Nieuwsbrief. Privacy en bescherming van persoonsgegevens. Inhoud

Transcriptie

1 Jan 2012 Jaargang 2 Nieuwsbrief Privacy en bescherming van persoonsgegevens Inhoud Wijziging van de Wet bescherming persoonsgegevens: -Gebruik camerabeelden; -Meldplicht datalekken. Wanneer dient een datalek te worden gemeld? Wat moet worden gemeld en aan wie? Wat betekent de meldplicht datalekken voor de gemeentelijke organisatie? IN DIT NUMMER -Wijziging Wbp Wanneer melden..3 -Wat moet worden gemeld en aan wie Wat betekent de meldplicht datalekken voor de gemeente....7 Graven Juridisch Advies Bongaertslaan BB Heerlen info@gravenadvies.nl

2 Wijziging van de Wbp -Gebruik camerabeelden; -Meldplicht datalekken. Op basis van het Consultatiedocument wetswijziging Wbp de navolgende zaken op een rij. Wat wil het kabinet bereiken met deze wetswijziging? Het kabinet wil met de wijziging van de Wet bescherming persoonsgegevens en enige andere wetten bereiken dat beelden van strafbare feiten afkomstig van beveiligingscamera s die door particulieren of bedrijven zijn geïnstalleerd op ruimere schaal kunnen worden ingezet om de opsporing van strafbare feiten te ondersteunen. Het kabinet wil met de wetswijziging voorts bereiken dat bedrijven en overheid aan het College bescherming persoonsgegevens gaan melden dat zij zijn geconfronteerd met een lek in de beveiliging van hun geautomatiseerde verwerking van persoonsgegevens. De melding moet alleen worden gedaan als aannemelijk is dat persoonsgegevens als gevolg van dat lek zijn blootgesteld aan een aanmerkelijke kans op verlies of onrechtmatige verwerking. Verwachtingen voor de toekomst? Van een ruimer gebruik van camerabeelden wordt verwacht dat de investering in eigen beveiligingsmaatregelen meer gaat opleveren voor burgers en bedrijven. Van de meldplicht datalekken wordt verwacht dat de meldplicht bijdraagt aan een grotere transparantie bij de verwerking van persoonsgegevens, ruimere aandacht voor de noodzaak goed te investeren in beveiligingsmaatregelen, en op den duur toename van het vertrouwen van de samenleving in de geautomatiseerde verwerking van persoonsgegevens. Gebruik camerabeelden Ten aanzien van het voorstel gebruik camerabeelden (artikel 22 lid 4 c Wbp nieuw) kan op dit moment slechts worden vermeld dat wordt beoogd dat camerabeelden met strafbare feiten onder voorwaarden ook door particulieren zelf moeten kunnen worden verspreid voor onderzoek. Deze voorwaarden zullen worden vastgelegd in AMvB s (leden 7 en 8 (nieuw) artikel 22 Wbp). Van de meldplicht datalekken wordt verwacht dat de meldplicht bijdraagt aan een grotere transparantie bij de verwerking van persoonsgegevens, ruimere aandacht voor de noodzaak goed te investeren in beveiligingsmaatregelen, en op den duur toename van het vertrouwen van de samenleving in de geautomatiseerde verwerking van persoonsgegevens. 2

