de persoonlijke levenssfeer van de betrokkene. Omvang en aard van de verwerking en de aard en combinatie van de betrokken gegevens zijn mede bepalend voor de vraag of de verwezenlijking van het risico ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen kan hebben. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan worden gevergd dat zij een zekere mate van risico aanvaarden. 14 Maar een datalek bij - bijvoorbeeld - de Belastingdienst of de Sociale Verzekeringsbank (SVB) of een commerciële bank of verzekeraar is doorgaans van geheel andere orde. Een datalek bij dergelijke instellingen kan leiden tot financieel nadeel bij de betrokkene of tot de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht. De MvT eindigt de toelichtende paragraaf met de verwachting dat het CBP nog met nadere richtsnoeren voor de uitvoering zal komen ten behoeve van "indirect enig houvast" voor de praktijk Verhouding verantwoordelijke voor de verwerking en bewerker De voorgestelde meldplicht richt zich tot de verantwoordelijke in de zin de van de Wbp, en nadrukkelijk tot niemand anders. Dit blijft zo wanneer een verantwoordelijke zich bedient van een bewerker. Weliswaar zal de bewerker de partij zijn die feitelijk belast is met het ten uitvoer leggen van de passende technische en organisatorische maatregelen ter beveiliging van de verwerkte gegevens, maar de verantwoordelijke heeft en houdt expliciet de zorg voor naleving van deze verplichtingen en is de (enige) partij die meldplichtig is wanneer zich incidenten bij bewerker voordoen die daartoe aanleiding geven. Verantwoordelijke en bewerker, doorgaans in een opdrachtgever-opdrachtnemer relatie, zullen hierover in de bewerkersovereenkomst afspraken moeten maken. Deze afspraken moeten er onder meer toe leiden dat bewerker de verantwoordelijke onmiddellijk - in ieder geval tijdig met het oog op de wettelijke reactietermijn - op de hoogte stelt van incidenten die mogelijk tot melding moeten leiden. 14 Toch is ook dit een discutabele bewering, afkomstig uit de MvT (par "Beslismodel meldplicht Wbp"). Immers, als de administratie bijvoorbeeld ook bankrekeningnummers of vakantieplanningen van leden bevat, dan is het goed denkbaar dat er een (lokale) afzetmarkt voor bestaat

13 13 van Kennisgeving aan betrokkene en aansprakelijkheidsrecht Het doen van een kennisgeving van een datalek aan de betrokkene ontheft de verantwoordelijke niet van eventuele burgerrechtelijke aansprakelijkheid voor schade die voortvloeit uit het toerekenbaar niet of niet voldoende naleven van de verplichting neergelegd in artikel 13 van de Wbp. Dit aspect is doorgaans wat onderbelicht gebleven in de beschouwingen over het wetsvoorstel, maar de MvT bevat in dit verband waarschuwingen voor zowel de verantwoordelijke als de betrokkene zelf. "De kennisgeving aan de betrokkene is een uiting van de algemene verplichting tot schadebeperking die deel uitmaakt van het aansprakelijkheidsrecht, met inbegrip van het bijzondere aansprakelijkheidsrecht van de Wbp (art. 49). Verantwoordelijken doen er daarom goed aan dit bij de afweging om wel of geen kennisgeving aan betrokkenen te doen mee te nemen". Hier wordt gerefereerd aan het risico van schadeclaims wanneer geen kennisgevingen worden gedaan aan de betrokkenen met adviezen over hoe zij hun schade zouden kunnen beperken. De schades en daarmee de eventuele claims kunnen dan hoger uitvallen en dan wanneer de verantwoordelijke tijdig de betrokkene had geadviseerd. "Handelt de betrokkene nadat hem een kennisgeving is gedaan niet overeenkomstig de door de verantwoordelijke voorgestelde maatregelen, en vloeit daaruit schade voor hem voort, dan kan onder omstandigheden sprake zijn van eigen schuld van de betrokkene". De keerzijde: als de betrokkene de aanbevelingen van de verantwoordelijke niet in acht neemt, zou hem bij het stellen van schade tegengeworpen kunnen worden dat hij zelf onvoldoende heeft gedaan om de schade te beperken, waardoor hij een deel van de schade mogelijk niet zal kunnen verhalen op de verantwoordelijke. Elders in de stukken wordt duidelijk dat het bij de schadebeperkende maatregelen die de betrokkenen worden geadviseerd te nemen kan gaan om adviezen als : 'wijzig uw wachtwoord' of: 'laat uw creditcard blokkeren'. De wetgever maakt hier ons inziens duidelijk dat de verantwoordelijke, of hij nu gemeld heeft of niet, aangesproken kan worden voor de schade voortvloeiend uit een datalek en dat het ontwijken van de meldplicht en de verplichting om de betrokkenen zo goed mogelijk te informeren in de aangewezen gevallen, hem duur(der) kan komen te staan Verhouding tot meldplicht incidenten Wet op het financieel toezicht De meldplicht voor datalekken is ook van toepassing op de financiële sector, maar: een financiële onderneming wordt niet verplicht om datalekken te melden aan betrokkenen. Dit is in lijn met de bestaande praktijk dat een financiële onderneming incidenten wel moet melden aan de financieel toezichthouder, maar niet aan betrokkene. Openbare kennisgevingen aan betrokkenen zijn in de financiële sector te risicovol om dwingend te worden voorgeschreven. De zorgplicht van de financiële onderneming zal waarborgen dat zij ook zonder dat dit dwingend wordt voorgeschreven haar verantwoordelijkheid jegens haar cliënten in rechtstreeks contact met die cliënten zal nemen (zie ook Bijlage 2: "Overzicht huidige en toekomstige meldplichten").

