Meldplicht Datalekken

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Meldplicht Datalekken"

Transcriptie

1 Meldplicht Datalekken Auteur(s): Project Moore in opdracht van SURF Versie: 2.0 Datum: Mei 2015 Moreelsepark EP Utrecht Postbus DA Utrecht ING Bank NL54INGB KvK Utrecht BTW NL B01

2 Meldplicht Datalekken Inhoudsopgave 1. Inleiding Het melden van een datalek Stappenplan voorbereiding meldplicht datalekken Veel gestelde vragen... 9 Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op

3 Dit document Meldplicht Datalekken is een handreiking voor de instellingen die behoren tot de doelgroep van SURF. Het document bevat een stappenplan dat de instellingen kunnen gebruiken bij hun voorbereiding op de meldplicht waardoor zij compliant met de toekomstige wetgeving kunnen worden. Het stappenplan benadert het vraagstuk vanuit de optiek van integrale veiligheid en benadrukt daarom de taken en verantwoordelijkheden voor verschillende functionarissen binnen de organisaties van de doelgroep. Ter informatie is een korte vraagbaak opgenomen waarin SURF uitlegt wat de meldplicht inhoudt en waarin de antwoorden op de belangrijkste vragen over datalekken en de meldplicht zijn te vinden. De teksten in dit document zijn gebaseerd op het Voorstel van wet Wijziging Wet bescherming persoonsgegevens (Meldplicht datalekken) en de derde Nota van Wijziging van 9 februari /12

4 1. Inleiding Geregeld lezen we in de media dat gegevens van werknemers, studenten of patiënten letterlijk op straat liggen;; dossiers die worden aangeboden als oud papier, een gestolen smartphone of een verloren USBstick. Als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben spreken we van een datalek. Het risico op datalekken wordt steeds groter omdat onze persoonsgegevens in steeds meer databanken en/of op dragers zijn opgeslagen. Er zijn verschillende categorieën datalekken denkbaar;; bepalend voor de reikwijdte van wetswijziging is dat sprake moet zijn van een inbreuk op een beveiligingsmaatregel en dat er ernstige nadelige gevolgen zijn voor de privacy van betrokkenen. Een datalek kan nadelige gevolgen hebben voor persoonlijke levenssfeer van betrokkenen doordat de weggelekte gegevens oneigenlijk gebruikt kunnen worden. Identiteitsfraude is hiervan een voorbeeld maar ook kan gedacht worden aan ongewenste profilering of doorbreking van bewust gekozen anonimiteit. Om ernstige nadelige consequenties voor de bescherming van persoonsgegeven te beperken is het wetsvoorstel Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken) ingediend, en op 26 mei 2015 aangenomen. Deze meldplicht draagt bij aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Na overleg met diverse partijen heeft het Ministerie van Veiligheid en Justitie in april 2014 de wetswijziging aangepast waardoor de meldplicht is versoepeld. Door deze aanpassingen beoogt de wetgever de bepalingen over de meldplicht te verduidelijken en te vereenvoudigen. Daarnaast moeten de aanpassingen zorgen voor een beter evenwicht tussen de belangen die zijn gediend met een goede bescherming van persoonsgegevens en de administratieve en nalevingskosten die met een meldingsverplichting gepaard gaan. Naar verwachting zal de wetswijziging per 1 januari 2016 in werking treden. De wetswijziging introduceert een verplichting voor de verantwoordelijke om datalekken te melden. Hierdoor moeten onderwijs- en onderzoeksinstellingen die persoonsgegevens verwerken straks bepaalde inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens rapporteren aan zowel aan het College bescherming persoonsgegevens (Cbp) als aan de betrokkenen. Als een instelling hieraan niet voldoet riskeert zij een hoge boete die kan oplopen tot maximaal euro (geldboete van de zesde categorie van art. 23 lid 4 Wetboek van Strafrecht). De meldplicht in de wetswijziging heeft alleen betrekking op doorbrekingen van de maatregelen voor de beveiliging van persoonsgegevens. De meldplicht staat dus in nauw verband met de beveiligingsverplichting van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) op basis waarvan een verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Door het Cbp zijn richtsnoeren gepubliceerd die uitleggen hoe het College bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. De wetgever streeft een geclausuleerde meldplicht na: alleen die inbreuken die ernstige nadelige gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens moeten bij het Cbp worden gemeld. Door deze clausulering worden inbreuken met geringe nadelige gevolgen voor de bescherming van persoonsgegevens uitgezonderd van de meldplicht. De toekomstige Europese Privacy Verordening kent ook een meldplicht voor datalekken;; de invoering meldplicht datalekken in Nederland loopt vooruit op de regelgeving die op dit moment in Brussel wordt voorbereid. 4/12

