Actualiteiten ICT en recht: datalekken, privacy en beveiliging

Transcriptie

1 Actualiteiten ICT en recht: datalekken, privacy en beveiliging Arnoud Engelfriet / Kors Monster a.engelfriet@ictrecht.nl / k.monster@ictrecht.nl / Programma 16:00 16:45 Privacy onder de Wet bescherming persoonsgegevens 16:45 17:15 Privacy onder de aankomende Verordening 17:15 17:30 Pauze 17:30 18:00 De nieuwe Wet Meldplicht datalekken 18:00 18:30 Oefenen met praktijkcasussen datalekken 1

2 Wat is privacy? Privacy Het recht met rust gelaten te worden 2

3 Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene") Wpr Nederlandse wet Wet persoonsregistraties Richtlijn Europese richtlijn (1995) Wbp Wet bescherming persoonsgegevens (2000) Einde Safe Harbor (2015) Aanvulling meldplicht datalekken + boetes (2016) EV Algemene Verordening Gegevensbescherming (2018) 3

4 Persoonsgegevens Direct herleidbaar Indirect herleidbaar Mogelijkheid tot herleiding Bijzondere persoonsgegevens De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf. 4

5 Verwerking Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; Terminologie en rollen Betrokkene ( data subject ) Bepaalt doel en middelen van verwerking Verwerkt uitsluitend in opdracht van verantwoordelijke Verantwoordelijke ( controller ) Bewerker ( processor ) 5

6 Toestemming Uitvoering overeenkomst Wettelijke plicht Vitale belangen betrokkenen Uitvoering overheidstaak Dringend eigen belang (Wetenschappelijk onderzoek) Enkel de gegevens die noodzakelijk zijn! Grondslagen Toestemming Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. Art. 1(i) Wbp 6

7 7

8 Wettelijke plicht De gegevensverwerking [is] noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is. 8

9 Gebruik van BurgerServiceNummer Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Publiekrechtelijke taak Noodzakelijk / Geen alternatief Art. 24 Wbp Gerechtvaardigd eigen belang Toestemming vragen is niet realistisch Legitiem eigen belang Noodzakelijk voor belang Proportioneel gezien privacy van anderen Zo mogelijk opt-out College bescherming persoonsgegevens z Foto: Cory Doctorow, CC-BY-SA 9

10 Doelbinding Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld. Art. 7 Wbp Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Art. 9 Wbp Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Geen harde termijnen in Wbp Anonimiseren of verwijderen Uitzondering voor statistisch of wetenschappelijk onderzoek Bewaartermijn Art. 10 Wbp 10

11 Recht van informatie Worden er persoonsgegevens verwerkt? Zo ja, welke: Volledig overzicht Omschrijving van doel Categorieën van gegevens Informatie over herkomst/ontvangers Kopie dossier Art. 35 Wbp 11

12 Recht van correctie en verwijdering Verbeteren Aanvullen Verwijderen of afschermen Indien Feitelijk onjuist Onvolledig Niet meer ter zake dienend In strijd met Wbp verwerkt Art. 36 Wbp Het recht te worden vergeten in bijzondere gevallen kan afhangen van de aard van de betrokken informatie en de gevoeligheid ervan voor het privéleven van de betrokkene en van het belang dat het publiek erbij heeft om over deze informatie te beschikken, wat met name wordt bepaald door de rol die deze persoon in het openbare leven speelt. 12

13 Beveiliging De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. Art. 13 Wbp Beveiliging Technisch Sterke wachtwoorden Versleuteling Logging van inbraakpogingen Organisatorisch Toegangscontrole Specifieke bevoegdheden Toezicht bij gevoelige acties Audits op implementatie 13

14 Uitbesteden van verwerking Betrokkene Bepaalt doel en middelen van verwerking Verwerkt uitsluitend in opdracht van verantwoordelijke Bewerker Verantwoordelijke Bewerkersovereenkomst Art. 14 Wbp Inhoud bewerkersovereenkomst Introducerende bepalingen Doeleinden van verwerking Verplichtingen van bewerker Doorgifte persoonsgegevens Garanties Beveiliging Datalekmeldplicht Verzoeken van betrokkenen Intellectueel eigendom Vrijwaringen Geheimhouding Duur, verlenging en opzegging Wijzigen van de overeenkomst Rechtskeuze en forumkeuze Slotbepalingen 14

15 Doorgifte persoonsgegevens buiten EU Persoonsgegevens exporteren buiten EU mag alleen Met aparte toestemming Bij gebruik modelcontracten Indien ontvangend land als Safe Harbor aangemerkt Besluit EU: VS is safe harbor HvJ EU 9 oktober 2015: VS is absoluut niet safe NSA kijkt mee; Meer dan nodig is om nationale veiligheid te waarborgen; Geen gerechtelijke beroepsmogelijkheden; Dus geen passende maatregelen ter bescherming persoonsgegevens. 15