14 14 van Administratieve lasten en nalevingskosten De aanpassing van de Wbp betreft een geheel nieuwe verplichting, in ieder geval voor wat betreft het element van de verwittiging en advisering van de betrokkene. In de MvT wordt niettemin een kosteninschatting gemaakt op basis van gegevens over reeds bestaande meldplichten, met name die voor de Telecommunicatiewet: "Aangenomen wordt dat een melding 16,60 aan nalevingskosten oplevert (een melding aan betrokkenen en het bijhouden van een protocol, elk gewaardeerd op 8,30), en 8,30 aan administratieve lasten (melding aan het CBP). Die bedragen zijn gebaseerd op een uurtarief van 50,= en een last per geval van 10 minuten 15." 2.2 Meldplicht inbreuken op elektronische informatiesystemen De informatie over deze "Wet houdende regels over het melden van een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving (Wet melding inbreuken elektronische informatiesystemen)" is gebaseerd op het concept ontwerp van 16 juli 2013 t.b.v. consultatie 16. In tegenstelling tot de voorgestelde Wet datalekken die, volgens de planning althans, in september 2013 een feit had moeten zijn, is hier nog een langer traject af te leggen. Overigens net als bij de Wet datalekken zit de Europese wetgeving ook hier de Nederlandse wetgeving op de hielen. Dit wetsvoorstel sluit aan bij de ambitie van de Europese Commissie om EU-breed te komen tot een meldplicht voor overheden en vitale marktpartijen die bijdraagt aan het verhogen van de digitale veiligheid. Maar zoals het er nu naar uit ziet wordt het toch wat verwarrend. De AVG krijgt heeft een meldplicht die ruimer is dan die welke de Wet datalekken/de Wbp voorschrijft, omdat de meldplicht zich ook richt tot de bewerker van persoonsgegevens. Waarschijnlijk is echter deze brede meldplicht niet gelijk te stellen aan de voorgenomen Wet melding inbreuken elektronische informatiesystemen, onder andere omdat deze laatste wet zich niet beperkt tot inbreuken waarbij persoonsgegevens zijn gemoeid. Anders dan in de voorgaande paragraaf bij de bespreking van het voorstel over datalekken, onthouden we ons voorlopig nog van detailcommentaar. Dit heeft alles te maken met de consultatieronde, waarin we geen van de CIP-organisaties in de weg willen zitten bij eventuele reacties op het wetsvoorstel Het voorstel in het kort Dit wetsvoorstel introduceert een meldplicht voor een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen (hierna ook: ICT-inbreuken). Het doel is om het risico van maatschappelijke ontwrichting als gevolg van ICT-inbreuken in te schatten en die ontwrichting te voorkomen of in elk geval zo veel mogelijk te beperken. Deze meldplicht is niet beperkt tot gevallen waarbij persoonsgegevens in het geding zijn. De meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, en alleen als de inbreuk tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken. 15 Onlangs is becijferd dat een gemiddeld datalek in totaal al gauw 100 tot 150 euro kost per klant of medewerker waarvan gegevens kwijt raken. Bron: Ponemon Institute Cost of Data Breach Study, zie bijlage Bijlage Einddatum consultatie ;

15 15 van 55 De meldplicht zal ook gelden voor de financiële sector en de overheid zelf. De meldplicht geldt alleen voor bij algemene maatregel van bestuur aan te wijzen aanbieders van daarbij aan te wijzen producten of diensten; De melding moet worden gedaan aan de Minister van Veiligheid en Justitie en wordt behandeld door het Nationaal Cyber Security Centrum (NCSC); Het NCSC kan vervolgens: - inschatten hoe groot de impact is - hulp verlenen aan de getroffen aanbieder; - andere vitale aanbieders waarschuwen. Hulp door het NCSC aan de getroffen organisatie behelst het bieden van handelingsperspectief door het geven van advies en informatie en het coördineren van de inzet van andere (overheids)- organisaties of daar waar noodzakelijk het bieden van technische ondersteuning om de gevolgen van een inbreuk te beperken Vertrouwen, geen sancties Om de drempel laag te houden kent de voorgestelde meldplicht niet de mogelijkheid van sanctionering en is de meldplicht primair gericht op het bieden van hulp. Het is van belang dat de meldingen in vertrouwen gedaan kunnen worden om kwetsbaarheden te beperken dan wel in de toekomst te vermijden Melding Hoewel meldingen qua aard per vitale sector kunnen verschillen, worden in ieder geval de volgende elementen verwacht: Inzicht te geven in de aard en omvang van de ICT-inbreuk; Een specificatie van het soort getroffen systemen; Het tijdstip van aanvang van de betrokken ICT-inbreuk; De reeds getroffen maatregelen en de te verwachten hersteltijd; Contactgegevens Meldplichtige partijen De meldplicht betreft aanbieders van vitale producten of diensten binnen de sectoren: elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport (mainports Rotterdam en Schiphol). Denk daarbij aan aanbieders zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen, banken, het Havenbedrijf Rotterdam, de NV Luchthaven Schiphol en Luchtverkeersleiding Nederland. Het gaat om onderdelen van de vitale infrastructuur waarbij een inbreuk direct of indirect (cascade-effect) tot maatschappelijke ontwrichting kan leiden. De aanbieders en hun concrete producten en diensten waarvoor de meldplicht gaat gelden, zullen worden aangewezen bij algemene maatregel van bestuur Te melden ICT-inbreuken (DDos is geen inbraak) De meldplicht in dit wetsvoorstel ziet alleen op een daadwerkelijke inbreuk op de veiligheid en op een daadwerkelijk verlies van integriteit van een elektronisch informatiesysteem. Verstoringen waarbij geen sprake is van een dergelijke ICT-inbreuk, zoals DDosaanvallen, vallen daar niet onder. Partijen hebben natuurlijk wel altijd de mogelijkheid om ernstige verstoringen van de bereikbaarheid vrijwillig aan het NCSC te melden.