5 2. Het melden van een datalek Door een wijziging van de Wbp (invoering artikel 34a) wordt een algemene meldplicht datalekken voor alle organisaties in de publieke en private sector ingevoerd. Een onderwijs- of onderzoekinstelling is straks verplicht een datalek te melden die ernstige nadelige gevolgen voor de privacy van de betrokkenen heeft. De meldplicht geldt voor de verantwoordelijke zoals deze in de Wbp is gedefinieerd. Betrokkenen zijn de personen van wie de persoonsgegevens zijn gelekt. Omdat er sprake is van een hoge sanctie bij niet naleving van de meldplicht heeft dit een directe relatie met de governance van de instelling. Zodra het datalek bekend is, moet de instelling het incident melden bij het Cbp. De instelling moet hierbij een inschatting maken van de ernst van de nadelige gevolgen voor de bescherming van de persoonsgegevens;; zij hoeft niet het daadwerkelijk gebleken ernstig misbruik hiervan te beoordelen. De instelling moet het datalek ook melden aan de betrokkenen (zoals studenten, (tijdelijke) werknemers van de instellingen, stagiaires, en/of patiënten) als de inbreuk op de verwerkte persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. De instelling zal bij een melding aan het Cbp moeten aangeven of zij van plan is om ook de betrokkenen van de inbreuk in kennis te stellen. Het Cbp kan deze melding aan betrokkenen zo nodig afdwingen. Melding aan de betrokkenen kan achterwege blijven als de betreffende persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. Volgens het Cbp geeft een passende versleuteling van persoonsgegevens bij een beveiligingslek geen gevaar voor ernstige nadelige gevolgen voor de privacy van betrokkene. De instelling is verantwoordelijk voor de beoordeling of voldaan is dit het criterium van onbegrijpelijkheid of ontoegankelijkheid voor derden. Indien hier twijfels over zijn is melding aan het Cbp aan te raden. Ook is de verantwoordelijke verplicht alle lekken die ernstig genoeg waren om aan het Cbp te moeten melden te documenteren. Dit overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk en de tekst van kennisgeving aan de betrokkene(n). Verder rust op de onderwijsinstelling de verplichting om in de contracten met (IT-)leveranciers een vergelijkbare meldplicht op te nemen, die erop neerkomt dat deze leveranciers de instelling informeren indien sprake is van een datalek. Het Juridische Normenkader Cloudservices voor het hoger onderwijs in Nederland geeft voorbeelden van bepalingen die hiervoor gebruikt kunnen worden 1. Bij het niet voldoen aan bovengenoemde verplichtingen kan het Cbp een boete opleggen van maximaal EUR Dit is een aanzienlijke uitbreiding van de huidige boetebevoegdheid van het College. In alle gevallen zal het Cbp, behoudens opzettelijk handelen of ernstige verwijtbare nalatigheid, eerst een bindende aanwijzing geven alvorens een boete op te leggen. Daarin zal het Cbp een concrete aanwijzing geven aan de verantwoordelijke om binnen een bepaald termijn de overtreding (verzuim van melding van een datalek) gedeeltelijk of geheel te herstellen. Pas als die termijn verstreken is en de bindende aanwijzing niet is opgevolgd kan het Cbp overgaan tot het opleggen van bestuurlijke boete. Let op! Ingevolge art. 5:1 lid 2 en 3 van de Algemene Wet Bestuursrecht kan de bestuurlijke boete zowel aan de overtreder (doorgaans de verantwoordelijke) als aan een medepleger (bijvoorbeeld een bewerker, feitelijke opdrachtgever of feitelijke leidinggevende) worden opgelegd. 1 Juridische Normenkader Cloudservices Hoger Onderwijs Definitieve versie /12

6 Om te beoordelen of een instelling een datalek moet melden, moet de instelling alle van de volgende drie vragen bevestigend beantwoorden: 1) Is er sprake van een inbreuk op de beveiligingsmaatregelen (een datalek)? 2) Zijn de verwerkte persoonsgegevens daardoor blootgesteld aan verlies of onrechtmatige verwerking? 3) Heeft deze blootstelling geleid tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens of de privacy van de betrokkenen? Bij de beantwoording van de eerste vraag moet niet alleen gedacht worden aan actieve handelingen om de beveiliging te doorbreken zoals hacken van bestanden maar moet ook diefstal of verlies van dragers waarop persoonsgegevens zijn opgeslagen worden meegenomen. Wanneer gegevens zodanig zijn beveiligd dat het redelijkerwijs is uitgesloten dat een datalek kan leiden tot kennisname van persoonsgegevens door onbevoegden kan kennisgeving aan het Cbp en betrokkene achterwege blijven. Blootstelling aan ernstige nadelige gevolgen in de vorm van onrechtmatige verwerking moet objectief en naar feitelijke omstandigheden van het geval worden vastgesteld. Een richtlijn bij de beantwoording van de laatste vraag zijn vooral aard en omvang van de inbreuk van belang, de aard van de gelekte persoonsgegevens en de mate waarin technische beschermingsmaatregelen zijn getroffen ten aanzien van de desbetreffende persoonsgegevens. Het gaat hierbij om een inschatting van de ernst van de gevolgen. In de wetswijziging zelf, is nog niet helemaal uitgekristalliseerd wanneer er wel aan het Cbp maar niet aan betrokkenen gemeld moet worden. Het Cbp heeft aangegeven hier voor in werking treding van de wijziging richtsnoeren voor vast te stellen.. 6/12