16 Modelcontracten als oplossing? Contractuele bepalingen om export naar buiten EU te regelen In tegenstelling tot Safe Harbor geen eis dat derde land voorziet in veilig niveau Gaat het EC weer haar boekje te buiten? De in de bijlage opgenomen modelcontract-bepalingen worden geacht voldoende waar-borgen te bieden voor de bescherming van de persoonlijke levenssfeer ( ) Blijft botsen met EU Charter 16

17 Sancties Elke onrechtmatige verwerking van persoonsgegevens Nederlandse wet Per 1 januari 2016 van kracht Boete tot per overtreding of 10% van de jaaromzet Boete tot voor het niet melden van een datalek Pas op te leggen nadat bindende aanwijzing niet is opgevolgd, tenzij opzettelijk of grof nalatig is gehandeld Boetebandbreedte Verwerking zonder grondslag Beveiligingsplicht Misbruik BSN Bewaartermijn Informatieplicht Doorgifte buiten EU Meldplicht datalekken Informeren over gebruik Recht van correctie Melden verwerking bij AP 17

18 Van Richtlijn naar Verordening Tijdlijn Privacyverordening 25 januari 2012: Commissie publiceert voorstel Voorjaar 2012: LIBE commissie laat zich adviseren Voorjaar 2013: adviescommissies stemmen over voorstel Herfst 2014: Raad van Ministers moet stemmen over tekst 12 maart 2014: Parlement neemt LIBE tekst over 21 oktober 2013: LIBE commissie reviseert voorstel Winter 2014: Codecisie/tripartiet overleg 2015: Publicatie in Official Journal 2017: Volledig van kracht op alle verwerkingen in EU 18

19 Opbouw privacyverordening I. Algemeen 1. Definities 2. Scope II. Principes 1. Rechtmatigheid 2. Grondslagen III.Rechten van betrokkenen 1. Transparantie 2. Informatieplichten 3. Inzage, correctie en verwijdering 4. Profiling 5. Restricties V. Plichten van verantwoordelijken 1. Bewerkers 2. Beveiliging 3. Data management 4. Codes of conduct VI.Afgifte derde landen VII.Toezichthouder 1. Taken en bevoegdheden 2. Samenwerking 3. Europese toezichthouder VIII.Sancties en aansprakelijkheid IX.Specifieke verwerkingen X. Delegatie en uitvoering XI.Invoering en evaluatie 1. Harmonisatie; Algemene verordening gegevensbescherming 2. Begrip persoonsgegevens wordt uitgewerkt; 3. Toestemming wordt strenger; 4. Meer rechten, zoals beperken en bezwaar maken 5. (in sommige gevallen) verplicht aanstellen van een FG; 6. Aanmelden gegevensverwerking vervalt; 7. Eisen aan bewerkersovereenkomst worden ingevuld; 8. In sommige gevallen moet een PIA uitgevoerd worden; 9. Privacy by design & default worden opgenomen in de wet; 10.Europese toezichthouder en verhoging boetemaximum. 19

20 Persoonsgegevens Personal data: information relating to an identified or identifiable natural person ('data subject') an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person Art. 4(1) PV Bijzondere persoonsgegevens revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of genetic data, biometric data in order to uniquely identify a person or data concerning health or sex life and sexual orientation.. Art. 9 PV 20

21 'genetic data' means all personal data relating to the genetic characteristics of an individual that have been inherited or acquired, which give unique information about the physiology or the health of that individual, resulting in particular from an analysis of a biological sample from the individual in question; Bijzondere persoonsgegevens 'biometric data' means any personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of an individual which allows or confirms the unique identification of that individual, such as facial images, or dactyloscopic data; 'data concerning health' means personal data related to the physical or mental health of an individual, including the provision of health care services, which reveal information about his or her health status. Toestemming any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed; Art. 4(8) PV 21

22 Recht van informatie Doelen van verwerking Soorten persoonsgegevens Ontvangers (ook in derde landen) Bewaartermijn Recht op correctie, verwijdering en klachten Uitleg over de logica bij geautomatiseerde verwerking Art. 15 PV Recht van data-export Verkrijgen van opgeslagen persoonsgegevens Elektronische kopie In algemeen gebruikt en interoperabel dataformaat Gebruik without hindrance van de verantwoordelijke Art. 18 PV 22

23 Recht van data-export Alleen als: Verwerking is gebaseerd op toestemming of uitvoering overeenkomst Verwerking geautomatiseerd plaatsvindt Er geen rechten van derden worden geschaad Art. 18 PV Restrictie Betrokkene kan restrictie van verwerking eisen als: Hij twijfelt aan nauwkeurigheid De verwerking onrechtmatig is De gegevens niet langer nodig zijn voor verwerking, maar wel voor rechten van betrokkene (juridische claims) Hij bezwaar heeft gemaakt tegen grondslag verantwoordelijke Art. 17a PV 23