16 16 van 55 De aan te wijzen organisaties in de vitale sectoren zijn niet verplicht om élke ICT-inbreuk aan het NCSC te melden. De verplichting alleen als "de inbreuk tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid van het aangewezen product of de aangewezen dienst in belangrijke mate wordt of kan worden onderbroken" Vertrouwelijkheid In de artikelsgewijze toelichting bij artikel 6 lezen wij: "Het belang van het voorkomen of beperken van maatschappelijke ontwrichting neemt met zich mee dat verstrekte gegevens ook gebruikt mogen worden als basis voor advies en informatie aan andere aangewezen aanbieders als bedoeld in artikel 2, aan door de minister aangewezen CERT's en aan het publiek". Soms zal de voorlichting alleen effectief kunnen zijn als de aanbieder of het product of de dienst concreet wordt aangeduid, bijvoorbeeld om het publiek te waarschuwen dat een bepaald product of een bepaalde dienst tot nader order beter niet gebruikt kan worden. "Tenzij de staatsveiligheid in het geding is, mogen de verstrekte gegevens ook als basis voor publieksvoorlichting worden gebruikt. Daarbij zal het veelal niet nodig zijn om gegevens te verstrekken die herleid kunnen worden tot afzonderlijke aanbieders of afzonderlijke producten en diensten, bijvoorbeeld als het publiek gewaarschuwd moet worden voor de risico's van een door internetcriminelen gehanteerde werkwijze.( ) De beslissing om dergelijke voorlichting te geven, vergt een belangenafweging. Zo zal het belang van het publiek om op de hoogte te zijn niet altijd opwegen tegen het belang van de betrokken aanbieder. Denkbaar is ook dat de bekendmaking de maatschappelijke schade juist vergroot in plaats van voorkomt of beperkt. Het NCSC zal zo mogelijk de betrokken toezichthouder betrekken bij deze belangenafweging" Verhouding tot sectorale meldplichten en het wetsvoorstel meldplicht datalekken Voor enkele sectoren geldt voor ICT-inbreuken al een verplichting tot melding aan de sectorale toezichthouder 17. Maar ook als een reeds moet worden gemeld bij een ander overheidsorgaan, is het cruciaal dat de inbreuk óók onverwijld en rechtstreeks aan het NCSC wordt gemeld, om vertraging in het daar waar nodig bieden van hulp zo veel mogelijk te beperken en om het delen van informatie over de kwetsbaarheid met andere mogelijk getroffenen te bespoedigen. De voorgestelde meldplicht sluit aan op het bestaande stelsel van sectorale meldplichten en treedt niet in de thans geldende sectorale bevoegdheden. Daarmee laat de voorgestelde meldplicht ook de bestaande crisisbeheersingsstructuren onverlet Verhouding tot wetsvoorstel meldplicht datalekken Bij een inbreuk op de veiligheid of een verlies van integriteit hoeven niet noodzakelijkerwijs ook persoonsgegevens in het geding te zijn. Daarbij valt te denken aan geautomatiseerde procescontrolesystemen ten behoeve van het aansturen van fysieke processen 18. Niettemin kan het zich voordoen dat een ICT-inbreuk onder beide meldplichten valt. In dat geval moet de inbreuk derhalve zowel bij het NCSC als bij het CBP worden gemeld. 17 Zie bijlage Bijlage 2: Overzicht huidige en toekomstige meldplichten. 18 Het kan ook omgekeerd: Persoonsgegevens worden (digitaal) gestolen, maar deze gegevens zijn versleuteld: vrijgesteld derhalve van melding als datalek, niettemin een inbreuk.

17 17 van Verhouding tot EU-richtlijnen Een belangrijke recente internationale ontwikkeling op het terrein van cybersecurity is de in februari gepubliceerde Europese Cyber Security Strategie (JOIN(2013) 1 final, Kamerstukken II 2012/13, , nr. 1588) alsmede het (ook in deze strategie genoemde) ontwerp van een Netwerk-en Informatiebeveiligingsrichtlijn (hierna te noemen: NIB-richtlijn, COM(2013) 48, Kamerstukken II 2012/13, , nr. 1588, en Kamerstukken II 2012/13, , nr. 1). De Europese onderhandelingen over het ontwerp van deze NIB-richtlijn zijn inmiddels begonnen. De ontwerp-richtlijn zet in op het toegenomen belang van samenwerking binnen de Europese Unie op het terrein van informatiebeveiliging en ziet op het opbouwen van nationale capaciteiten, de coördinatie bij grensoverschrijdende inbreuken, en publiek-private samenwerking Naleving Het NCSC gaat geen toezicht houden op de naleving van de meldplicht en krijgt ook geen handhavingsbevoegdheden. De motivatie: "De doelgroep is beperkt tot de rijksoverheid en de vitale aanbieders in de randvoorwaardelijke sectoren. Het nut en de noodzaak van het delen van vertrouwelijke gegevens met betrekking tot ICT-inbreuken die ernstige gevolgen hebben of kunnen krijgen, wordt hier breed gedragen" Administratieve lasten en nalevingskosten Evenals bij de Meldplicht datalekken wordt ook hier een indicatie ontleend aan de praktijk vanuit de Telecommunicatiewet. De totale administratieve lasten van die meldplicht zijn geraamd op circa per jaar, uitgaande van 10 meldingen per aanbieder per jaar en van 486 aanbieders. Als we dit zelf even rechtlijnig doorrekenen, dan kost het een gemiddelde meldplichtige 570 per jaar De Europese Privacyverordening De Algemene Verordening Gegevensbescherming (AVG) is in bovenstaande al herhaaldelijk ter sprake gekomen. Gezien de stand van zaken in het Europese besluitvormingstraject en de stevige lijst amendementen die nog voorligt kunnen we op heel wat punten nog niet met trefzekerheid melden wat de uitkomst zal worden. Maar enkele dingen staan wel vast: op punten is de AVG zowel ruimer van toepassing als strenger qua sancties mogelijkheden dan de nationale wetsvoorstellen; richt zich ook op de bewerker van persoonsgegevens (i.t.t. alleen de verantwoordelijke); 'onze' Wbp wordt overruled door de AVG zonder de mogelijkheid tot inmenging van het Nederlandse parlement; de AVG kent andere criteria voor de aanstelling van de functionaris voor de gegevensbescherming; wanneer de (vertraagde) invoering van de nationale wetgeving een feit zal zijn, is niet duidelijk. In het Europarlement wordt bevestiging van de AVG medio 2014 (misschien pas medio 2015) verwacht, daarna is er nog wel een invoeringstermijn van 2 jaar. 19 Onlangs is becijferd dat een gemiddeld datalek in totaal al gauw 100 tot 150 euro kost per klant of medewerker waarvan gegevens kwijt raken (Ponemon Institute Cost of Data Breach Study, zie Bijlage 5).