7 3. Stappenplan voorbereiding meldplicht datalekken De onderwijsinstelling kan zich als volgt voorbereiden op de meldplicht datalekken: Inventariseer waar in de onderwijs- en onderzoeksorganisatie welke gegevens worden verwerkt. Oftewel, breng de datastromen van de organisatie in kaart. Let daarbij op gevoelige gegevens die worden verwerkt zoals bijvoorbeeld medische en etnische gegevens van studenten en medewerkers. Denk ook aan de gegevens die in het kader van wetenschappelijk onderzoek worden verwerkt. Neem de huidige beveiligingsmaatregelen onder de loep. Inventariseer de mogelijke risico s van verlies van gegevens en pas waar nodig het beveiligingsbeleid aan. Basis voor deze risicoanalyse kan het SURFnet model Privacy Impact Assessment 2 of de Hoger Onderwijs Referentie Architectuur (HORA) zijn waar al in staat aangegeven welke gegevensentiteiten vertrouwelijke gegevens bevatten. Opstellen duidelijke interne procedure (actieplan);; Zorg voor een procedure waaruit duidelijk blijkt wie de verantwoordelijke is en welke afdeling/functionaris betrokken moet worden indien een datalek wordt geconstateerd. Denk hierbij aan het bestuur of hun gemandateerde eigenaar van de gegevens, de functionaris gegevensbescherming, de veiligheidsfunctionaris, de juridische afdeling en niet te vergeten de afdeling communicatie. Beschrijf hierbij de rollen en taken van deze afdelingen/functionarissen en sluit hierbij aan op bestaande processen binnen de instelling. Zo zou bijvoorbeeld de melding van een datalek overeen kunnen komen met de afhandeling van meldingen in het kader van Computer Security Incident Response Teams (CSIRT). In de procedure moet in ieder geval worden geregeld aan wie een datalek intern wordt gemeld, welke maatregelen door wie binnen welke termijnen moeten worden genomen en hoe het datalek naar buiten toe wordt gecommuniceerd. Indien er een functionaris gegevensbescherming aanwezig is moet deze in ieder geval in kennis gesteld worden. Een communicatieplan voor het naar buiten brengen van de melding zal hier ook deel van uitmaken. Denk er verder over na of het datalek gemeld moet worden bij de verzekering en of er een advocaat ingeschakeld moet worden. Zorg ook voor voldoende interne training met betrekking tot deze procedure. Zorg voor een strikt beleid met betrekking tot het verwerken van persoonsgegevens. Hiervoor kunt u gebruik maken van het SURFnet model privacy beleid 3. Stel richtlijnen op voor het opslaan van persoonsgegevens door werknemers/studenten op draagbare apparatuur. Het opstellen van een protocol inclusief voorbeeldbrieven voor melding aan het Cbp en betrokkenen kan hier eveneens deel van uitmaken;; Inventariseer de contracten met de bewerkers en zorg dat die waar nodig worden aangepast. Neem de verplichting op dat de bewerker onverwijld een melding aan de organisatie moet doen als er bij hem een datalek heeft plaatsgevonden. Vraag aan de bewerker een beschrijving van de gevolgen van de inbreuk en de maatregelen om de gevolgen te verhelpen. Spreek duidelijk met de bewerker af wie bepaalt of een datalek wel of niet meldingsplichtig is (bij voorkeur de instelling). Maak ook duidelijk welke datalekken gemeld moeten worden (dit zijn bij voorkeur alle incidenten en niet alleen de meldingsplichtige beveiligingsincidenten). Regel daarnaast hoe 2 Model privacy impact assessment en PIA risico formulier, versies december 2014, https://www.surf.nl/themas/beveiliging/beleidsondersteuning-privacy/implementatie-algemene-verondeninggegevensbescherming-avg/privacy-impact-assessment-pia/index.html 3 Model Beleid Verwerking Persoonsgegevens, versie januari 2015, https://www.surf.nl/themas/beveiliging/beleidsondersteuning-privacy/implementatie-algemene-verondeninggegevensbescherming-avg/privacy-modelbeleid/index.html 7/12

8 wordt omgegaan met eventuele boetes die als gevolg van een datalek bij de bewerker aan de organisatie worden opgelegd. Stel van te voren vast hoe omgegaan wordt met een keten van bewerkers/sub-bewerkers en sub-subbewerkers. Wees duidelijk over de geschillenprocedure hiervoor. Overweeg encryptie waardoor melding aan betrokkenen achterwege gelaten kan worden 8/12

9 4. Veel gestelde vragen Moet de onderwijsorganisatie straks elk datalek gaan registreren? Nee, de verplichting om binnen de instelling een overzicht bij te houden van alle inbreuken is in de nota van wijziging op het wetsvoorstel geschrapt gezien de lasten die dit met zich meebrengt. Uit de algemene beveiligingsverplichting van artikel 13 Wbp vloeit al voort dat de instelling procedures heeft voor het tijdig en doeltreffend behandelen van beveiligingsincidenten. Moet de onderwijsorganisatie straks elk datalek gaan melden? Ook als een medewerker bijvoorbeeld een telefoon of usb-stick verliest? Nee, alleen een datalek met ernstige nadelige gevolgen voor de privacy van de betrokkenen moet worden gemeld. Wanneer er sprake is van nadelige gevolgen voor de privacy, is afhankelijk van de omstandigheden van het geval en kan beoordeeld worden aan de hand van drie eerdergenoemde vragen. Bijvoorbeeld het verliezen van een telefoon van de medewerker hoeft normaal niet te worden gemeld. Is de telefoon echter niet goed beveiligd en bevat deze gevoelige gegevens van betrokkenen, bijvoorbeeld verzuimgegevens, dan dient het datalek wel te worden gemeld. Hoe dient de melding eruit te zien? In geval van een datalek dient te worden geregistreerd en eventueel aan het Cbp te worden doorgegeven (i) de aard van de inbreuk, (ii) de persoon of instantie waar meer informatie kan worden verkregen en (iii) de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Bij een melding aan het Cbp dient daarnaast te worden gemeld (iv) de gevolgen van de inbreuk voor de verwerking van persoonsgegevens en (v) de maatregelen om deze gevolgen te verhelpen. Moet de instelling een datalek ook melden aan de betrokkenen? Als een datalek ernstige nadelige gevolgen heeft voor de privacy van de betrokkenen en indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer, dan moet dit ook aan de betrokkenen worden gemeld. Het informeren aan de betrokkenen kan achterwege worden gelaten als de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens, tenzij het Cbp alsnog beveelt om een melding aan de betrokkenen te doen. De melding aan de betrokkene moet op een zodanige wijze gebeuren dat deze op een behoorlijke en zorgvuldige wijze wordt geïnformeerd. Wanneer moet de organisatie een boete betalen? En hoe hoog zal deze boete zijn? Het Cbp kan handhavend optreden als niet aan de verplichtingen met betrekking tot de meldplicht datalekken wordt voldaan. Er gelden geen vaste boetebedragen;; het Cbp is vrij te bepalen óf en welk boetebedrag zij in een gegeven geval wenselijk acht. Onder de wetswijziging van de Wbp (meldplicht datalekken) kan het Cbp een boete opleggen van maximaal EUR Welke afspraken moet ik maken met mijn leveranciers? Met betrekking tot de contracten met de leveranciers legt de wetgever de verplichting dat de leverancier een melding aan de onderwijsorganisatie doet als er bij hem een datalek heeft plaatsgevonden. Daarnaast is het raadzaam afspraken te maken over hoe partijen omgegaan met eventuele boetes die als gevolg van een datalek bij de leverancier aan de onderwijsorganisatie worden opgelegd. 9/12

