Meldplicht datalekken Thomas van Essen. 31 maart 2016

Transcriptie

1 Meldplicht datalekken Thomas van Essen 31 maart 2016

2 Agenda Kort juridisch kader Bespreking aandachtspunten en mogelijke valkuilen Oplossingen

3 Datalekken (I) Antoni van Leeuwenhoek 780 patiëntgegevens Losse harde schijf

4 Meldplicht datalekken Wetgeving Artikel 34a in de Wet bescherming persoonsgegevens Per 1 januari 2016 van kracht Geldt deels niet voor: financiële ondernemingen Aanbieders telecom diensten en internetdiensten

5 Meldplicht datalekken Inhoud artikel 34a Twee meldplichten Onverwijld aan CBP bij (aanzienlijke kans op) ernstige nadelige gevolgen Onverwijld aan betrokkene bij mogelijk ongunstige gevolgen privacy (tenzij encryptie) Voorwaarden aan de inhoud van de melding Bijhouden overzicht

6 Toezichthouder

7 Beleidsregels datalekken Doel: Ondersteuning bij het maken van een beredeneerde afweging of gemeld moet worden Uitgangspunt toepassen handhavende maatregelen

8 Autoriteit Persoonsgegevens Boetebevoegdheid EUR ,-- of 10% jaaromzet Eerst bindende aanwijzing Boetebeleidsregels

9 Aandachtspunten

10 Getrapt model

11 Wat is een datalek? (I) Niet ieder beveiligingsincident = datalek inbreuk op de beveiliging zoals bedoeld in artikel 13 ( ) passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking Ruim begrip, mate beveiliging niet relevant

12 Wat is een datalek? (II)

13 Wat is iig geen datalek?

14 Rol van de bewerker Meldplicht richt zich tot de verantwoordelijke Verantwoordelijke moet onverwijld melden Was: twee werkdagen Is: 72 uur voor zover mogelijk Afspraken bewerker omtrent doorgeven geconstateerd datalek Zelfstandig melden?

15 Ernstige nadelige gevolgen? (I)

16 Ernstige nadelige gevolgen? (II) (Aanzienlijke kans op) ernstige nadelige gevolgen bij lek: Gevoelige gegevens Bijzondere persoonsgegevens, financiële gegevens, stigmatisering/uitsluiting, gebruikersnaam/wachtwoorden, identiteitsfraude Aard en omvang Veel gegevens over een persoon Gegevens over grote groepen

17 Waarschijnlijk ongunstige gevolgen? (I) Bij versleuteling geen melding indien: Versleuteld op moment datalek Versleuteling adequaat Remote wiping Tijdig Apparaat nog intact Toepassing moet nog (correct) werken

18 Waarschijnlijk ongunstige gevolgen? (II) Weinig houvast voor verdere beoordeling Wel bij gevoelige gegevens Bewaartermijnen van 1 of 3 jaar Geen invulling van onverwijld

19 Insteek CBP

20 INCIDENT RESPONSE Identificeren, analyseren, bewijs verzamelen Insluiten en schade beperken Herstel Evaluatie Reactiebeleid bestaat uit: Hoe verder? IT-plan, uitgewerkt voor kritische systemen Communicatieplan, zowel extern als intern Compliance (bijv. meldplicht CBP, betrokkene informeren, etc) Een goed reactiebeleid voorkomt zowel een deel van de reputatieschade als een deel van de financiële schade

21 Gevolgen organisatie Enorme herstelkosten Ernstige reputatieschade Kosten worden geschat op $ 154 per verloren record, totaal per lek $ 3,79 miljoen. 1 Kosten bestaan uit: Activiteiten nodig voor ontdekken van datalek Kostprijs van herstel Kosten van informeren slachtoffers Eventuele hulp aan slachtoffers om gevolgen te beperken 1. Bron: Symantec/Ponemon, 2015 Cost of Data Breach Study: Global Analysis

22 Incident response Identificeren, analyseren, bewijs verzamelen Insluiten en schade beperken Herstel Evaluatie Reactiebeleid bestaat uit: IT-plan, uitgewerkt voor kritische systemen Communicatieplan, zowel extern als intern Compliance (bijv. meldplicht CBP, betrokkene informeren, etc.) Een goed reactiebeleid voorkomt zowel een deel van de reputatieschade als een deel van de financiële schade

23 SOLV Advocaten Anne Frankstraat BZ Amsterdam 31 maart 2016