UPDATE DATAPRIVACY EN MELDPLICHT

Transcriptie

1 UPDATE DATAPRIVACY EN MELDPLICHT De vernieuwingen in de dataprivacywetgeving zijn ruim een half jaar van kracht. Wat is de stand van zaken? Over de auteur Elsie Hijstek is kwaliteitscoördinator bij Zig Websoftware en op de hoogte van de laatste ins en outs op het gebied van informatiebeveiliging. Heb je naar aanleiding van dit document nog vragen. Aarzel dan niet om contact met haar op te nemen via of Copyright 2016, Zig Websoftware B.V.

2 Samenvatting Afgelopen januari zijn er enkele veranderingen in de wetgeving rond dataprivacy doorgevoerd, in het bijzonder de meldplicht datalekken. In een eerder infosheet vertelden wij je hier al over. In dit document willen we nader ingaan op de meldplicht en over de eerste ervaringen. Ook geven we je een handige checklist voor het onverhoopte geval dat je te maken krijgt met een datalek. De meldplicht en dataprivacy Deze veranderingen in de Nederlandse wetten zijn een voorbereiding op de Europese Dataprivacy wetgeving die in 2018 formeel wordt de EU heeft de diverse landen 2 jaar gegeven om hun wetgeving hierop aan te passen. De invoering van de meldplicht datalekken heeft als doel om bestaande wetten die waken over persoonsgebonden informatie te ondersteunen en waar nodig uit te breiden of aan te scherpen. Door een forse boete te zetten op verzuim van het melden van datalekken en gekoppeld daaraan het onvoldoende beschermen van persoonsgegevens hoopt de EU alle bedrijven en organisaties (dus ook de grote jongens) zover te krijgen dat ze de bescherming van persoonsgebonden informatie serieus nemen. Voorbeelden uit de praktijk Intussen is de meldplicht al ruim een half jaar van kracht. De eerste meldingen zijn intussen gedaan. Hoe werkt een en ander uit in de praktijk? Bewerkersovereenkomsten en checklist Het is van belang dat er goede afspraken worden gemaakt tussen de eigenaar van persoonsgegevens en de bewerkers van deze persoonsgegevens. Ook is het van belang om van tevoren na te denken over de stappen die gezet moeten worden wanneer je een bericht over een mogelijk datalek binnenkrijgt. DENK NU NA OVER DE NOODZAKELIJKE STAPPEN IN HET GEVAL VAN EEN MELDING, ONZE CHECKLIST HELPT DAARBIJ Nogmaals: zie het als een kans! We willen je nogmaals uitdagen om de meldplicht als een kans te zien en niet alleen als een bedreiging die juridisch afgedekt moet worden. Informatiebeveiliging moet een onderwerp van gesprek zijn binnen en buiten je organisatie. Door de meldplicht en de bijpassende boete is dit hét moment om ermee aan de slag te gaan. Laten we er samen voor zorgen dat de informatie over klanten op de juiste manier en veilig wordt gebruikt en dat daarbij alle betrokken partijen hun verantwoordelijkheid nemen! INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 2 van 11

3 Nieuwe elementen sinds 1/1/2016 Er zijn 3 elementen in de wetgeving die nieuw en/of uitgebreid zijn. 1. UITBREIDING VAN HET RECHT OM VERGETEN TE WORDEN; 2. DUIDELIJKE EN EXPLICIETE TOESTEMMING VOOR IEDER GEBRUIK VAN PERSOONSGEGEVENS; 3. DE MELDPLICHT ZELF! Voor een uitgebreide beschrijving van de afzonderlijke punten verwijzen wij je naar de vorige infosheet. Heb je die niet meer of heb je hem niet ontvangen? Mail dan naar: ehijstek@zigwebsoftware.nl INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 3 van 11

4 Meldplicht datalekken De meldplicht datalekken is een verplichting om alle situaties waarbij er een behoorlijke kans is dat er persoonsgegevens zijn gelekt binnen 2 werkdagen te melden bij de toezichthouder (Autoriteit Persoonsgegevens - AP). Een termijn van 2 werkdagen is écht kort. Het is daarom van belang om procedures klaar te hebben van de stappen die genomen moeten worden. Helemaal wanneer er sprake is van één of meerdere bewerkers. Maak daarom goede afspraken! Wat is een datalek? Er is sprake van een datalek bij een inbreuk op de beveiliging. Ook als persoonsgegevens (on)bedoeld zijn blootgesteld aan verlies of onrechtmatige verwerking is sprake van een datalek. Dit kan op verschillende vlakken plaatsvinden: Vernietiging; Wijziging; Inzage. Het doel van de meldplicht Schade voor de betrokkenen (de échte eigenaren van de persoonsgegevens, namelijk de mensen zelf) bij een datalek zo beperkt mogelijk te houden. Dit door: Meer openheid van organisaties af te dwingen wanneer er mogelijk persoonsgegevens gevaar hebben gelopen. Hierdoor kunnen eerder maatregelen worden getroffen om schade te beperken; Grote organisaties te dwingen dataprivacy serieus te nemen doordat de boetes zo hoog zijn dat ook deze organisaties ze niet zomaar kunnen wegwuiven. Het sturen van een Excelbestand met persoonsgegevens aan een verkeerde ontvanger is dus een datalek. Een dossier van een klant (met bijvoorbeeld getekende contracten) dat in de open haard valt ook. INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 4 van 11