18 18 van 55 Of de AVG qua reikwijdte vergelijkbaar zal zijn met het wetsvoorstel Meldplicht inbreuken op elektronische systemen is nog open, evenals of dit wetsvoorstel überhaupt nog in behandeling komt als de AVG eerder al is aangenomen. 3.1 Voortgang Op 21 oktober 2013 heeft het Europees Parlement overeenstemming bereikt over de nieuwe EUprivacywet - de Algemene Verordening Gegevensbescherming (AVG) - die de Wet Bescherming Persoonsgegevens gaat vervangen. De overeenstemming betreft nog niet de eindtekst maar de versie die wordt afgestemd met de Raad van Ministers. In het Brusselse wetgevingsproces is dat een grote stap voorwaarts. Naar verwachting wordt het goedkeuringsproces medio 2014 afgerond. Uit oogpunt van good governance springen de in de volgende paragrafen besproken aanpassingen het meest in het oog Verhoging van de bestuurlijke boetes Het Europarlement vindt de boetes die de Europese Commissie had voorgesteld in het oorspronkelijke wetsvoorstel, te laag. Ook ingegeven door de actuele discussie over de verstrekking van data aan de Amerikaanse inlichtingen- en veiligheidsdiensten, heeft het Europarlement de maximale boetes opgehoogd naar 100 miljoen Euro of 5% van de wereldwijde jaaromzet net welk bedrag het hoogste is Nieuwe criteria voor de verplichte privacy officer Alle organisaties in de publieke sector en alle bedrijven die gegevens verwerken (of laten verwerken) van personen of meer, moeten een privacy officer aanwijzen. Privacy officers worden in de huidige Nederlandse wetgeving al aanbevolen (art Wbp). De door het parlement aangepaste wettekst verduidelijkt aan welke criteria een privacy officer moet voldoen, zijn positionering en de aanstellingstermijn (herbenoembaar na vier jaar bij aanwijzing van een werknemer of twee jaar bij aanwijzing van een externe privacy officer). In het wetsvoorstel AVG uit 2012 was de ondergrens voor bedrijven nog afhankelijk van de bedrijfsgrootte (250 werknemers of meer). Nu dus van de omvang van de gegevensbestanden Bestuurlijke veranderingen Besturen worden door de EU nog nadrukkelijker opgedragen om pro-actief privacybeleid te voeren, waarin de privacy officer hen bijstaat door middel van onafhankelijk advies en monitoring. Binnen een bestuur moet een bestuurslid worden aangewezen als portefeuillehouder. Belangrijk is dat verantwoordelijke besturen steeds in de gaten houden dat oplossingen goed worden gedocumenteerd. Het College Bescherming Persoonsgegevens, dat straks de boetes kan opleggen, kan die documentatie op ieder moment opvragen. Om er zeker van te zijn dat besturen ook daadwerkelijk in staat zijn om de opgevraagde documentatie te verstrekken, dienen auditors het bestaan van de rekenschapsdocumentatie te verifiëren. 3.2 Vervolg Het heeft er lange tijd naar uitgezien dat de AVG medio 2014 kan worden aangenomen. De commotie over het gedrag van de Amerikaanse NSA zou roet in het eten kunnen gooien, vanwege een op zichzelf wat bizarre gedachtenkronkel: als de NSA, al dan niet met toestemming van de betrokken overheden, gegevens aftapt, is er dan sprake van een datalek? Moet dat gemeld worden? Kunnen daarvoor boetes worden uitgedeeld? Het lijkt er even op dat wetgeving ter verdere bescherming van de privacy moet worden uitgesteld omdat er op grote schaal schendingen plaatsvinden.

