Wat betekent de meldplicht datalekken voor u?

Transcriptie

1 Aon Risk Solutions Wat betekent de meldplicht datalekken voor u? Wijziging Wet bescherming persoonsgegevens - Januari 2016 Risk. Reinsurance. Human Resources.

2 Wat gaat er veranderen? De Wet bescherming persoonsgegevens (Wbp) is per 1 januari 2016 gewijzigd en er geldt een meldplicht voor datalekken. Organisaties die verantwoordelijk zijn voor de verwerking van persoonsgegevens, zijn voortaan verplicht om een datalek bij de Autoriteit Persoonsgegevens (AP) te melden. Vaak moeten zij ook degene(n) informeren van wie de gelekte persoonsgegevens zijn. Het fenomeen datalek is breed gedefinieerd. Daardoor krijgt u al snel met de meldplicht te maken. Voorbeelden van een datalek zijn o.a. een verloren USB-stick, een hacker die databestanden steelt, malware die persoonsgegevens aantast en een met privacy-gevoelige gegevens die verstuurd is naar een onjuiste persoon. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van de organisatie. Boetes bij een datalek kunnen oplopen tot maximaal EUR of 10% van de jaaromzet. Schade en claims voortvloeiend uit een datalek worden doorgaans niet gedekt door de traditionele verzekering. Verplichtingen Acties U dient een gerechtvaardigd doel te hebben voor het opslaan van privacygevoelige gegevens. Gegevens mogen niet langer worden bewaard dan noodzakelijk. Een datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. U dient passende technische en organisatorische maatregelen te nemen, bijvoorbeeld: - encryptie van bestanden; - risicoanalyse om kwetsbaarheden te ontdekken. - Informeren van betrokkenen (de personen van wie u de gegevens lekt). Breng in kaart welke software/applicaties u gebruikt en waar data wordt opgeslagen. Weet welke gegevens u bewaart, bewerkt en verwerkt. Stel een crisisplan op. Zoek uit wie binnen uw organisatie verantwoordelijk is voor het melden van een datalek, en hoe u een datalek meldt. Voer een risicoanalyse uit en neem de vereiste beheersmaatregelen. Ga bewerkersovereenkomsten aan met externe partijen die beschikking hebben over uw data. Herzie uw contractmanagement om aansprakelijkheid bij een incident te regelen. Let op ketenaansprakelijkheid! Maakt u gebruik van externe leveranciers voor de opslag van uw data, zoals datacenters en cloud providers, sluit dan bewerkersovereenkomsten af. U bent namelijk ook verplicht om een datalek bij zo n leverancier te melden.