5 Wanneer moet je een melding doen aan de toezichthouder (AP)? De meldplicht bepaalt dat ernstige datalekken binnen 2 werkdagen gemeld moeten worden bij de toezichthouder. In de tekst wordt verder omschreven hoe ernstig geïnterpreteerd moet worden. Iets is ernstig wanneer er een aanzienlijke kans is dat er gegevens zijn gelekt én het gaat om: Grote hoeveelheid data (bijvoorbeeld een bestand met alle adressen van de klanten van een woningcorporatie); Gevoelige gegevens, zoals inloggegevens; financiële gegevens; kopieën van identiteitsbewijzen, levensovertuiging, ziekte, etc. Wanneer data is gelekt die versleuteld is, dan moet dit toch gemeld worden aan de toezichthouder, maar niet aan de betrokkenen (ofwel degenen wiens informatie is gelekt). Wanneer de gelekte data niet is versleuteld, moet het ook aan de betrokkenen worden gemeld. Samengevat: Inbreuk op beveiliging Persoonsgegevens gelekt? JA Gegevens encrypted? JA Melden AP NEE Melden AP + betrokkenen (uw klanten) Ook wanneer niet aantoonbaar persoonsgegevens zijn gelekt, maar er een inbreuk op de beveiliging is geweest (bijvoorbeeld een hack) waarbij er een kans is geweest dat er persoonsgegevens zijn ingezien, ontvreemd, gewijzigd of vernietigd moet er bij de toezichthouder worden gemeld. Het sturen van een Excelbestand met persoonsgegevens (met bijvoorbeeld NAW, salaris) aan een verkeerde ontvanger is dus normaal gesproken een datalek dat zowel aan de AP als aan de betrokkenen gemeld moet worden. Mochten de gegevens in de Excel echter versleuteld zijn zodat de ontvanger er niets mee kan, dan hoeven de betrokkenen meestal niet ingelicht te worden. Het dossier van de klant dat in de open haard valt is wel een datalek, maar hoeft niet gemeld te worden bij de AP. INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 5 van 11

6 Onduidelijkheden? Er zijn nog veel onduidelijkheden rondom de meldplicht. Het is nog steeds niet echt duidelijk hoe aanzienlijke kans wordt geïnterpreteerd. Er is nog altijd sprake van een overgangsfase. Zo is het bijvoorbeeld niet duidelijk of er, wanneer de Excel uit het voorbeeld alleen NAW-gegevens bevat, gemeld moet worden. Er zijn al wel vele honderden meldingen gedaan bij de AP, maar daar is tot nu toe weinig over naar buiten gekomen. Zo is er op de proefmeldingen die zijn gedaan (bijvoorbeeld rond een ontdekte en meteen gerepareerde TYPO3-kwetsbaarheid uit april) nog geen reactie van de AP ontvangen. De AP heeft intussen een dwangsom opgelegd aan het bedrijf Bluetrace (Wifi-tracking). Deze dwangsom is pas opgelegd toen Bluetrace na aanpassingen ten gevolge van een melding nog steeds niet aan de regels rond dataprivacy voldeed. Actie! Hebben jullie de volgende acties al genomen? Nadenken over data Een kritische blik op alle data die wordt verzameld en bewaard is heel belangrijk. Niet alle informatie die je aan klanten vraagt bij een aanmelding hoeft ook bewaard te worden. Toch hebben we die neiging wel. Een kopie van het paspoort misschien eenmalig nodig bij aanmelding wordt jarenlang bewaard in het dossier. Toestemming voor gebruik gegevens Je moet je klanten duidelijk vertellen wat je met zijn gegevens doet. Dit mag bijvoorbeeld niet verstopt worden in vage formuleringen onderaan een aanmeldformulier. Vergeet ook niet te vermelden dat de gegevens mogelijk gebruikt kunnen worden om het systeem te testen en verbeteren. Daarnaast moet je als organisatie ook bepalen wat je doet in het geval de klant deze toestemming niet geeft. Scholen van medewerkers Medewerkers zijn vaak heel servicegericht. Ze proberen jouw klanten zo goed mogelijk te helpen en hun werk goed te doen. Daarbij zijn ze zich niet altijd bewust van de mogelijke gevaren. Het kopiëren van gegevens op een usb-stick om thuis nog even verder te werken, het klikken op een link, het doorgeven van een wachtwoord aan een collega: de intenties zijn goed, maar de gevolgen kunnen desastreus zijn. Bewust maken klanten Wanneer je klanten de mogelijkheid biedt om bestanden te uploaden, kunnen zij allerlei gevoelige informatie meesturen. Deze informatie komt vaak terecht op INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 6 van 11