19 19 van 55 Als evenwel de AVG medio 2014 inderdaad wordt aangenomen, dan betekent dit dat het College Bescherming Persoonsgegevens medio 2016 op de nieuwe wet toezicht moet houden. Het CBP heeft aangegeven afstand te bewaren van organisaties die in een goede privacy officer hebben voorzien. Want ook een privacy officer is wettelijk toezichthouder. Een en ander neemt niet weg dat de tijd begint te dringen. Want er is een zekere organisatie'maturity' voor nodig om de nieuwe wetgeving met vertrouwen tegemoet te kunnen treden. Op andere punten zien de nog hangende AVG-voorstellen er op hoofdlijnen nog als volgt uit: Er moet een transparant en eenvoudig toegankelijk privacybeleid worden opgesteld, waarin ook de rechten van de betrokkene zijn opgenomen. De maximale hoogte van de administratieve sanctie die het CBP kan opleggen in geval van bepaalde nalatigheden wordt verhoogd tot ,- of 5% van de jaarlijkse omzet. De voor verwerking verantwoordelijke moet kunnen aantonen dat hij toestemming van de betrokkene heeft voor de verwerking van zijn gegevens. Er komt een meldplicht voor datalekken. De betrokkene krijgt een recht tot rectificatie of uitwissing van zijn gegevens. Gevoelige verwerkingsactiviteiten moeten eerst aan een privacyeffectbeoordeling (PIA) worden onderworpen. Nieuwe gegevensverwerkingssystemen worden onderworpen aan technische en organisatorische maatregelen die privacyverhogend zijn (privacy by design) De actuele versie van de AVG Voluit heet het AVG-concept dat nu voorligt: INOFFICIAL CONSOLIDATED VERSION AFTER LIBE COMMITTEE VOTE PROVIDED BY THE RAPPORTEUR - 22 October 2013, REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - (Text with EEA relevance) THE EUROPEAN PARLIAMENT AND THE COUNCIL Gegeven de nog onvoltooide Brusselse procesgang is nog géén bijlage opgenomen met de teksten van de AVG. 20 Bijlage 4 "Doorbraak in ontwikkeling EU privacy Verordening", een artikel van Deloitte, geeft een uitgebreide update en bespreking van de actuele stand van zaken (oktober 2013), vanuit het perspectief van (MKB) bedrijven Aanvullende informatie In Bijlage 2, Bijlage 3 en Bijlage 5 vindt u aanvullende informatie bij de Meldplichtwet(en). Een bijzonder uitgebreid en gedegen bespreking vindt u achter deze link, een artikel van Advocatenbureau Houthoff Buruma (Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma). Hoewel uit 2013 is het niet op alle punten meer actueel, maar het bevat een historisch perspectief en behandelt de thematiek breed en zeer juridisch. Om redenen van copyright is van dit artikel slechts de link ernaartoe opgenomen: 20 Collega CIP-organisatie Privacy Management Partners heeft de laatste gepubliceerde versie op de site staan:

20 20 van 55 4 Wat moet u regelen? Het is gemakkelijk opgeschreven: hou incidenten bij, evalueer ze en handel zonodig. Dit lijkt business-as-usual voor organisaties die al jarenlang informatiebeveiliging moeten praktiseren volgens internationale standaarden. Toch vermoeden we dat veel van deze organisaties niet in staat zullen zijn van de ene dag op de andere aan de Meldplicht datalekken te voldoen. 4.1 Incidenten Als iemand een niet-encrypte laptop of smartphone met bedrijfsgegevens in de trein laat liggen en dat meteen aan de organisatie meldt, dan kan er meestal redelijk snel worden vastgesteld of er rekening moet worden gehouden met een meldplichtig datalek. Ook de evaluatie (wat is er kwijt en wie betreft het) is mogelijk betrekkelijk eenvoudig. Maar dit is een ideaal 'model-datalek'. Voor hetzelfde geld wordt op enig moment bij toeval duidelijk dat er vermoedelijk al jarenlang ongemerkt wordt rondgekeken in de bedrijfsgegevens als gevolg van een zeer goed verborgen gehouden hack, of soft- of netware die ondermaats is opgeleverd of ondeugdelijk is geïmplementeerd. Krijg dan het plaatje nog maar eens compleet. Beide uiteinden van dit incidentenspectrum en de varianten die daartussenin liggen kunnen nooit worden uitgesloten en zullen zich vroeger of later en bij herhaling voordoen. Verwijtbaarheid aan dergelijke incidenten op zich zal vanuit de wetgeving en de handhaving ervan niet snel aan de orde zijn. Maar wat wel moet worden beantwoord is de vraag wat de organisatie eraan doet om: de frequentie van dergelijke incidenten zo laag mogelijk te houden; de ontdekkingskans zo groot mogelijk te maken; de afwikkeling van een incident zo effectief en efficiënt mogelijk te doen zijn; verbeteringen aan te brengen om de kans op herhaling te verkleinen. Een efficiënte afwikkeling van een incident zorgt in ieder geval voor: bescherming van de data (stop het lek); bescherming van de getroffen personen (voorkom schade zoveel als mogelijk); vaak zéér onderschat: communicatie. Zo transparant mogelijk en naar iedereen die (vermoedelijk) betrokken is Accountability Beoordeling op al deze aspecten per incident en op 'over all' performance van de organisatie op deze punten zullen naar verwachting een grote rol spelen bij de handhaving van de nieuwe wetgeving en de vaststelling van de hoogte van de eventuele boete. 4.2 Wat moet gebeuren? Uit het lijstje in paragraaf 4.1 wordt al in grote trekken duidelijk wat er moet worden ingeregeld. De feitelijke implementatie zal per organisatie verschillen als gevolg van organisatie-complexiteit en keuzes naar aanleiding van risico-inschattingen. Maar in algemene termen valt te denken aan onderstaande maatregelen The human factor Zorg voor een optimaal beveiligingsbewustzijn binnen de organisatie en borg dat door voortdurende herhaling en bijstelling. Binnen de nauwere context van 'datalek-incidenten' betekent dat een scherp en gedeeld begrip van wanneer iets een 'incident' is en waarom het van belang is een incidenten te voorkomen en, als zij zich voordoen, te herkennen.