3 Wanneer en hoe meldt u een datalek? Er zijn bij een lek drie opties: U hoeft geen melding te maken. U moet melding maken bij de AP. Het lek moet zowel bij de AP als de getroffen personen worden gemeld DATALEK? JA Is er sprake van ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? NEE JA Heeft het lek ernstige nadelige gevolgen voor de persoon van wie de gegevens zijn? NEE JA Binnen 72 uur onverwijld melden aan: - Autoriteit Persoonsgegevens (via webformulier) - personen op wie de gegevens betrekking hebben.** NEE U hoeft geen actie te ondernemen. U dient het lek binnen 72 uur onverwijld* te melden aan Autoriteit Persoonsgegevens (via webformulier). Actie vereist? Aon kan u helpen. Organisaties die voor persoonsgegevens verantwoordelijk zijn, dienen volgens de Wet bescherming persoonsgegevens zelf technische en organisatorische maatregelen te treffen tegen verlies of onrechtmatige verwerking van data. Zulke maatregelen houden niet alleen het beveiligingsniveau van uw persoonsgegevens zelf op niveau; ze vergroten ook het bewustzijn binnen uw organisatie. Uiteindelijk is het zaak dat een scherpere databeveiliging raakt ingebed in de dagelijkse praktijk. Aon kan u helpen bij diverse maatregelen: Risicoanalyse Voor systematisch inzicht in cyberrisico s is een risicoanalyse cruciaal. Aon helpt u bij die analyse en zet de abstracte dreiging van een datalek om in een concrete aanpak. Onze benadering is een aanvulling op uw reguliere IT-security. Wij helpen u om eventuele schade en kosten van een cyberincident te beheersen. Privacy Impact Assessment Een privacy impact assessment (PIA) is hét middel om privacy-risico s gestructureerd en helder in beeld te krijgen. De PIA geeft inzicht in de impact van een datalek en in de risico s voor de betrokkenen en voor uw organisatie. Ook het risicobewustzijn binnen uw organisatie groeit met een PIA. Crisisplan Met crisisplanning, trainingen en oefeningen en met het opstellen van protocollen en crisisplannen helpt Aon uw organisatie bij de voorbereiding op een eventuele cybercrisis. Maar we zijn er ook als het misgaat: tijdens een crisis geven we advies, achteraf evalueren we het incident samen met u om ervan te leren. Verzekeringsportefeuille Een datalek kan leiden tot forse financiële schade. Denk daarbij aan een boete van de AP, een privacy-claim van de betrokkene(n) of ondersteuning van IT-experts bij dataherstel. Deze kosten zijn doorgaans niet gedekt door traditionele verzekeringspolissen. Aon adviseert u om uw verzekeringsportefeuille goed te controleren en aan te laten sluiten op de digitale risico s. Wij helpen u op weg naar een op maat gemaakte verzekering die de belangrijkste cyberrisico s dekt, van mogelijke aansprakelijkheidsrisico s tot eigen kosten voor de organisatie bij een calamiteit. * Onverwijld houdt in dat u, na het ontdekken van een mogelijk datalek, enige tijd mag nemen voor nader onderzoek om een onnodige melding te voorkomen. Blijkt een melding nodig, dan doet u die uiterlijk 72 uur na de ontdekking van het incident. Is vlak voor de deadline nog niet geheel duidelijk wat er is gebeurd en om welke persoonsgegevens het gaat, dan doet u de melding op basis van de gegevens waarover u op dat moment beschikt. U kunt een melding naderhand altijd nog aanvullen of intrekken. ** Met uitzondering van financiële instellingen: zij hoeven een datalek niet te melden aan betrokkene(n)

4 Bent u voorbereid? RISICO- ANALYSE PRIVACY IMPACT ASSESSMENT CRISISPLAN VERZEKERINGS- PROGRAMMA Kent u de belangrijkste digitale assets van uw organisatie? Kent u de belangrijkste digitale risico s en heeft u daar beheersmaatregelen tegen genomen? Kent u uw contractuele verplichtingen richting externe partijen? Heeft u met uw (digitale) leveranciers een bewerkersovereenkomst afgesloten? Heeft u een duidelijk beeld van de schade voor uw organisatie bij een systeemuitval? Weet u welke gevoelige gegevens u beheert en verwerkt? Is het duidelijk wie verantwoordelijk is voor de verwerking van de gegevens? Heeft uw opslag van persoonsgegevens een gerechtvaardigd doel? Weet u of deze gegevens veilig zijn en kunnen ze bij verlies worden teruggehaald? Weet u of deze gegevens encrypted zijn? Weet u welke systemen en applicaties van vitaal belang zijn voor de opslag en vewerking van deze gegevens? In hoeverre is uw organisatie voorbereid op calamiteiten en een crisis? In hoeverre is uw organisatie voorbereid op ICT- en cyberincidenten? Heeft u een plan voor het geval zich een ICT-incident voordoet? Heeft u een protocol waarin staat wie, waar en wanneer melding maakt? Weet u welke notificatie u bij een datalek moet versturen aan betrokkenen? Weet u welke (externe) stakeholders u bij een datalek moet inschakelen? (IT forensics, juridische ondersteuning) Kent u uw actuele risico s (externe bedreigingen, interne kwetsbaarheden)? Weet u wat de financiële gevolgen zijn wanneer deze risico s zich voordoen? Wat mag u in dat geval van uw huidigie verzekeringsprogramma verwachten? Wat zijn de mogelijkaheden van een cyberverzekering? Hoe verloopt het aanvraagproces van een cyberverzekering? Oorzaken Incidenten Bewuste poging Kwade opzet Medewerker Derde partij Kenmerken Hack of datalek Virus, Malware etc. Cyber afpersing Identiteitsfraude Ongeautoriseerde toegang Systeemverstoringen Informatievernietiging Diefstal Smaad & laster Privacy schending Verlies en misbruik van IP Gevolgen Melding datalek Systeemverstoringen Onderzoek Schade digitale gegevens Afpersing Wettelijke aansprakelijkheid jegens klanten, leveranciers Behoefte juridisch advies, PR & Communicatie Bedrijfsstilstand Incident-response, crisis management Resultaten Reconstructie- en notificatiekosten Kosten juridische bijstand, claims, crisis management Boetes Toename Compliance kosten Vervangingskosten Daling (klant) vertrouwen Impact beurskoers Merk- en reputatieschade

