WET MELDPLICHT DATALEKKEN FACTSHEET

Transcriptie

1 WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen) bestaat. In het eerste lid staat de meldplicht aan de toezichthouder en in het tweede lid staat de meldplicht aan de betrokkene (degene van wie de gegevens worden verwerkt). De naam van de toezichthouder is sinds 1 januari 2016 de Autoriteit Persoonsgegevens ( AP ), voorheen was dit het College Bescherming Persoonsgegevens ( Cbp ). De (meld)verplichtingen zijn ruim omschreven in artikel 34a Wbp: Lid 1: De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Lid 2: De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Om een volledig beeld te hebben van de (meld)verplichting en de hierna volgende uitleg, volgt hier de tekst van artikel 13 Wbp: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. De meldplicht (artikel 34a Wbp) is dus een nieuwe verplichting. De verplichting om gegevens te beveiligen die door bijvoorbeeld een onderneming worden verwerkt, is niet nieuw. Deze verplichting bestaat al ruim 20 jaar. Uitleg van AP: Richtsnoeren worden Beleidsregels De AP heeft een document gepubliceerd waarin kenbaar wordt gemaakt hoe de AP deze ruim omschreven verplichtingen gaat uitleggen. Het proces dat is gevolgd om tot de definitieve tekst van dit document te komen, toont al aan dat de nieuwe verplichtingen niet simpel zijn uit te leggen. De consultatieversie van het document verschilt op de volgende punten van de definitieve versie: Richtsnoeren worden Beleidsregels. 54 pagina s worden 61 pagina s, mede door toevoeging van een samenvatting. De term datalek krijgt een gelaagdheid door de termen beveiligingslek en beveiligingsincident toe te voegen: Pas bij een datalek, geldt de meldplicht. Niet ieder beveiligingslek is een beveiligingsincident of een datalek. Niet ieder beveiligingsincident is een datalek. 1

2 Meer en specifieke aandacht voor technische maatregelen (cryptografie, versleuteling) waardoor de meldplicht aan de betrokkene achterwege mag blijven. In feite is dit de belangrijkste boodschap van de AP in de beleidsregels: pas cryptografie toe! En documenteer de verwerkingen en beveiliging. De termijn waarbinnen moet worden gemeld ( onverwijld ), is 72 uur in plaats van twee werkdagen. Uitleg van meldplicht De Beleidsregels de meldplicht datalekken in de Wet bescherming persoonsgegevens, beleidsregels voor toepassing van artikel 34a van de Wbp gaan uit van het volgende schema: Meldplicht aan de AP Uit de beleidsregels blijkt het volgende: Er moet sprake zijn van verwerking van persoonsgegevens. Geen persoonsgegevens, geen toepasselijkheid van de Wbp. Uw organisatie moet kwalificeren als verantwoordelijke. Een bewerker heeft geen meldplicht. Een verantwoordelijk is kort gezegd degene die bepaalt dat er gegevens worden verwerkt, de bewerker is kort gezegd degene die hierbij helpt. Een bedrijf is verantwoordelijke voor de personeelsadministratie, een salarisadministratiekantoor is een bewerker van deze administratie. De Wbp moet van toepassing zijn. Als de privacywet van een ander land van toepassing is, dan geldt de Nederlandse meldplicht niet. Er moet sprake zijn van een inbreuk op de beveiliging waarbij zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Of er passende technische of organisatorische maatregelen waren getroffen (de verplichting van artikel 13 Wbp) maakt hierbij niet uit. Geen beveiliging kan toch betekenen dat er een datalek is. Voorbeelden van een beveiligingsincident waarbij sprake kan zijn van een datalek: USB-stick is kwijt; Laptop is gestolen; Aanval van een hacker; Malware besmetting; Brand in een datacentrum. 2