3 Meldplicht datalekken Een nieuw artikel 34a wordt toegevoegd aan hoofdstuk 5 Wbp (Informatieverstrekking aan de betrokkene). De verplichting geldt voor iedere verantwoordelijke, de verplichting wordt gekoppeld aan de beveiligingsmaatregelen van artikel 13 Wbp en de zorgplicht voor datalekken waar de bewerker kennis van krijgt ligt bij de verantwoordelijke. Tekst 34 a lid 1 Wbp: De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de maatregelen, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden. Wanneer melden? Uit de memorie van Toelichting blijkt het beslismodel dat de verantwoordelijke kan doorlopen bij de vraag of aan de meldplicht moet worden voldaan. Vraag 1 Is sprake van een inbreuk op de getroffen beveiligingsmaatregelen, zo ja; De Memorie van Toelichting geeft hierbij aan dat het risico zich bij een geslaagde aanval van hackers eerder zal voordoen dan bij fysieke schade aan het gebouw waar zich de ICT-apparatuur bevindt waarmee de verwerking plaatsvindt. Voorts moet sprake zijn van een aanmerkelijk risico. Niet elk risico rechtvaardigt een melding. Of sprake is van een aanmerkelijk risico is eveneens afhankelijk van de concrete feiten en omstandigheden. De aard van de inbreuk zal doorgaans van belang zijn bij het bepalen van de grootte van het risico. Uit de Memorie van Toelichting: het is niet goed aan te geven of het verlies van een mobiele telefoon, de diefstal van een laptop of het zoekraken van een geheugenstick wel of geen aanleiding geeft een melding te doen. Of die noodzaak aanwezig is, is afhankelijk van de aard van de data die het betreft en het vermoedelijke risico dat de betrokkene en de verantwoordelijke lopen ingeval van zoekraken of onrechtmatige verwerking. Wanneer melden? Vraag 2 Heeft de inbreuk tot gevolg gehad dat de verwerkte persoonsgegevens zijn blootgesteld aan een aanmerkelijk risico van verlies of onrechtmatige verwerking; Het aanmerkelijk risico dat persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking moet redelijkerwijs aanwezig zijn. Dat moet naar de feitelijke omstandigheden van het geval worden vastgesteld. 3

4 Wanneer melden? Dus niet iedere datalek melden, maar iedere inbreuk op de maatregelen die zijn genomen om persoonsgegevens te beveiligen. Vraag 3 Is aannemelijk dat wanneer het risico op verlies of onrechtmatige verwerking zich verwezenlijkt, dit redelijkerwijs tot nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene leidt. Omvang en aard van de verwerking zijn mede bepalend voor het antwoord op deze vraag volgens de Memorie van Toelichting. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het Cbp. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan worden gevergd dat zij een zekere mate van risico aanvaarden. Dat is nu eenmaal onlosmakelijk verbonden met het normaal vertrouwen in maatschappelijke verhoudingen. Maar een datalek bij bijvoorbeeld, de Belastingdienst of de Sociale Verzekeringsbank of een commerciële bank of verzekeraar is doorgaan van een geheel andere orde. Een datalek bij dergelijke instellingen kan leiden tot financieel nadeel bij de betrokkene of de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht. Van deze instellingen mag worden verwacht dat zij de grote hoeveelheden gegevens die zij dagelijks verwerken op een professionele wijze beveiligen en dat die beveiliging ook wordt aangepast aan veranderende omstandigheden. De aard van de door de Belastingdienst verwerkte gegevens is ook zodanig dat een datalek kan leiden tot een aanmerkelijke inbreuk op de persoonlijke levenssfeer van de betrokkenen, omdat het belastinggeheim kan worden geschonden. Voorts meldt de Memorie van Toelichting nog het volgende. Tenslotte mag van het Cbp worden verwacht dat het boetebeleidsregels zal vaststellen waarmee het college indirect enig houvast kan geven aan de praktijk. Daarin zal ook kunnen worden ingegaan op de invulling van de voorziening om nodeloze meldingen te voorkomen. Vermoedelijk zal het Cbp ook nog aanvullende voorlichting aan de praktijk geven. Opmerkelijk is dus dat niet ieder datalek gemeld hoeft te worden, maar alleen iedere inbreuk op de maatregelen die (op grond van artikel 13 Wbp) genomen zijn om persoonsgegevens te beveiligen. Dat volgt letterlijk uit de tekst van het wetsvoorstel en ook de Memorie van Toelichting benadrukt dit nog eens. Er is pas sprake van een datalek, wanneer die technische en organisatorische maatregelen niet hebben gefunctioneerd en de persoonsgegevens blootgesteld zijn aan een aanmerkelijk risico van verlies of onrechtmatige verwerking. Dat veronderstelt dat er ook daadwerkelijk beveiligingsmaatregelen zijn genomen. De praktijk laat zien dat dit maar zeer de vraag is. Onder andere de berichtgeving rond Lektober heeft laten zien dat persoonsgegevens soms in het geheel niet beveiligd worden. 4