21 21 van 55 Bedenk ook dat incidenten zich in allerlei vormen kunnen voordoen en ook bijna overal in de organisatie kunnen voorkomen. Het is niet alleen de deur die openstaat of paperassen die 's avonds op verlaten bureaus rondslingeren. Het kan ook een collega zijn die, uit loslippigheid of opzettelijk, familieleden, kennissen of zelfs betalende klanten aan bedrijfsinformatie helpt: de eigen medewerkers van een organisatie zijn, al dan niet opzettelijk, statistisch verreweg de belangrijkste bron van datalekken. Het risico op meldplichtigheid vanwege de kans dat er persoonsgegevens in het spel zijn en de eventuele persoonlijke schade daaruit voortkomend, zal natuurlijk sterk afhangen van de mate waarin persoonsgegevens een rol spelen in de business van een organisatie. Maar het gaat erom een organisatiebreed gedeelde 'awareness' te creëren, inclusief verantwoordelijkheidsbesef en handelingsbereidheid, en dat desgevraagd te kunnen aantonen Techniek Zoals een organisatie inbraak- vocht en brandwerende bouwtechnische maatregelen neemt, zo moet dat ook in de ICT-architectuur gebeuren. Maar waar verzekeringsmaatschappijen op zeker moment een hoger hek of kwalitatief beter hang- en sluitwerk vereisen, ontbreekt dat aan ICTzijde. Veelal wordt gesproken van 'state of the art' status van voorzieningen 21. Maar wat is dat, en wie bepaalt wanneer iets dat niet meer is? En is het ook in alle gevallen nodig en heeft zo'n voorziening wel zin als er na installatie nauwelijks meer naar omgekeken wordt? Systematisch bestellen van gecertificeerde secure software is nog nauwelijks gemeengoed, evenals het voortdurend testen van de eigen voorziening op kwetsbare plekken. En dan de monitoring: veel organisaties hebben wellicht iets van een technische monitorfunctie, van betrekkelijk simpele routers/firewalls tot zeer gevoelige detectiesoftware op alle mogelijke aspecten van netwerkverkeer. Maar wordt dat optimaal benut en doet de organisatie er ook daadwerkelijk en slagvaardig wat mee? Technische voorzieningen zijn gemakkelijk in te kopen, maar lastig te optimaliseren. Zolang niet collectief wordt afgesproken wat 'state of the art' is, moeten we maar op het onderbuikgevoel van de security-officers en soortgelijke functionarissen vertrouwen en kunnen we over 'de techniek' vrijwel niets zeggen. Een ondergrens is misschien nog wel te bepalen, maar de bovengrens niet. Het probleem daarbij is dat voldoen aan de ondergrens vermoedelijk onvoldoende beveiliging betekent, en optimale beveiliging eveneens kan worden doorbroken. Het is dan ook de vraag wanneer een organisatie in dit opzicht ooit vanuit de wet verwijtbaar in gebreke kan worden gesteld Organisatie Deze component is eigenlijk de enige component die 'hard toetsbaar' overblijft. Voorziet de organisatie voldoende in de middelen en maatregelen om - daar zijn ze weer - deze zaken naar behoren te kunnen regelen: de frequentie van beveiligingsincidenten laag houden; de ontdekkingskans groot maken; efficiënte afwikkeling van incidenten; leren en verbeteren. 21 Vgl. art. 13 Wbp: "[De beveiligingsmaatregelen] garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau [ ]". 22 Anderzijds: in Groot Brittannië, met vergelijkbare wetgeving, worden door de toezichthouder wel degelijk en kennelijk veelvuldig boetes uitgedeeld wegens inadequate beveiliging (bron: Koen Versmissen).

22 22 van 55 Dit moet gerealiseerd worden in een cocktail van beleid, inrichting, processen, functionarissen, protocollen, (straf)maatregelen, geënt op risicoanalyses en regelmatig monitoring in (bijvoorbeeld) verantwoordingsaudits. Lijkt dit niet weer heel sterk op de praktijk van invoering en onderhoud van de geaccepteerde normenkaders als de Code voor Informatiebeveiliging, de ISO/NEN-normen, de BIR en soortgelijk? In die zin zou implementatie niet zo'n toer hoeven zijn, indien: de focus van reactief naar proactief wordt verlegd, en er veel meer aandacht komt voor internalisatie bij alle medewerkers i.p.v. het treffen van uitsluitend IT-gerelateerde informatiebeveiligingsmaatregelen. 4.3 De praktijk Laten we ervan uitgaan dat de drie aspecten uit de vorige paragrafen in hun algemene vorm op orde zijn: de organisatie 'weet' wat als incident moet worden bestempeld, zowel in de techniek als in de dagelijkse gang van zaken, heeft mensen, middelen en processen op hun plaats om meldingen te kunnen evalueren, te classificeren en af te kunnen wikkelen. Daaromheen heerst een cultuur van leren en verbeteren. Bewijsmateriaal voor audits kan gemakkelijk worden geleverd. In het kader van de aankomende wetgeving is het toch zaak om de kritische factoren in dit mooie plaatje nader te beschouwen Voorkómen van incidenten Gepasseerd station. Incidenten komen voor en dat voorkom je niet. In het kader van de eerder genoemde accountability zal een verantwoordelijke het niet kunnen laten bij deze verzuchting. Bedenk bijvoorbeeld dat veel datalekken worden veroorzaakt door onwetende of nonchalante medewerkers, en dat goede bewustwordingsactiviteiten een hoop ellende kunnen voorkomen. En komen datalekken geregeld voor, dan wordt het tijd om het algehele niveau van informatiebeveiliging eens kritisch onder de loep te nemen Weerbaarheid Organisaties die persoonsgegevens be- of verwerken