3 Of deze situaties ook echt kwalificeren als een datalek hangt af van het antwoord op twee vragen: 1. Zijn bij de inbreuk persoonsgegevens verloren gegaan? zo ja, dan is sprake van een datalek 2. Kan redelijkerwijs worden uitgesloten dat er persoonsgegevens onrechtmatig zijn verwerkt? zo nee, dan is sprake van een datalek. TIP: Indien redelijkerwijs kan worden uitgesloten dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt, dan is er wel een beveiligingsinbreuk of zelfs een beveiligingsincident, maar geen datalek, dus geen meldplicht. Dit betekent dat loggen van toegang en backup s maken van bestanden een meldplicht kan voorkomen. Zodra sprake is van een datalek, volgt de vraag of er een meldplicht is. Een meldplicht aan de AP is er altijd zodra persoonsgegevens van gevoelige aard zijn gelekt. Dit zijn o.a.: gezondheidsgegevens, ras- en geloofsgegevens, financiële, wachtwoorden en accountgegevens, kopieën van paspoorten of rijbewijzen en gegevens die kunnen leiden tot stigmatisering of uitsluiting. Dit betekent dat ondernemingen die gegevens van gevoelige aard verwerken, naast extra beveiligingsmaatregelen ook een belang hebben bij een goed functionerend Draaiboek Datalekken. Er geldt een meldplicht aan de AP bij een datalek van andere (dan gevoelige) gegevens indien de aard en omvang van de inbreuk zelf leiden tot een aanzienlijke kans op ernstige nadelige gevolgen voor de betrokkene. Dit betekent dat hoe groter de verzameling gegevens is waarbij zich een datalek voordoet, hoe waarschijnlijker de meldplicht geldt. Dit betekent ook dat naar mate de beslissingen die worden genomen op basis van de gelekte gegevens ingrijpender zijn, hoe waarschijnlijker het is dat de meldplicht geldt. Als voorbeelden worden datalekken bij de Belastingdienst, SVB of commerciële bank genoemd. TIP: Het is zinvol om databestanden apart toegankelijk in systemen op te slaan. Het scheiden van systemen en het toekennen van verschillende toegangsrechten kan bij een datalek voorkomen dat ook daadwerkelijk gemeld moet worden. Melden aan de betrokkene Indien er een meldplicht bestaat aan de AP kan er ook een meldplicht aan de betrokkene bestaan, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De beleidsregels geven hier een schema voor met de volgende vragen: Biedt de cryptografie die ik heb toegepast voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten? Ja, dan hoeft er (nog) niet te worden gemeld aan de betrokkene Nee, dan is de volgende vraag Bieden de andere technische beschermingsmaatregelen die ik heb genomen voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten? Ja, dan hoeft er (nog) niet te worden gemeld aan de betrokkene Nee, dan is de volgende vraag Zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene? Nee, dan hoeft er (nog) niet te worden gemeld aan de betrokkene Ja, dan is de volgende vraag Zijn er zwaarwegende redenen om de melding aan de betrokkene achterwege te laten? Ja, dan hoeft er (nog) niet te worden gemeld aan de betrokkene Nee, dan moet het datalek worden gemeld aan de betrokkene 3

