MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Transcriptie

1 MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

2 Inleiding Dat bedrijven voorzichtig moeten omgaan met gegevens van personen is niet nieuw. Sinds 1 nuari 2016 is wél nieuw de verplichting om datalekken te melden bij de Autoriteit Persoonsgegevens. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. Wanr persoonsgegevens onvoldoende zijn beschermd kan dit grote gevolgen hebben voor de betrokken persoon, bijvoorbeeld identiteitsfraude, oplichting of andere vormen van misbruik. Ook is nieuw dat de Autoriteit Persoonsgegevens (hoge) boetes kan opleggen aan overtreders van de privacyregels. Met name door de invoering van deze boetebevoegdheid wordt veel aandacht besteed aan de nieuwe regelgeving. Hoe gaat uw onderneming om met persoonsgegevens? Heeft u deze informatie goed beveiligd? En als er sprake is van een lek in de beveiliging, hoe gaat u daarmee om? In dit whitepaper praat ik u graag bij. In dit whitepaper sta ik stil bij de volgende vragen: 1. is de meldplicht datalekken uit de Wbp op mij van toepassing? 2. wanr is er sprake van een datalek? 3. wanr moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? 4. wanr moet het datalek worden gemeld aan de betrokkene? Vraag 1: is de meldplicht datalekken uit de Wbp op mij van toepassing? Om te beoordelen of een datalek moet worden gemeld, is allereerst van belang de vraag of de Wbp op u van toepassing is. Deze vraag wordt beantwoord aan de hand van drie subvragen. Stap a: is er sprake van verwerking van persoonsgegevens? Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare persoon. Enkele voorbeelden zijn: Naam en adresgegevens Burger Service Nummer Gebruikersnamen en wachtwoorden Gegevens over godsdienst, politieke voorkeur of gezondheid Etc. Verwerking van persoonsgegevens kan op vele manieren. Hieronder valt in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, het afschermen, uitwissen of vernietigen van gegevens. Stap b: ben ik de verantwoordelijke? De verantwoordelijke is degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1, sub d, Wbp). Het gaat hierbij om de vraag wie uiteindelijk bepaalt welke verwerking er 2 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

3 plaatsvindt van welke persoonsgegevens en voor welk doel. Stap c: is de Wbp van toepassing op de verwerking? In de wet worden bepaalde verwerkingen buiten toepassing gelaten. Deze uitsluitingen zijn echter zeer specifiek, bijvoorbeeld indien de gegevens uitsluitend worden gebruikt voor persoonlijke of huishoudelijke doeleinden. Worden deze drie vragen met beantwoord, dan is de meldplicht uit de Wbp op u van toepassing. Vraag 2: is er sprake van een datalek? In deze paragraaf bespreek ik wanr sprake is van een datalek. Stap a: is er sprake van een inbreuk op de beveiliging? Er is sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Hierbij kan worden gedacht aan: het kwijtraken van een USB-stick; diefstal van een laptop; inbraak door een hacker; een malware-besmetting; een calamiteit zoals een brand in een datacentrum. Stap b: zijn bij de inbreuk persoonsgegevens verloren gegaan of kan er redelijkerwijs niet worden uitgesloten dat er persoonsgegevens onrechtmatig zijn verwerkt? Verlies Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan of als onrechtmatige verwerking niet kan worden uitgesloten. Verlies houdt in dat de persoonsgegevens er niet meer zijn en er ook geen (reserve)kopie beschikbaar is. Onrechtmatige verwerking Van onrechtmatige verwerking kan sprake zijn in geval van: aantasting van de persoonsgegevens; onbevoegde kennisneming; wijziging; of verstrekking. Als redelijkerwijs niet kan worden uitgesloten dat sprake kan zijn van onrechtmatige verwerking, dan moet de inbreuk worden beschouwd als een datalek. Worden deze twee vragen met beantwoord, dan is er sprake van een datalek. Vraag 3: moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? Niet elke datalek hoeft te worden gemeld aan de Autoriteit Persoonsgegevens. Een inbreuk hoeft alleen te worden gemeld als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen of ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 3 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