moeten zich van voldoende technische middelen voorzien om zich tegen verlies of ongeoorloofde toegang te kunnen wapenen. Tot hoever dat moet gaan is vooralsnog een open vraag. Technische snufjes zonder adequate organisatorische maatregelen hebben geen zin. Maar een goed sluitend stelsel van (anti-) toegangsblokkerende en toegangsregulerende maatregelen, in de ICT-techniek, functioneel en gebouwtechnisch, is een vereiste waar je niet onderuit kunt. De beveiliging van de gebruikte software, netwerken en apparatuur moet zonder uitzondering op orde zijn. Dat betekent anno 2013 een aantal zaken waaraan nog maar betrekkelijk weinig organisaties volledig en op alle fronten zullen kunnen voldoen: 'geharde' systemen, encryptie van informatie en het transport daarvan, volledige controle op de bedrijfsmiddelen (zeker ook de mobiele bedrijfsmiddelen!) en hoe, waarvoor en wanneer ze gebruikt worden. En dat allemaal tegelijk en in samenhang met elkaar. Hoort daar ook controle op gedrag van het personeel? Kan de directie zich tegen het (eigen) organisatiebeleid in ipads aanschaffen? Ook in de personele sfeer moet voortdurende inspanning worden geleverd om het 'incidentbewustzijn' levend en scherp te houden. Hoe hoog de lat hier moet worden gelegd is wel invoelbaar, maar of de inspanningen voldoende zijn is effectief nauwelijks meetbaar Organiseren Bij dit alles hoort een voortdurende waakzaamheid en registratie van relevante gebeurtenissen. Relevante gebeurtenissen zijn in principe alle niet-gebruikelijke gebeurtenissen. Dat hoeft lang niet altijd een incident te zijn of te worden. Met de registraties moet wat worden gedaan: soms onmiddellijk en concreet, soms in de sfeer van trendbepalingen of risicoanalyse.

23 23 van 55 Of er aanleiding is om acuut in te grijpen moet worden beoordeeld. Veel in de techniek worden afgewikkeld op basis van regels, maar als daar doorheen wordt gebroken dan moet er worden geëvalueerd door daarvoor verantwoordelijke mensen, dat kan een enkeling zijn of een heel escalatietraject. Als er wordt ingegrepen, dan moet helder zijn wat er moet gebeuren. Voor de meest voorkomende gevallen moeten protocollen of draaiboeken klaarliggen. Er moeten mensen zijn die daar weet van hebben en met gezag kunnen handelen Ingrijpen en afwikkelen Als we voor de meest voorkomende zaken de dingen vooraf georganiseerd en eventueel ook geoefend hebben, dan wordt het nu wat gemakkelijker. Maar pas op: het kan nog wel een heleboel taai werk betekenen. En als we de wetgeving letterlijk nemen, dan moet dat allemaal binnen 24 uur gebeuren. 23 Stel: een beheerder of een routine-controleproces ontdekt 'iets geks' op zaterdagochtend, half 10. Weet de beheerder wat hij (onmiddellijk) moet doen? Wie let op het bliepje of de melding van het controlesysteem? Wie doet de eerste 'intake'? Waar is hij of zij op dat moment, hoe komt de juiste informatie beschikbaar? Het lijkt op de triage bij de Spoedafdeling van een ziekenhuis, behalve dat daar de juiste mensen doorgaans ter plaatse zijn, en het 'incident' ook. Indien er moet worden ingegrepen, of nader moet worden onderzocht, wie kunnen dat dan doen? Het is inmiddels uur. Tegen uur wordt duidelijk dat er een inbraakpoging aan de gang is. Groot alarm. De techneuten gaan full force aan de slag om de aanval af te slaan, een ander groepje deskundigen (zijn die al gearriveerd?) probeert te reconstrueren welke informatie is geraakt uur: het lukt nog niet om een volledig en scherp beeld te krijgen, maar dat er ook in de database is ingebroken staat wel vast. Staan er persoonsgegevens in die database? uur: crisisberaad. De directie was al op de hoogte gesteld (wie van de directie?) maar nu arriveren de voorzitter, en de portefeuillehouder ter plaatse en worden ze bijgepraat. Het hoofd Communicatie zeilt nog ergens op de Noordzee. Er moet een ingrijpend besluit worden genomen: de database bevat 1,2 miljoen records, waarin zich ook persoonsgegevens bevinden die van dien aard zijn dat betrokkenen er ernstige schade van zouden kunnen ondervinden als de gegevens misbruikt zouden worden. Wie heeft dit trouwens geconcludeerd? Maar goed, de betrokkenen moeten dus ook ingelicht worden. Dit besluit wordt genomen om uur en er worden pizza's besteld. Heeft er al iemand zicht op de werkelijke schade? Is de aanval afgeslagen? Tegen uur heeft iemand in min of meer begrijpelijke termen op papier gezet wat er is gebeurd en wat de mogelijke consequenties zouden kunnen zijn. Kan iemand daar nog aan toevoegen wat de 1,2 ontvangers van de mededeling zelf aan maatregelen moeten nemen? Het hoofd Communicatie zit ondertussen in de auto en had al vanaf zijn boot een crisisteam in de steigers gezet. Het valt echter nog niet mee om midden in de nacht een call-center te vinden dat nog vóór uur zondag gewapend met informatie en belscripts operationeel kan zijn. De volgende ochtend om een uur of 9 is het dan toch min of meer gelukt en wordt de laatste conceptversie van de officiële melding aan het CBP naar de bestuursvoorzitter g d. Een groot aantal mensen is ondertussen in de weer om de 1,2 miljoen briefjes te organiseren. Een slimmerikje merkt op dat de posterijen die op zondag echt niet allemaal gaan versturen. 23 De AVG stelt deze termijn vooralsnog op 72 uur.