5 Zowel melding aan Cbp als aan betrokkene. Volgens het wetsvoorstel moet een melding zowel aan het Cbp als aan de betrokkene (degene wiens gegevens door de inbreuk mogelijk getroffen zijn) worden gedaan. Opvallend is dat beide meldingen onverwijld moeten worden gedaan. Het lijkt er daarmee op dat beide meldingen op (bijna) hetzelfde moment, althans in ieder geval op korte termijn na elkaar, moeten worden gedaan. Tegelijk staat echter in het zesde lid van het voorgestelde wetsartikel 34a Wbp dat de melding aan de betrokkene achterwege kan blijven wanneer: de verantwoordelijke naar het oordeel van het College gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens. Zowel de melding aan het Cbp als aan betrokkene moeten onverwijld gebeuren. Naar de letter van het wetsvoorstel moet de verantwoordelijke dus min of meer om toestemming vragen aan het Cbp om de melding aan de betrokkene achterwege te laten. Het is echter de vraag of dat zo bedoeld is. Gezien de tekst in de Memorie van Toelichting lijkt het er eerder op dat bedoeld is dat de verantwoordelijke bij een datalek in beginsel altijd eerst kan volstaan met een melding bij het Cbp, mits hij in die melding maar stelt dat naar zijn oordeel een melding aan de betrokkene(n) achterwege kan blijven vanwege de toepassing van encryptie of andere maatregelen. Het College kan vervolgens de verantwoordelijke op grond van lid 7 van artikel 34a Wbp nieuw alsnog bevelen een mededeling te doen aan de betrokkene. Het wetsvoorstel zou hiermee de populariteit van de toepassing van encryptie wel eens (enorm) kunnen doen vergroten. Wie immers encryptie hanteert op een niveau dat volgens het Cbp voldoet, hoeft geen melding te doen aan de betrokkene (en bespaart zich dus alle publicitaire gevolgen). Inhoud van de melding aan het CBP en aan betrokkene In de kennisgeving aan het Cbp en aan betrokkene dient, de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de door de verantwoordelijke aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken, te worden vermeld. De kennisgeving aan het Cbp omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. Overzicht De verantwoordelijke houdt een overzicht bij van alle inbreuken (dus ook de inbreuken die niet zijn gemeld aan het Cbp). Dit overzicht bevat in elk geval de feiten en de gegevens zoals deze in de kennisgeving aan het Cbp zijn vermeld, maar ook de tekst van de kennisgeving aan de betrokkene. 5

6 Wijze van melden aan betrokkene Artikel 34a lid 5 nieuw: de kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. Ter beperking van de administratieve lasten en nalevingskosten is bewust gekozen voor een zo eenvoudig mogelijke melding, aldus de Memorie van Toelichting. Wel zijn er enkele minimum eisen opgenomen met betrekking tot de inhoud van de melding. De verantwoordelijke moet rekening houden met de aard van de inbreuk en de gevolgen ervan. Daarnaast mag hij rekening houden met de omvang van de kring van de betrokkenen en de kosten van de tenuitvoerlegging. Wanneer de inbreuk zich zou beperken tot een verhoudingsgewijs klein aantal betrokkenen, kan de verantwoordelijke ervoor kiezen hen persoonlijk en gericht te benaderen. Wanneer de inbreuk een groot aantal betrokkenen treft, ligt naast de gebruikelijke bekendmaking op een website een advertentie in de dagbladen meer in de rede. Rol FG Voor organisaties die een Functionaris voor de Gegevensbescherming (FG) hebben aangesteld ligt het voor de hand dat de functionaris degene is die belast is met de feitelijke uitvoering van de melding namens de verantwoordelijke, aldus de Memorie van Toelichting. Stevige boete Ter zake van een overtreding van het bij of krachtens artikel 34a Wbp bepaalde kan het Cbp een boete opleggen van ten hoogste euro ,-. Consultatiedocument Voor de goede orde: het gepubliceerde wetsvoorstel betreft een eerste conceptversie (de regering noemt het zelf versie 0.1). Dit document is bewust gepubliceerd om reacties uit te lokken vanuit de samenleving. Met de publicatie is namelijk tevens een consultatieperiode gestart. Een ieder kan via de website tot 29 februari 2012 laten weten wat hij van dit wetsvoorstel vindt. Bewerker De zorgplicht voor datalekken bij een bewerker ligt bij de verantwoordelijke (artikel 14 lid 3 sub c Wbp nieuw). 6