10 De Europese Privacyverordening (EPV) is op komst. Heeft dit invloed op de meldplicht datalekken? De Europese Privacyverordening zal de Wbp op den duur vervangen. In de ontwerpverordening is een vergelijkbare meldplicht datalekken opgenomen. De EPV kent overigens een nog hoger boetemaximum voor het niet voldoen aan de meldingsplicht. Naar verwachting zal de verordening niet eerder dan in 2016 in werking treden. Wanneer treedt de wetgeving met betrekking tot de meldplicht datalekken in werking? Op het moment van schrijven is de wetswijziging van de Wbp (meldplicht datalekken) aangenomen door zowel de Tweede Kamer als de Eerste Kamer. De datum van inwerkingtreding is januari Hoe kan onze organisatie zich het beste voorbereiden op de meldplicht datalekken? Een instelling kan zich voorbereiden op de meldplicht datalekken door het stappenplan dat is opgesteld door SURF te volgen. Wat betekent de meldplicht datalekken voor de beveiliging? De meldplicht staat in nauw verband met de beveiligingsverplichting van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) op basis waarvan een verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Door het Cbp zijn richtsnoeren gepubliceerd die uitleggen hoe het College bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. 4 Wat doet het College bescherming persoonsgegevens met de melding? Het Cbp richt zich op naleving van de normen van de Wbp en andere wetten en regelingen op grond waarvan persoonsgegevens worden verwerkt. De wijze waarop het College dit doet is neergelegd in haar Beleidsregels handhaving. Het Cbp geeft prioriteit aan zaken waarbij zij het vermoeden heeft van ernstige overtredingen;; structurele overtredingen;; overtredingen die veel mensen treffen;; overtredingen waarbij het CBP door de inzet van handhavingsinstrumenten effectief verschil kan maken;; en overtredingen die vallen binnen de (jaarlijkse) aandachtspunten die door het CBP bekend zijn gemaakt. De eerste vier criteria gelden cumulatief, tenzij zwaarwichtige gronden zich daartegen verzetten. Het Cbp handelt bij de inzet van handhavingsinstrumenten conform de algemene beginselen van behoorlijk bestuur en de Algemene Wet Bestuursrecht. Zij stelt prioriteiten met het oog op de beschikbare middelen en maakt zelfstandig een afweging bij het bepalen van de inzet van handhavingsinstrumenten. De inzet van handhavingsinstrumenten door het Cbp hangt mede af van de omstandigheden van het geval, waaronder de inhoud en de strekking van de overtreden norm en de daarbij betrokken belangen. Doel, effect en efficiëntie staan voorop. De Memorie van Toelichting (MvT) op de wetswijziging wijst erop dat het geen gegeven is dat het Cbp iedere melding laat volgen door een onderzoek of andere maatregelen. Volgens de MvT is het feit of een onderzoek of en verdere maatregelen volgen, afhankelijk van de omstandigheden. Het Cbp zal de ingekomen meldingen moeten bezien en daarop reageren in overeenstemming met de door het College 4 Cbp richtsnoeren beveiliging van persoonsgegevens (2013), via https://cbpweb.nl/sites/default/files/downloads/rs/rs_sv_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf 10/12

11 zelf gestelde prioriteiten. Indien een instelling heeft gehandeld op de manier die van hem verwacht mag worden en zelf zo spoedig mogelijk de nodige maatregelen heeft getroffen om het datalek te dichten en herhaling te voorkomen zal een reactie van het Cbp naar verwachting veelal uitblijven. Het Cbp zal de meldingen wel opslaan mede om daarover in het jaarverslag verantwoording af te leggen. Valt het verlies van een papieren dossier onder de reikwijdte van de meldplicht? Ja het verlies van een papieren dossier valt ook onder de meldplicht indien er sprake is van inbreuk op de beveiliging waarvan redelijkerwijs kan worden aangenomen dat die ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens. Valt bewust lekken van een medewerker onder de meldplicht? Ja, als er redelijkerwijs kan worden aangenomen dat dit leidt tot ernstige nadelige gevolgen voor de privacy van de betrokkenen. Daarnaast is het dus zo dat als er opzet in het spel is, het Cbp niet verplicht is eerst een bindende aanwijzing te doen, en direct een boete kan opleggen. Kan de betrokkene zelf ook melden? Nee, de meldingsplicht rust op de verantwoordelijke;; het is de instelling die het College onverwijld in kennis moet stellen van een datalek. Komen er formulieren voor de melding? De MvT bij lid 5 van het nieuwe artikel 34a stelt dat er zonodig nadere regels kunnen worden gesteld voor gebruikmaking van een formulier. Krijg je altijd de maximum boete als je niet meldt? Dat is nog niet bekend, maar niet waarschijnlijk. Waarschijnlijk zal het Cbp hieromtrent boetebeleidsregels vaststellen. Hierdoor krijgen belanghebbenden inzicht over de aard en hoogte van sancties die zij kunnen verwachten bij overtreding van de wet. Hoe zit het met versleutelde gegevens? Als de instelling passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn hoeft de instelling de inbreuk niet te melden aan de betrokkenen. De formulering onbegrijpelijk en ontoegankelijk dekt niet alleen versleuteling maar ook technieken die persoonsgegevens ontoegankelijk kunnen maken als een datalek zich voordoet. Wat moet een instelling doen als deze de betrokkenen wil informeren maar deze niet weet wie precies betrokkenen zijn of hoe deze te bereiken zijn? Dit is afhankelijk van de situatie maar een instelling zou bijvoorbeeld via berichten in de media aan betrokkenen kunnen laten weten dat er sprake is geweest van een datalek. Het is aan te raden dit in overleg met de afdeling communicatie te doen. Moet een instelling de betrokkenen ook laten weten wat ze het beste kunnen doen om de schade te beperken? 11/12