24 24 van 55 Dit is een vereenvoudigd scenario van een zware inbreuk met grote schade. De hack van een tablet van een van de bestuursleden, waardoor de concurrentie ongemerkt heeft kunnen meeluisteren met de bestuursvergaderingen van de afgelopen maanden, is om allerlei redenen van een geheel andere orde. Vervelend en mogelijk beschamend, maar wellicht niet meldingsplichtig. En: onmiddellijk na ontdekking simpel op te lossen. In het andere geval moet je vrezen dat een 24 of 72 uren grens misschien niet eens gehaald wordt. 4.4 Ideeën voor implementatie Uit het voorbeeld in de vorige paragraaf (kader) moet in ieder geval duidelijk worden dat het loont, maar meer nog: dat het hoogst noodzakelijk is om vooraf erover nagedacht te hebben. Is het niet om chaotische taferelen te vermijden of slagkracht te genereren, dan is het waarschijnlijk verstandig: als je niet kunt aantonen dat je redelijkerwijze alert en voorbereid bent geweest, dan zal dat geen gunstig effect hebben op het oordeel van het CBP en de hoogte van de eventuele boete. Een goed idee voor implementatie van de maatregelen om aan de wet te kunnen voldoen, is de suggestie om te kijken naar en zo mogelijk gebruik te maken van reeds bestaande calamiteitenscenario's en escalatiedraaiboeken. Idealiter is dat dan inclusief het organiseren van het benodigde bewustzijn en inclusief de jaarlijkse updates en oefeningen. Het inbreukscenario uit de vorige paragraaf maakt dat eigenlijk ook al duidelijk. Organiseer in ieder geval ook een sluitende administratiepraktijk. Niet alle incidenten zijn meldplichtig, maar moeten wél geregistreerd worden. Mét de informatie waaruit blijkt dat er geen plicht of noodzaak tot melden kon worden geconcludeerd Beslisboom Analoog aan de calamiteitenscenario's kunnen we een stroomschema annex beslisboom maken. 24 Lid 8 van het wetsvoorstel Meldplicht datalekken: De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit overzicht bevat in elk geval de feiten en de gegevens, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.

25 25 van 55 Het schema grijpt terug op paragraaf en geldt specifiek datalekken waarbij persoonsgegevens zijn betrokken. Wanneer de Meldplicht Inbreuk op elektronische systemen een feit wordt, moet het schema worden aangepast. Alle inbreuken die aan de wettelijke vereisten voldoen moeten dan gemeld worden. De vraag "Betreft persoonsgegevens" krijgt dan als uitkomst: "Ook melden bij CBP" Toelichting bij de beslisboom Onderstaand kader dient als toelichting bij de beslisboom, maar is tevens een suggestie voor te hanteren begrippen of zienswijze bij toepassing van de wet: inbreuk: een constateerbare open toegang tot persoonsgegevens die er niet hoort te zijn. verloren gegaan: dermate aangetast dat ze niet meer bruikbaar zijn. definitief verlies: er is geen identieke back-up; de gegevens zullen zo goed mogelijk met behulp van betrokkene of derden gereconstrueerd moeten worden. zeer omvangrijk: betreffende een reeks van personen, te weten meer dan getal x of betreffende meerdere personen, eventueel < getal x, maar met een groot complex aan gegevens per persoon. aanmerkelijk risico: neen, als de ervaring leert dat dit niet zo is in het soort geval dat voorligt. van nadelige gevolgen: neen, als het lek alleen intern bleef; neen, als de 'exposure' aan onbevoegden gebeurde in een situatie van hulpverlening of dienstverlening aan de organisatie in relatie tot de inbreuk op de beveiliging. Zie voor deze problematiek ook Bijlage 3: Wanneer melden aan het CBP? 5 Open eindjes/conclusie De kernbegrippen in de melding-datalek-problematiek zijn: Incidentbewustzijn op orde Beveiliging op orde (human & tech) Administratie- en controleroutines op orde Detectie en herstel Slagvaardigheid/tijdigheid Inschattingen van schade Gemotiveerde notificatie aan CBP Notificatie & advies aan betrokkene Rapportage Op al deze punten zal de organisatie voldoende in control moeten zijn en slagvaardigheid van handelen moeten hebben. Dat moet niet alleen uit het oogpunt van goede dienstverlening en uit respect voor de klant wiens gegevens in vertrouwen zijn afgegeven, het is ook zeer aan te raden uit het oogpunt van accountability en mogelijke ingebrekestelling.

26 26 van 55 Maar er zitten blinde vlekken in. De meest opvallende betreffen de momenten dat een inschatting moet worden gemaakt: Wat is er kwijt: dat is lang niet altijd met zekerheid vast te stellen Wat betekent dat voor het bedrijf en voor de betrokken burger: hoe groot is de kans op misbruik? De wijze waarop en met welke criteria het CBP gaat handhaven is nog een black box. Hoe organisaties en ondernemingen zullen gaan reageren op de dreiging van de forse boetes is ook nog de vraag. Misschien wordt dit een te verzekeren bedrijfsrisico? In alle varianten zal er sprake zijn van verhoging van de administratieve lasten en de kosten van extra maatregelen, al is het maar de extra verzekering. Voor organisaties die er hun best voor willen doen zal het betekenen dat aanpassingen moeten worden gedaan in een deel van de werkprocessen en mogelijk het functiehuis of het personeelsbestand. Te slotte nog een aardige, actuele anekdote die aangeeft dat tussen wetgeving en werkelijkheid wel eens praktische bezwaren in de weg staan: Bron: ### CIP/RdB/dec2013