7 Wat betekent de meldplicht datalekken voor de gemeentelijke organisatie?. Wbp- proof Zorg dat de organisatie werkt in overeenstemming met de Wet bescherming persoonsgegevens. Dit omvat onder meer het in kaart brengen van de informatiestromen binnen de organisatie. (welke gegevens worden verwerkt en voor welke doeleinden) en bezien of deze verwerkingen gemeld dienen te worden bij het Cbp. Organisaties die deze zaken op orde hebben, zullen daardoor ook al een voorsprong hebben voor wat betreft de verplichtingen die voortvloeien uit de meldplicht datalekken. Door het op orde hebben van deze zaken zal een organisatie onder meer makkelijker kunnen aangeven wat de aard van de gegevens is en zal ze ook sneller een goed oordeel kunnen geven over de mogelijke gevolgen van het datalek. Beveiliging Het adequaat beveiligen van persoonsgegevens die worden verwerkt, is al onderdeel van de verplichtingen binnen de Wbp. Artikel 13 bepaalt immers dat een organisatie passende technische en organisatorische maatregelen ten uitvoer moet leggen tegen verlies of enige vorm van onrechtmatige verwerking. Bij het puur technisch op orde hebben van de beveiliging stopt het niet. Zoals de Wbp aangeeft gaat het ook om het organisatorisch passend beveiligen van de gegevens die worden verwerkt. Privacy en beveiliging moeten dus ook organisatorisch ingebed zijn in de organisatie. Zorg er bijvoorbeeld voor dat sprake is van privacy bewustzijn binnen de organisatie en verspreid actief het interne privacybeleid en toets hierop. Actieplan Het is van belang dat in de organisatie een plan klaar ligt voor het geval zich daadwerkelijk een datalek voordoet. Een dergelijk plan dient onder andere vast te leggen aan wie binnen de organisatie gemeld wordt dat er een onregelmatigheid heeft plaatsgevonden en welke maatregelen dientengevolge genomen moeten worden (het in beeld brengen welke gegevens mogelijk bij het datalek gecompromitteerd zijn geraakt, het gereed hebben van die concrete maatregelen en het uiteindelijk doen van de melding bij het Cbp). Dit is dringend aangezien, zoals hiervoor reeds is vermeld, een melding aan het Cbp onverwijld dient te gebeuren. 7

8 Graven Juridisch Advies is een zelfstandig en onafhankelijk adviesbureau op het gebied van privacy en bescherming van persoonsgegevens. Voor meer informatie neem contact op met mr. Charlotte Graven op of stuur een naar Opdrachtgevers privacy gemeenten - Gemeente Sittard-Geleen - Gemeente Valkenburg aan de Geul - Gemeente Maastricht - Gemeente Vaals - Gemeente Venlo - Gemeente Simpelveld - Regionale Sociale Dienst Pentasz Mergelland - Gemeente Eijsden-Margraten - Gemeente Gulpen-Wittem - ISD BOL (Intergemeentelijke Sociale Dienst Brunssum Onderbanken Landgraaf) - Gemeente Beek - Gemeente Roermond - RIEC Limburg - Gemeente Kerkrade - Gemeente Onderbanken - Gemeente Brunssum - Gemeente Stein - Gemeente Schinnen - Gemeente Weert Graven Juridisch Advies Bongaertslaan BB Heerlen Telefoonnummer: of adres: info@gravenadvies.nl 8 Disclaimer: De inhoud van deze Nieuwsbrief is van informatieve aard en kan niet worden beschouwd als een juridisch advies in welke vorm dan ook. Ondanks de zorgvuldige samenstelling van de inhoud van deze nieuwsbrief kan Graven Juridisch Advies geen enkele aansprakelijkheid aanvaarden voor schade, direct dan wel indirect, ten gevolge van eventuele fouten of vergissingen. Dit geldt zowel ten aanzien van de eigen content als ten aanzien van de door Graven Juridisch Advies aangeboden content die afkomstig is van derden.