12 De instelling moet betrokkenen verschillende zaken laten weten: de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Wat zijn passende maatregelen in het geval van een datalek? In geval van een datalek moet de instelling haar interne procedures volgen, het actieplan uitvoeren en het datalek dichten. Hiertoe moet de instelling de omvang van het datalek en de benodigde maatregelen inventariseren. Alle acties en beslissingen moeten gedocumenteerd worden. 12/12

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken Auteur(s): Project Moore in opdracht van SURF Versie: 1,0 Datum: Juli 2014 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305 admin@surfnet.nl www.surfnet.nl

Nadere informatie

Meldplicht Datalekken

Meldplicht Datalekken Meldplicht Datalekken Auteur(s): Project Moore in opdracht van SURF Versie: 3.0 Datum: Januari 2016 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088-787 30 00 admin@surfnet.nl www.surfnet.nl

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

Eerste Kamer der Staten-Generaal

Eerste Kamer der Staten-Generaal Eerste Kamer der Staten-Generaal 1 Vergaderjaar 2014 2015 33 662 Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht

Nadere informatie

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? Meldplicht datalekken Whitepaper Datalekken Augustus 2016 1 Begin 2016 is de Meldplicht Datalekken ingegaan. Het doel van de meldplicht

Nadere informatie

Wet meldplicht datalekken

Wet meldplicht datalekken Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen

Nadere informatie

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken De Wbp is al sinds 1 september 2001 van kracht en bevat bepalingen omtrent het rechtmatig omgaan met persoonsgegevens. Op 1 januari

Nadere informatie

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

1. Aan het opschrift van hoofdstuk 5 wordt toegevoegd en de meldplicht bij inbreuken op de beveiliging van persoonsgegevens aan het College

1. Aan het opschrift van hoofdstuk 5 wordt toegevoegd en de meldplicht bij inbreuken op de beveiliging van persoonsgegevens aan het College Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht

Nadere informatie

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet

Nadere informatie

WET MELDPLICHT DATALEKKEN FACTSHEET

WET MELDPLICHT DATALEKKEN FACTSHEET WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen)

Nadere informatie

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje- Nassau, enz. enz. enz.

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje- Nassau, enz. enz. enz. Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht

Nadere informatie

Sta eens stil bij de Wet Meldplicht Datalekken

Sta eens stil bij de Wet Meldplicht Datalekken Sta eens stil bij de Wet Meldplicht Datalekken Wet Meldplicht Datalekken Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden)

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Beleid en procedures meldpunt datalekken

Beleid en procedures meldpunt datalekken Beleid en procedures meldpunt datalekken Versie juli 2016 Inhoud: Wetgeving en kaders 3 Stichting Baasis beleid en uitgangspunten 4 Procedure/proces meldpunt datalekken 5 2 Wetgeving en kaders Meldplicht

Nadere informatie

Actualiteiten Privacy. NGB Extra

Actualiteiten Privacy. NGB Extra Actualiteiten Privacy NGB Extra April 2015 Wat heeft het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP voor implicaties voor de praktijk? Wat is er recent veranderd

Nadere informatie

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 Iets te melden? PON-seminar- Actualiteiten Privacy Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 2 3 Waarom moet er gemeld worden? Transparantie en schadebeperking Bewustzijn Verhogen

Nadere informatie

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Meldplicht datalekken Thomas van Essen. 31 maart 2016 Meldplicht datalekken Thomas van Essen 31 maart 2016 Agenda Kort juridisch kader Bespreking aandachtspunten en mogelijke valkuilen Oplossingen Datalekken (I) Antoni van Leeuwenhoek 780 patiëntgegevens

Nadere informatie

Melden van datalekken

Melden van datalekken Melden van datalekken Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp). Definities 1. Het kan gebeuren dat

Nadere informatie

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2 Modelprotocol Meldplicht Datalekken Inleiding Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat (naam instelling) direct een melding moet doen bij de Autoriteit Persoonsgegevens

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016 De Autoriteit Persoonsgegevens en de Meldplicht datalekken Alex Commandeur 18 mei 2016 Inhoud Autoriteit Persoonsgegevens Meldplicht datalekken: Wat is een datalek? Wanneer melden? Stand van zaken Autoriteit

Nadere informatie

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT FACTSHEET: INTELLECTUEEL EIGENDOM & IT Protocol meldplicht datalekken Sinds 1 nuari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct

Nadere informatie

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Stappenplan Algemene Verordening Gegevensbescherming (AVG) E: info@koornetwerk.nl I: www.koornetwerk.nl 1 januari 2018 A: Bartókstraat 4 6661 AT Elst The Netherlands Stappenplan Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 is de Algemene Verordening

Nadere informatie

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Op 1 januari 2016 treedt de Wet Meldplicht Datalekken in werking. Het CBP heeft op 21 september