7 systemen die iets minder beveiligd zijn dan die waarop de databases met de klantgegevens staan. Vertel je klanten dus (bijvoorbeeld met een pop-up) dat zij informatie als een BSN-nummer onleesbaar moeten maken voor ze een bestand opsturen. Afspraken maken - intern Het is van belang een aantal zaken goed te organiseren, zodat je goed bent voorbereid mocht het ooit tot een melding komen. Wie is intern de contactpersoon mocht het tot een melding komen? Wie moet geïnformeerd worden, wie neemt beslissingen? Wat zijn belangrijke beslissingsmomenten, welke procedures gaan gevolgd worden? Zie hiervoor ook de checklist datamelding. Afspraken maken - extern In het geval van een (mogelijk) datalek is het ook van belang dat er duidelijke afspraken zijn met leveranciers van software en systemen. Wie zijn de contactpersonen? Wat zijn de procedures? Bovendien moeten er met leveranciers die op enige wijze data verwerken (hier behoort ook het opslaan/bewaren van gegevens toe) bewerkersovereenkomsten worden afgesloten. Zig heeft een conceptvoorstel dat hiervoor gebruikt kan worden, dit zal met deze infosheet worden meegezonden. INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 7 van 11

8 Checklist (mogelijk) datalek Hierbij een checklist, zodat geen belangrijke stappen worden vergeten mocht je met een (mogelijk) datalek in aanraking komen. Meldplicht datalekken Opmerkingen Verzamel alle informatie op een plek Er zijn diverse datastromen, telefoon, , systeemmeldingen. Het is van belang dat al de informatie op één plek wordt bewaard. Onderzoek de melder Soms is er sprake van melders die eigenlijk niet serieus te nemen zijn. Bekijk of deze melder niet tot deze groep behoort. Onderzoek de melding Deze stap is belangrijk. Verzamel zoveel mogelijk gegevens, zodat zo duidelijk mogelijk wordt waar het om gaat. Het is hierbij ook belangrijk om de omvang van het probleem helder te krijgen. Neem contact op met bewerker(s) Wanneer (een deel van) het onderzoek door (een) bewerker(s) uitgevoerd moet worden, is het van belang om zo snel mogelijk contact met hen op te nemen. Maak duidelijke afspraken met de bewerker(s) Bijvoorbeeld over manieren en frequentie van terugkoppeling. Neem een beslissing of er sprake is van meldplicht Wanneer er onderzoek naar de melding is gedaan is het tijd om te besluiten of er sprake is van een verplichting tot melden bij de autoriteit en/of betrokkenen. Verantwoordelijke licht de Autoriteit Persoonsgegevens in Er is één contactpersoon richting de AP en dat is degene die verantwoordelijk is voor de beveiliging van persoonsgegevens. Bij een besluit tot melden licht deze de AP in. Je hebt een wettelijke plicht om een administratie bij te houden van alle mogelijke datalekken. Noteer bij elke inbreuk op de veiligheid de feiten en gegevens, de aard van de inbreuk en alle andere gegevens die in de kennisgeving naar de betrokkene(n) zijn opgenomen. Ook in het geval van een dubieuze melder is het wel zaak de melding nader te onderzoeken. Wanneer er sprake is van bewerkers kan het zijn dat de melding betrekking heeft op het gebied waar deze voor verantwoordelijk zijn. Gezien de korte tijd waarbinnen een melding moet worden gedaan is het van belang om telefonisch contact op te nemen. Het is aan te bevelen om bij voorbaat met bewerkers een bewerkersovereenkomst en stappenplan af te sluiten zodat hieraan gerefereerd kan worden. Het kan zijn dat er wel bij de Autoriteit Persoonsgegevens (AP) moet worden gemeld, maar niet bij de betrokkenen. Melden kan via een formulier op de website van de AP: datalekken.autoriteitpersoonsgegevens.nl INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 8 van 11