24 Recht van bezwaar Bezwaar tegen verwerkingen voor Publieke taak Eigen dringend belang Profiling Direct marketing Recht explicitly melden, clearly and separately van andere informatie Na toetsing bezwaar verwerking staken Art. 19 PV Privacy by design / by default 24

25 Privacy Impact Assessment Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk for the rights and freedoms of individuals, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks. Art. 33 (1) PV Inhoud Een PIA bevat in ieder geval: Een omschrijving van de uit te voeren verwerkingen; Een beoordeling van noodzakelijkheid en proportionaliteit; Een risicoanalyse; Maatregelen ter preventie van de risico s Art. 33 (3) PV 25

26 Als uit de PIA blijkt dat er hoge risico s zijn die niet direct opgelost kunnen worden verplichte consultatie bij de toezichthouder. Binnen acht weken reageert de toezichthouder. Consultatie Art. 34 PV Register verantwoordelijke Bijhouden van een register voor de gegevensverwerking van de verantwoordelijke Bevat : wie de verantwoordelijke is en wat zijn contactgegevens zijn doeleinden van gegevensverwerking wie de betrokkenen zijn en welke categorieën persoonsgegevens er worden verzameld aan wie de gegevens worden verstrekt naar welke landen de gegevens worden gestuurd welke bewaartermijnen er worden gehanteerd een beschrijving van de beveiligingsmaatregelen Art. 28 (1) PV 26

27 Register bewerker Bijhouden van een register voor de gegevensverwerking van de bewerker Bevat : Contactgegevens bewerker de doeleinden van de gegevensverwerking naar welke landen de gegevens worden gestuurd een beschrijving van de beveiligingsmaatregelen Art. 28 (2a) PV Aanstellen data protection officer Verplicht om aan te stellen als: Verwerking plaatsvindt door overheidsorgaan Core activity bestaat uit verwerkingen die regelmatig en systematisch toezicht vereisen Er op grote schaal persoonsgegevens verwerkt worden Art PV 27

28 Taken data protection officer Informeren en adviseren Compliance, inclusief audits en trainingen aan staf Adviseren bij PIA s Meewerken met toezichthouder Aanspreekpunt toezichthouder Art. 37 PV Sancties privacyverordening Schriftelijke waarschuwing Boete tot het maximum van Verordening of 4% van jaaromzet 28

29 29

30 Datalekken Inbreuk op beveiliging Waardoor persoonsgegevens (Met grote waarschijnlijkheid) Worden misbruikt Dat tot nadeel leidt voor betrokkenen 30

31 Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene 31

32 Voorbeelden van beveiligingsincidenten Een kwijtgeraakte USB-stick; een gestolen laptop; een inbraak door een hacker; verzending van waarin de adressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; een malware-besmetting; een calamiteit zoals een brand in een datacentrum. Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene 32

33 Datalek? Verlies: Verlies houdt in dat niemand de persoonsgegevens meer heeft; Dat wil zeggen dat er ook geen complete en actuele reservekopie van de persoonsgegevens meer is. Onrechtmatige verwerking: Aantasting van persoonsgegevens (blokkeren/versleutelen); Onbevoegde kennisneming; Wijziging van persoonsgegevens; Verstrekking van persoonsgegevens; Ook als het niet uitgesloten kan worden! Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene 33

34 Melden aan AP Gegevens van gevoelige aard: Bijzondere persoonsgegevens (bv: politieke gezindheid); Gegevens over financiële of economische situatie betrokkene; Gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, werkprestaties, relatieproblemen); Gebruikersnamen, wachtwoorden en andere inloggegevens; Gegevens die kunnen worden misbruikt voor (identiteits)fraude (biometrische gegevens, BSN, kopie ID-bewijs). Aard en omvang van de inbreuk: Databases met persoonsgegevens van grote groepen mensen; Mate van gebruik van persoonsgegevens; Overheidsverwerkingen; Verlies NAW-gegevens in specifieke gevallen. 34

35 Tijdsdruk Een datalek dient onverwijld aan de Autoriteit Persoonsgegevens te worden gemeld; Dus: enige tijd om onderzoek te doen; Termijn start op het moment dat een (mogelijk) datalek bekend wordt (ook bij bewerker!); Te weinig tijd? Voorlopige melding doen. 72 uur! Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen? Datalek Melden aan AP Melden aan betrokkene 35

36 Geen meldplicht Wél meldplicht Een melding aan de betrokkenen is niet nodig als verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. Indien (waarschijnlijk) ongunstige gevolgen voor betrokkenen: Persoonsgegevens van gevoelige aard; Onrechtmatige publicatie; Aantasting in eer en goede naam; (identiteits)fraude; Discriminatie; Financiële schade. Let op: ook versleutelde data kan worden vernietigd of aangetast en daardoor ongunstige gevolgen voor de betrokkene hebben. Dus ook in dat geval moet de betrokkene daarover ingelicht worden. 36