4 Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Kwalitatief ernstig: bijzondere persoonsgegevens (vb. godsdienst, ras, politieke gezindheid, gezondheid, seksuele leven, strafrechtelijke persoonsgegevens etc.); gegevens over de financiële of economische situatie van de betrokkene (vb. schulden, salaris, betalingsgegevens); gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (vb. gokverslaving, prestaties op school, werk- of relatieproblemen); gebruikersnamen, wachtwoorden en andere inloggegevens; gegevens die kunnen worden misbruikt voor (identiteits)fraude. Kwantitatief ernstig, bijvoorbeeld: veel persoonsgegevens per persoon; gegevens van grote groepen betrokkenen. Als bijlage 1 is een lijst met voorbeelden genoemd van gebeurtenissen die wel onder de meldplicht vallen. De Autoriteit Persoonsgegevens heeft een webformulier beschikbaar gesteld waarmee datalekken kunnen worden gemeld ( Vraag 4: moet het datalek worden gemeld aan de betrokkene? De betrokkene is degene op wie de persoonsgegevens betrekking hebben. De laatste vraag is of ook de betrokkene moet worden gemeld dat er een datalek is geweest met zijn persoonsgegevens. Hiervoor worden drie aanvullende vragen gesteld. Stap a: biedt de toegepaste cryptografie of andere beschermingsmaatregelen voldoende bescherming? Als er passende technische beschermingsmaatregelen zijn genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor iedereen die geen recht heeft op kennisname, dan hoeft geen melding te worden gedaan. Dit is bijvoorbeeld het geval bij encryptie of hashing. Vragen die bij beoordeling aan de orde komen zijn: zijn de persoonsgegevens blootgesteld aan vernietiging of aantasting? waren alle persoonsgegevens versleuteld op het moment dat de inbreuk plaatsvond? is de versleuteling adequaat? is het restrisico acceptabel? Ook andere technische beschermingsmaatregelen kunnen worden toegepast, bijvoorbeeld remote wiping (op afstand wissen van gegevens). 4 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

5 Stap b: zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene? Het kan hierbij gaan om schade van materiële of immateriële schade. Bij dit laatste wordt gedacht aan: onrechtmatige publicatie; aantasting in eer en goede naam; identiteitsfraude; discriminatie, etc. Als er persoonsgegevens van gevoelige aard zijn gelekt, dat zal meestal niet alleen moeten worden gemeld bij de Autoriteit Persoonsgegevens, maar ook bij de betrokkene. Stap c: zijn er zwaarwegende redenen om de melding aan de betrokkene achterwege te laten? Zwaarwegende redenen die maken dat het noodzakelijk is om melding achterwege te laten kunnen bijvoorbeeld zijn: in verband met bescherming betrokkene (bijv. hulpvragen die kinderen buiten medeweten van ouders hebben gedaan); in verband met rechten en vrijheden verantwoordelijke (bijv. tijdens de overname van een onderneming). Aan de hand van deze stappen beoordeelt u of het datalek ook aan de betrokkene moet worden gemeld (bijlage 2). is het van belang om de beveiliging goed te organiseren. Hierbij gaat het niet alleen om de beveiliging van bijvoorbeeld het kantoorpand en de (fysieke) dossiers en informatie, maar ook om de beveiliging van de ICT-middelen. Ook dient u de medewerkers goed te instrueren, het is gebleken dat de meeste datalekken het gevolg zijn van (bewuste of onbewuste) handelingen van persol. Tot slot de tip: wees voorbereid. Zorg dat u en uw medewerkers weten wat er te doen staat bij een gebrek in de beveiliging, bijvoorbeeld in de vorm van een protocol. Een korte samenvatting: hoe beoordeelt u wat te doen bij een datalek? Vraag 1: is de meldplicht datalekken uit de Wbp op mij van toepassing? Vraag 2: is er sprake van een datalek? Vraag 3: moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? Vraag 4: moet het datalek worden gemeld aan de betrokkene? Conclusie De regelgeving met betrekking tot de bescherming van privacy is niet eenvoudig. Indien u werkt met persoonsgegevens, dan Mr. drs. R. (Rianne) Eringa info@zandvoort-legal.nl 5 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

6 Advocaten team Over Van Zandvoort Legal We zijn uw advocaat, juridisch adviseur, business coach en mediator. We hebben een uitgebreid track record in juridische zaken en zullen onze toga nooit verloochenen. Dáár ligt immers onze basis. Maar boven alles zijn we ondernemer. Zo voelen we ons, zo denken we, zo handelen we. En dat merkt u. We spreken duidelijke taal, geven heldere adviezen en treden adequaat op. U wilt immers verder, het liefst zo snel mogelijk. Wordt u geconfronteerd met een acuut juridisch probleem? Dan pakken we dat daadkrachtig op. Maar nog liever kijken we hoe we problemen kunnen voorkómen. Dat bespaart u namelijk veel tijd, geld en energie. Contactgegevens Van Zandvoort Legal Bram van den Berghstraat JT te Oss Website: Telefoon: info@zandvoort-legal.nl 6 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

7 Bijlage 1: voorbeelden van gebeurtenissen Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan ) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden.

8 Bijlage 2: stappenplan beoordeling datalek Is er sprake van een inbreuk op de beveiliging? (1) Dit is geen datalek Zijn bij de inbreuk persoonsgegevens verloren gegaan? (2) Kan er redelijkerw ijs uitgesloten w orden dat er persoonsgegevens onrechtmatig zijn verwerkt (3) Dit is geen datalek Dit is een datalek Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van Het datalek moet gemeld w orden aan de AP Het datalek hoeft niet gemeld te w orden aan de AP Biedt de toegepaste cryptografie voldoende bescherming? (5) Het datalek hoeft niet aan de betrokkene gemeld te w orden. Bieden de andere technische beschermingsmaatregelen Zal het datalek w aarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de Zijn er zw aarwegende redenen om de melding aan de betrokkene Het datalek met aan de betrokkene