Nadere informatie

Protocol meldplicht datalekken Voor financiële ondernemingen

Protocol meldplicht datalekken Voor financiële ondernemingen Protocol meldplicht datalekken Voor financiële ondernemingen Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht is ook van toepassing op de financiële sector. Maar wanneer spreekt men

Nadere informatie

Nieuwsbrief. Privacy en bescherming van persoonsgegevens. Inhoud

Nieuwsbrief. Privacy en bescherming van persoonsgegevens. Inhoud Jan 2012 Jaargang 2 Nieuwsbrief Privacy en bescherming van persoonsgegevens Inhoud Wijziging van de Wet bescherming persoonsgegevens: -Gebruik camerabeelden; -Meldplicht datalekken. Wanneer dient een datalek

Nadere informatie

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides - UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides - Mr. N.D.L (Nine) Bennink (2017) Is de meldplicht datalekken op mij van toepassing? Ja, bij iedere verwerking van persoonsgegevens o verwerking

Nadere informatie

Gemeente Delft. Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken.

Gemeente Delft. Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken. Gemeente Delft Retouradres : Aan de raadscommissie voor Rekening en Audit VERZONDEN 17 DEC. 2015 Datum 15-12-2015 Ons kenmerk 2668829 Uw brief van Onderwerp nota Implementatie Meldplicht Datalekken Uw

Nadere informatie

Impact van de meldplicht datalekken

Impact van de meldplicht datalekken Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Bewerkersovereenkomst Wet bescherming persoonsgegevens

Bewerkersovereenkomst Wet bescherming persoonsgegevens Bewerkersovereenkomst Wet bescherming persoonsgegevens behorende bij de overeenkomst Medische advisering Participatie met kenmerk 1100070198 Partijen: 1. De gemeente Utrecht, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

Help een datalek! Wat nu?

Help een datalek! Wat nu? Help een datalek! Wat nu? Een aantal ervaringen uit de praktijk Tonny Plas Adviseur informatie- en ibp-beleid voor schoolbesturen in het po en vo Aanleiding Op 1 januari 2016 is er een meldplicht datalekken

Nadere informatie

PRIVACY & DATALEKKEN

PRIVACY & DATALEKKEN PRIVACY & DATALEKKEN Die boetes zitten er aan te komen Aleid Wolfsen, Voorzitter Autoriteit Persoonsgegevens (9 oktober 2016) Impact datalekken AshleyMadison.com Life is short have an affair NAW 37 miljoen

Nadere informatie

BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST BEWERKERSOVEREENKOMST 1. [ORGANISATIE], statutair gevestigd te [PLAATS], kantoor houdende [ADRES], ingeschreven in het handelsregister onder nummer [KVKNR], hierbij vertegenwoordigd door [DHR/MEVR] [NAAM],

Nadere informatie

De Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken.

De Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De Staatssecretaris van Veiligheid

Nadere informatie

In vier stappen voldoen aan de meldplicht datalekken

In vier stappen voldoen aan de meldplicht datalekken In vier stappen voldoen aan de meldplicht datalekken dfg WHITEPAPER Datum ID Nummer 20 september 2012 12015 Auteur(s) mr. dr. A.H. (Anton) Ekker Samenvatting De Nederlandse overheid en de Europese Commissie

Nadere informatie

Wet Meldplicht Datalekken. Jeroen Terstegge

Wet Meldplicht Datalekken. Jeroen Terstegge Wet Meldplicht Datalekken Jeroen Terstegge Introduction Jeroen Terstegge, CIPP E/US Partner, Privacy Management Partners Voorzitter Privacy Commissie, VNO-NCW / MKB Nederland Bestuurslid, Vereniging Privacy

Nadere informatie

Bescherming persoonsgegevens

Bescherming persoonsgegevens Bescherming persoonsgegevens VNG Juridische 2-daagse 2014 Hester de Vries 27 oktober 2014 Privacy & bescherming persoonsgegevens is hot! Programma 1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene

Nadere informatie

MELDPLICHT DATALEKKEN

MELDPLICHT DATALEKKEN MELDPLICHT DATALEKKEN 2 WETSWIJZIGING Op 26 mei 2015 heeft EK wetsvoorstel voor de Wet meldplicht datalekken aangenomen. Sinds 1 januari 2016 in werking getreden: Nieuw in Wet bescherming persoonsgegevens

Nadere informatie

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia

Nadere informatie

Werkprogramma Meldplicht Datalekken. Handreiking

Werkprogramma Meldplicht Datalekken. Handreiking Werkprogramma Meldplicht Datalekken Handreiking Versie 1.0 Mei 2017 Over deze handreiking - Werkprogramma Meldplicht Datalekken NOREA, de beroepsorganisatie van IT-auditors Deze handreiking is uitgegeven

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst!

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst! Juridische blik op: hacking en bescherming van persoonsgevens Nieuwe wetgeving op komst! Het kan de beste overkomen In het nieuws: database piloten EASA wil database gegevens gezondheid van piloten 20

Nadere informatie

Datalekken: de meldplicht komt eraan

Datalekken: de meldplicht komt eraan Datalekken: de meldplicht komt eraan Datalekken zijn gevallen van verlies, diefstal of misbruik van persoonsgegevens (Regeerakkoord 2010) Inleiding Datalekken halen steeds vaker het nieuws. Grote recente

Nadere informatie

ECIB/U201501573 Lbr. 15/079

ECIB/U201501573 Lbr. 15/079 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken

Nadere informatie

A2 PROCEDURE MELDEN DATALEKKEN

A2 PROCEDURE MELDEN DATALEKKEN A2 PROCEDURE MELDEN DATALEKKEN Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken.