37 Terminologie en rollen Betrokkene ( data subject ) Bepaalt doel en middelen van verwerking Verwerkt uitsluitend in opdracht van verantwoordelijke Verantwoordelijke ( controller ) Bewerker ( processor ) Verantwoordelijke is verantwoordelijk voor het doen van de melding tenzij anders afgesproken; Bewerker is verantwoordelijk voor het doen van een melding aan de verantwoordelijke; Bewerker is verantwoordelijk voor het doen van een melding indien het ziet op data waar hij zelf verantwoordelijk voor is. Wie doet de melding? 37

38 Bewerkersovereenkomst Wettelijk verplicht contract Onderlinge rolverdeling vastleggen Bewerker handelt uitsluitend in opdracht Onderwerp, doel en duur van de verwerking Bewerker neemt gepaste beveiligingsmaatregelen Inschakelen subbewerkers alleen met (aparte of generieke) toestemming Wissen/terugleveren van gegevens einde gegevensverwerkingsdienst Verantwoordelijke mag audit uitvoeren bij bewerker Bewerker meldt datalekken aan verantwoordelijke Bewerkersovereenkomst Afspraken over datalekken: Gaat de bewerker over alle incidenten rapporteren? Verstrekt de bewerker alle informatie die nodig is voor een melding aan de AP? Hoe informeert de bewerker over incidenten? Gebeurt dit tijdig? Gaat de bewerker zelf meldingen doen aan de AP? 38

39 Hoe zit het met bewerkers die in het buitenland zijn gevestigd? wanneer de bewerker gevestigd is in een andere lidstaat van de EU, [de verantwoordelijke] er zorg voor moet dragen dat de bewerker het recht van die lidstaat nakomt. Het 'recht van die lidstaat' heeft betrekking op de lokale verplichtingen op het gebied van informatiebeveiliging. 39

40 Doorgifte aan derde landen (buiten EER) 1. Als EC bepaald heeft dat land adequate privacybescherming heeft (Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israel, Jersey, Nieuw Zeeland, Uruguay, Zwitserland) 2. Als verantwoordelijke adequate safeguards heeft genomen Contract conform standaardclausules toezichthouder Privacy Shield Binding corporate rules 3. [ ] 40

41 41

42 De keten, een tijdsprobleem? Hoe gaat u met 72 uur om in de keten? Sub-bewerker dient een melding te doen bij de bewerker; Na ontdekking verantwoordelijke óf bewerker; Sub-bewerker valt buiten deze keten? Bewaren van de melding De verantwoordelijke houdt een overzicht bij van iedere inbreuk [ ] Lering trekken uit het datalek; Antwoord geven op vragen van betrokkenen; Alsnog melden aan betrokkenen, wanneer dit in eerste instantie niet nodig was; Bewijsmateriaal bij juridische procedures. Het overzicht hoeft niet openbaar te zijn! 42

43 Bewaren van de melding Een jaar informatie over de melding bewaren indien datalek waarschijnlijk ongunstige gevolgen voor betrokkenen heeft. Drie jaar informatie over de melding bewaren indien technische maatregelen adequaat zijn (of zwaarwegend belang). Evalueer periodiek (minimaal een maal per jaar) of het datalek alsnog aan de betrokkene gemeld moet worden. Wat te bewaren? Moment van ontdekking Moment van melding Genomen maatregelen Informatie verstrekt aan betrokkenen Preventiemaatregelen Mogelijke gevolgen datalek Boete Autoriteit Persoonsgegevens Elke onrechtmatige verwerking van persoonsgegevens Nederlandse wet Per 1 januari 2016 van kracht Boete tot per overtreding of 10% van de jaaromzet Boete tot voor het niet melden van een datalek Europese Privacyverordening: boete tot of 4% wereldwijde jaaromzet REPUTATIESCHADE! 43

44 Wat te doen tegen datalekken? 1. Maak beleid over interne doorgifte datalekken en besluitproces melding toezichthouder 2. Werk beleid uit tot concrete procedures en toets de uitvoering 3. Dwing bij leveranciers van tools garanties af over datalekken Verhoog hun aansprakelijkheid voor bugs die datalekken veroorzaken Laat ze opdraaien voor de kosten van een security audit 4. Herzie bewerkersovereenkomsten ten aanzien van datalekken 5. Audit jezelf Calamiteitenplan Wie vangt meldingen op? Welke informatie is nodig? Wie beslist over ernst? Wie beslist over melding bij toezichthouder? Hoe wordt dit alles vastgelegd? 44

45 Vragen? Kors Monster Juridisch adviseur, CIPP/E