9 De melding aan de AP bevat de volgende gegevens: precieze datum en tijd van de ontdekking van het datalek een gedetailleerde beschrijving van het geconstateerde datalek de feitelijke én vermoedelijke gevolgen van de inbreuk voor verwerking van de persoonsgegevens de maatregelen die de organisatie heeft getroffen om de negatieve gevolgen t.g.v. het datalek te beperken de maatregelen die de organisatie heeft getroffen om datalekken te voorkomen de manier waarop meer informatie over het datalek kan worden ingewonnen Is er sprake van encryptie? Wanneer de gegevens technisch beschermd zijn bijvoorbeeld door encryptie hoeft vaak geen melding aan de betrokkenen te worden gedaan. Verantwoordelijke zorgt ervoor dat de betrokkene(n) worden ingelicht Wanneer er kans is dat het datalek ongunstige gevolgen heeft op de persoonlijke levenssfeer van de betrokkenen, moeten de betrokkenen onverwijld op de hoogte worden gesteld. De verantwoordelijke draagt hier zorg voor. De melding aan de betrokken bevat de volgende gegevens: aard van de inbreuk de gevolgen voor de verwerking van persoonsgegevens de mogelijke gevolgen voor de betrokkenen de maatregelen die worden geadviseerd om de negatieve gevolgen van de inbreuk te beperken de wijze waarop meer informatie over de inbreuk kan worden verkregen hoe u de betrokkenen verder op de hoogte houdt Het contact voor de AP is in principe altijd de verantwoordelijke voor de bescherming van persoonsgegevens. De AP kan wel besluiten dat er ondanks encryptie toch melding aan de betrokkenen moet worden gedaan. Het staat de organisatie vrij om zelf de vorm van communiceren te kiezen, maar het is wel van belang dat alle betrokkenen op de hoogte worden gebracht van het datalek en de mogelijke gevolgen. Zorg voor goede communicatielijnen naar de betrokkenen. Nazorg en evaluatie INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 9 van 11

10 Beknopte woordenlijst Autoriteit Persoonsgegevens (AP): Betrokkene Bewerker Datalek Dataprivacy-officer Eigenaar Gevoelige persoonsgegevens Persoonsgegevens Toestemming betrokkene voor verwerking Verwerking persoonsgegevens Voorheen het College Bescherming Persoonsgegevens (CBP), toezichthouder. Hier moet een eventuele melding worden gedaan. Degene waar het feitelijk om draait ofwel degene die beschreven wordt door de verzameling persoonsgegevens (bijvoorbeeld huurder Jan Janssens, geboren., BSN.). De partij die in opdracht van de eigenaar van de persoonsgegevens iets met de persoonsgegevens doet. De definitie is hier nog onduidelijk, volgens sommige definities is er al sprake van bewerking wanneer de gegevens alleen worden opgeslagen (voorbeeld Zig, Solvinity). Omstandigheid waarbij persoonsgegevens verloren raken of worden verwerkt zonder toestemming. Geeft vorm en bewaakt het privacy beleid binnen een organisatie. Is verantwoordelijk voor de uitvoering en handhaving van het vastgestelde privacy beleid. Een dataprivacy-officer is verplicht voor organisaties die meer dan 250 werknemers hebben óf die eigenaar zijn van persoonsgegevens van meer dan personen. De partij die de persoonsgegevens met een bepaalde reden heeft verzameld (bijvoorbeeld een woningcorporatie). Gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Mogen alleen onder zeer strenge voorwaarden worden verwerkt (bijvoorbeeld gegevens die iets zeggen over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden, seksuele leven, BSN). Alle informatie over een persoon, óók gegevens die indirect iets over iemand zeggen (naam- en adresgegevens, adressen, pasfoto's, vingerafdrukken en bijvoorbeeld IP-adressen). De betrokkene moet ondubbelzinnige toestemming geven (geïnformeerde toestemming, hij moet dus weten waar hij ja tegen zegt) voor de verwerking van zijn gegevens; Elke handeling met betrekking tot persoonsgegevens (bijvoorbeeld: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens). INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 10 van 11

11 Over Zig Zig staat voor Zekerheid, Innovatie en Gemak. Sinds 2001 maken we digitale oplossingen voor woningcorporaties die ervoor zorgen dat corporaties online slimmer kunnen samenwerken. Zowel met elkaar als met huurders en woningzoekenden. Ons team van ruim 60 specialisten ontwikkelt gebruiksvriendelijke, interactieve en innovatieve webapplicaties. Digitale oplossingen die woningcorporaties helpen online succesvol te worden. Inmiddels maken al ruim 1 miljoen Nederlanders met succes gebruik van onze oplossingen. En we groeien nog steeds. Links CPB en in het bijzonder: INFOSHEET September 2016 Update dataprivacy & meldplicht Pagina 11 van 11