5 In het kort Per 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) gewijzigd. De privacywetgeving is nu strikter. Het toezicht is in handen van de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens). U dient een gerechtvaardigd doel te hebben voor het opslaan van privacygevoelige gegevens. Een datalek dient binnen 72 uur bij de Autoriteit Persoonsgegevens gemeld te zijn. Verzuimt u dat te doen, dan kan de Autoriteit Persoonsgegevens boetes uitdelen tot EUR of 10% van de jaaromzet. Er gelden extra verplichtingen bij de verwerking van persoonsgegevens (wettelijke grondslag, expliciete toestemming van consument). U dient passende technische en organisatorische maatregelen te nemen om een datalek te voorkomen. Waarop moet u letten? Aon heeft ruime ervaring met de advisering over cyberrisico s. Wij weten wanneer organisaties rekening moeten houden met deze risico s. In de onderstaande gevallen moeten bedrijven en organisaties extra alert zijn. Als persoonlijke gegevens worden verzameld, bewaard, verwerkt of opgeslagen. Als de organisatie sterk afhankelijk is van elektronische processen of computernetwerken. Als de organisatie voor de bedrijfsvoering intensief samenwerkt met leveranciers, service providers en andere derden. Als de organisatie te maken heeft met wettelijke bepalingen op het gebied van data, privacy of systeembeveiliging. Als er zorg bestaat over de materiële schade die kan voortvloeien uit cybercriminaliteit, bedrijfsspionage en systeemuitval. Als medewerkers onvoldoende zijn opgeleid of onvoldoende zijn voorbereid op incidenten die te maken hebben met cyberrisico s.

6 Over Aon Aon plc, genoteerd aan de effectenbeurs van New York (NYSE:AON), is een toonaangevende wereldwijde adviseur op het gebied van risicomanagement, makelaar van (her)verzekeringen en biedt HR-oplossingen en outsourcing services. Onze organisatie heeft wereldwijd meer dan medewerkers in ruim 120 landen en heeft maar een doel: het innovatief ondersteunen van klanten op het gebied van risico s en mensen. We empower results: wij delen onze kennis en data, zodat klanten zich kunnen blijven bezighouden met succesvol ondernemen. In Nederland heeft Aon negen vestigingen met medewerkers. Aon maakt deel uit van Aon plc in Londen, Verenigd Koninkrijk. Ga naar voor meer informatie over Aon en naar om meer te lezen over het wereldwijde partnership met Manchester United Aon Nederland All rights reserved. No part of this report may be reproduced, stored in an automated data file or published, in any form or manner whatsoever, electronically, mechanically, by photocopying, recording or any other manner, without prior written permission of Aon. Contact mr. Leslie (L.A.) Clement +31 (0) (0) leslie.clement@aon.nl Wessel Exterkate +31 (0) wessel.exterkate@aon.nl aon.nl/cyber datalekken-V2 Risk. Reinsurance. Human Resources.