Nadere informatie

Overzicht van stemmingen in de Tweede Kamer

Overzicht van stemmingen in de Tweede Kamer Overzicht van stemmingen in de Tweede Kamer afdeling Inhoudelijke Ondersteuning aan De leden van de vaste commissie voor Veiligheid en Justitie datum 11 februari 2015 Betreffende wetsvoorstel: 33662 Wijziging

Nadere informatie

Regeling datalekken StOVOG

Regeling datalekken StOVOG Regeling datalekken StOVOG Algemeen Deze regeling voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wbp. Daarnaast is er een schema opgenomen om te beoordelen of

Nadere informatie

Databeheer in de kerk

Databeheer in de kerk 1 Databeheer in de kerk Het principe Per 1 januari 2016 is de Wet Datalekken ( ) van kracht. Organisaties die persoonsgegevens verwerken zijn verplicht om inbreuken op de beveiliging te melden. Het gaat

Nadere informatie

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016 De meldplicht datalekken Aleid Wolfsen, Utrecht, 11 oktober 2016 Datalekken in het nieuws UWV lekt data 11.000 werkzoekenden door blunder met bijlage Geheime asieldossiers bij afval Persoonsgegevens Utrechters

Nadere informatie

9.30 Inleiding Datalekken Alf Moens, SURF Het draait allemaal om uw data, Jeroen Vermeulen, Websense

9.30 Inleiding Datalekken Alf Moens, SURF Het draait allemaal om uw data, Jeroen Vermeulen, Websense Seminar Datalekken Agenda 9.30 Inleiding Datalekken Alf Moens, SURF 10.00 Het draait allemaal om uw data, Jeroen Vermeulen, Websense 10.30 Pauze 11.00 De Symantec Strategie, Johan Celis, Symantec 11.30

Nadere informatie

Datalek dichten en voorkomen. 21 april 2017

Datalek dichten en voorkomen. 21 april 2017 Datalek dichten en voorkomen 21 april 2017 Wat zijn datalekken? Wettelijke definitie Wet Bescherming Persoonsgegevens: een inbreuk op de beveiliging, als bedoeld in artikel 13 Wbp moet worden gemeld.

Nadere informatie

Privacy in de afvalbranche

Privacy in de afvalbranche Privacy in de afvalbranche Regelgeving en risico s Monique Hennekens 14 februari 2017 Inhoud Privacy in de afvalbranche Privacyregelgeving Persoonsgegeven en verwerking Algemene Verordening Gegevensbescherming

Nadere informatie

Memo Procesbeschrijving meldplicht datalekken

Memo Procesbeschrijving meldplicht datalekken Datum 15-11-2015 Onderwerp Procesbeschrijving meldplicht datalekken Noot vooraf van CIP: in de categorie "Individuele praktijk: een toepassing bij een van de organisaties die werkt, als handreiking voor

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

Regeling meldplicht datalekken 2016

Regeling meldplicht datalekken 2016 Het dagelijks bestuur van Ferm Werk, Gelet op artikel 34a van de Wet bescherming persoonsgegevens, Besluit vast te stellen de hierna volgende Regeling meldplicht datalekken 2016 Artikel 1 Begripsomschrijvingen

Nadere informatie

Datalekken in de mkb praktijk

Datalekken in de mkb praktijk Datalekken in de mkb praktijk Oktober 2016 2016 Koninklijke NBA Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt in enige vorm of

Nadere informatie

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in 2004 20 medewerkers Informatiebeveiliging Zwolle en Enschede 15-02-16

Nadere informatie

Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs

Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs De uitgangspunten van deze Bewerkersovereenkomst sluiten aan bij de bepalingen in de Wet bescherming persoonsgegevens (hierna: Wbp), en de uitgangspunten

Nadere informatie

Advocaten en notarissen

Advocaten en notarissen Advocaten en notarissen In control zijn over privacy SURF Security- en Privacyconferentie 4 en 5 februari 2016 Agenda In control zijn over de Wet bescherming persoonsgegevens Uitgangspunten wet Introductie

Nadere informatie

004 Privacyreglement

004 Privacyreglement 004 Privacyreglement toelichting reglement Inhoudsopgave Artikel 1. Begripsomschrijvingen 2 Artikel 2. Bekendmaking privacyreglement 2 Artikel 3. Reikwijdte 3 Artikel 4. Opname van persoonsgegevens in

Nadere informatie

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG) WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG) In business for people. Contents 3 Wat is de AVG? 4 Verwerkersovereenkomst 6 Roadmap naar de nieuwe verwerkersovereenkomst

Nadere informatie

gemeentebestuur VERZONDEN 1 1.01.16 Afdeling Bedrijfsvoering Team Juridische en Veiligheidszaken Aan de gemeenteraad datum 7 januari 2016

gemeentebestuur VERZONDEN 1 1.01.16 Afdeling Bedrijfsvoering Team Juridische en Veiligheidszaken Aan de gemeenteraad datum 7 januari 2016 gemeentebestuur PURMEREND Postbus 15 1440 AA Purmerend telefoon 0299-452452 telefax 0299-452124 Afdeling Bedrijfsvoering Team Juridische en Veiligheidszaken Aan de gemeenteraad uw brief van uw kenmerk

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN? MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN? Inleiding Dat bedrijven voorzichtig moeten omgaan met gegevens van personen is niet nieuw. Sinds 1 nuari 2016 is wél nieuw de verplichting om datalekken te

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Koninklijk Horeca Nederland DATUM 5 februari

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

Meldplicht Datalekken

Meldplicht Datalekken Meldplicht Datalekken Wolter Karssenberg RE, CIPP/E, CIPM drs. Erik König EMITA 10 december 2015 Agenda Datalekken Meldplicht Beleidsregels Beheersen So what! We ll just pay the fine! 2 Agenda Datalekken

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl Learning Analytics en de Wet bescherming persoonsgegevens Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl a.engelfriet@ictrecht.nl / 020-663 1941 Privacy en persoonsgegevens Beeld: Sunside, Flickr, CC-BY

Nadere informatie

Procedure melden beveiligingsincidenten en datalekken

Procedure melden beveiligingsincidenten en datalekken Procedure melden beveiligingsincidenten en datalekken Panta Rhei, stichting voor r.k., openbaar en algemeen bijzonder primair onderwijs Bestuursbureau Panta Rhei Bezoekadres: Overgoo 13, 2266 JZ Leidschendam

Nadere informatie

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts) Dinsdag 13 december 2016, 16.00 18.00 uur Rowena van den Boogert (Eldermans Geerts) Nu: Richtlijn 95/46/EG Straks: Verordening 2016/679 Implementatiewet AVG en Veegwet AVG (beleidsneutrale implementatie)

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken 8 December 2015 Simone Fennell simone.fennell@privacycompany.eu http://www.ad.nl/ad /nl/5595/digita al/article/detail/4199971/2015/12/02 /125-000-Nederlandse-kinderendupe-hack-VTech.dhtml

Nadere informatie

Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld.

Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld. PROCEDURE MELDPLICHT DATALEKKEN Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld. # Inhoudsopgave Pagina 1. Doel

Nadere informatie

Bijlage Gegevensverwerking. Artikel 1 - Definities

Bijlage Gegevensverwerking. Artikel 1 - Definities Bijlage Gegevensverwerking Artikel 1 - Definities De namen en begrippen in deze Bijlage die met een hoofdletter worden geschreven, hebben de hiernavolgende betekenis: 1.1 Persoonsgegevens: alle informatie

Nadere informatie

Deze checklist helpt je zorgvuldig en volgens de wetgeving te werken met de persoonsgegevens van o.a. medewerkers en studenten 1.

Deze checklist helpt je zorgvuldig en volgens de wetgeving te werken met de persoonsgegevens van o.a. medewerkers en studenten 1. Privacy-checklist Deze checklist helpt je zorgvuldig en volgens de wetgeving te werken met de persoonsgegevens van o.a. medewerkers en studenten 1. Wil je gebruiken maken of maak je reeds gebruik van persoonsgegevens

Nadere informatie

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0 Procedure meldplicht datalekken Versie 1.0 Februari 2017 1 Procesgang rondom (mogelijke) datalekken bij Intergrip B.V. 1. Inhoudsopgave 2. Doel... 3 2. Definities... 4 3. Toepassingsgebied... 6 4. Werkwijze...

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst DE ONDERGETEKENDEN: Stichting Yulius Onderwijs, gevestigd op Boerhaavelaan 2, te Barendrecht en ingeschreven in het register van de Kamer van Koophandel onder nummer 24292563 (hierna:

Nadere informatie

Mobile (in)security and the law. Marianne Korpershoek

Mobile (in)security and the law. Marianne Korpershoek Mobile (in)security and the law Marianne Korpershoek Black Hat Sessions 2016, 23 juni 2016 We only do what we are damn good at Agenda 1. Meldplicht Datalekken en BYOD 2. Tracking van mobile devices in

Nadere informatie

WHITEPAPER PRAKTISCHE HANDREIKING VOOR DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)

WHITEPAPER PRAKTISCHE HANDREIKING VOOR DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) WHITEPAPER PRAKTISCHE HANDREIKING VOOR DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Hoewel het nog een jaar duurt, is er geen ontkomen meer aan: de Europese privacyverordening gaat ook u raken en

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Dit is een voorbeeld van een Bewerkersovereenkomst zoals gegenereerd met de Bewerkersovereenkomst generator van ICTRecht: https://ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomstgenerator/

Nadere informatie

Gedragscode Persoonlijk Onderzoek

Gedragscode Persoonlijk Onderzoek Gedragscode Persoonlijk Onderzoek Bijlage 1.C Januari 2004 Deze gedragscode is opgesteld door het Verbond van Verzekeraars en is bestemd voor verzekeraars, lid van het Verbond, onderzoeksbureaus die werken

Nadere informatie

Bewerkersovereenkomst VO-digitaal N.V.

Bewerkersovereenkomst VO-digitaal N.V. Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming Algemene Verordening Gegevensbescherming Stelling De Algemene Verordening Gegevensbescherming wijkt niet sterk af van de Wet Bescherming Persoonsgegevens. Toestemming Toestemming van betrokkene moet uitdrukkelijk

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Partijen de zorginstelling, gevestigd in Nederland, die met Cure4 B.V. een overeenkomst heeft gesloten in verband met het afnemen van Cure4Direct diensten, hierna te noemen Verantwoordelijke

Nadere informatie

Help, een datalek! Een procedure voor het omgaan met datalekken. Ir. H. Candel en mr. dr. S. Nouwt*

Help, een datalek! Een procedure voor het omgaan met datalekken. Ir. H. Candel en mr. dr. S. Nouwt* Ir. H. Candel en mr. dr. S. Nouwt* Help, een datalek! Een procedure voor het omgaan met datalekken 3 Trefwoorden: meldplicht datalekken Op 1 januari 2016 is een wijziging van de Wet bescherming persoonsgegevens

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Datalekken: preventie & privacy

Datalekken: preventie & privacy Datalekken: preventie & privacy Platform voor Informatiebeveiliging 25 april 2013 Mirjam Elferink Onderwerpen 1. Inleiding 2. Casus datalek 3. Huidige en toekomstige wetgeving datalek meldplichten 4. Casus

Nadere informatie