4 In de beleidsregel wordt dit vragenschema toegelicht. Hieruit blijkt het volgende: De AP hecht veel belang aan cryptografie. Er worden twee soorten cryptografie toegelicht namelijk encryptie (versleuteling) en hashing (het omzetten van gegevens in een unieke code) met een voorkeur door toevoeging van een salt. Zodra cryptografie is toegepast, geldt er wel een meldplicht aan de betrokkene indien sprake is van: Van een risico dat de persoonsgegevens zijn blootgesteld aan vernietiging of aantasting. Dit is bijvoorbeeld het geval als er geen back-up is; of Onversleutelde of niet adequaat versleutelde gegevens op het moment van de datalek. Indien bijvoorbeeld de sleutel tot encryptie ook is gelekt of bij hashing geen salt is toegepast of deze is gelekt dan is de cryptografie niet adequaat; of Het restrisico is niet acceptabel. Dit is een op grond van eigen afwegingen in te vullen mogelijkheid om melding aan de betrokkene achterwege te laten. TIP: Het beschikbaar hebben van goede en volledige documentatie en logging is van belang om aan de AP aan te kunnen tonen dat een melding aan de betrokkene achterwege kan worden gelaten. TIP: Een meldplicht aan betrokkene, de personen in uw database, kan worden voorkomen door de gegevens te encrypten. Deze encryptie dient met regelmaat getest te worden op actualiteit. Ook moet u te allen tijde zorgen dat de sleutel voor de encryptie niet wordt gelekt. Naast encryptie zijn er ook andere beveiligingsmaatregelen zoals remote wiping en pseudonimisering. Of deze maatregelen voldoende zijn om een meldplicht aan de betrokkene te voorkomen, hangt af van de juiste toepassing ervan. Het datalek heeft waarschijnlijk ongunstige gevolgen heeft voor de betrokkene als gevoelige gegevens worden gelekt. Dit zijn o.a.: gezondheidsgegevens, ras- en geloofsgegevens, financiële, wachtwoorden en accountgegevens, kopieën van paspoorten of rijbewijzen en gegevens die kunnen leiden tot stigmatisering of uitsluiting. Er kunnen zwaarwegende redenen zijn om de melding achterwege te laten. Bijvoorbeeld bij een datalek van gegevens van kinderen die buiten medeweten van hun ouders om meldingen hebben gedaan. Inhoud en wijze van de melding Op de website van de AP staat een webformulier waarmee datalekken kunnen worden gemeld. Dit betekent dat u een vragenlijst moet invullen. De vragenlijst bevat 28 vragen, met veelal a-c onderdelen, deels keuze vragen, veelal open invulvragen. Het gaat onder andere over: de aard, omvang en schade van het datalek; de contactgegevens van de instanties waar meer informatie over het lek kan worden gekregen; aanbevelingen voor maatregelen ter vermindering van de nadelige gevolgen van het lek; een omschrĳving van de gevolgen; en een beschrĳving van de inspanningen die de organisatie verricht om de gevolgen van het lek te herstellen. Een melding aan de betrokkene bevat tenminste de hier genoemde informatie. De wijze waarop u de betrokkene informeert hangt af van de omvang van het incident. Individueel informeren heeft de voorkeur boven een mediabericht. 4

5 Tijdstip van de melding Een melding aan de AP moet volgens de Wbp onverwijld gebeuren. Volgens de AP is dit binnen 72 uur na het ontdekken van een incident dat mogelijk onder de meldplicht valt. Indien later dan na 72 uur na ontdekking wordt gemeld, dan moet worden uitgelegd waarom de melding later is gedaan. Het is mogelijk om een melding in te trekken of om deze aan te vullen. Het advies van de AP is nu om in ieder geval tijdig te melden en gebruik te maken van de intrek- of aanvuloptie. Melden aan de betrokkene mag later. Eerst onderzoek doen of eerst informeren van de betrokkene mag. De AP kan ook de verplichting opleggen om aan de betrokkene te melden. TIP: Er moeten in korte tijd veel gegevens beschikbaar zijn voor een juiste melding. Zorg voor een Draaiboek Datalekken. Andere verplichting: incidentenregister Het nieuwe artikel bepaalt ook dat er een incidentenregister moet worden aangehouden. Er gelden specifieke regels voor de inhoud van het incidentenregister. Als bewaartermijn van de gegevens over een incident geldt het uitgangspunt van minimaal 1 jaar, soms 3 jaar. Op basis van de incidentenregistratie moet in specifieke gevallen periodiek worden beoordeeld of toch moet worden gemeld aan de betrokkene. Wanneer is sprake van een overtreding van de verplichting? Van een overtreding is sprake indien: Als er een meldingsplichtige datalek is, en dit niet onverwijld wordt gemeld aan de AP (II) dit niet onverwijld wordt gemeld aan de betrokkene (II) de melding aan de AP of betrokkene niet juist of volledig is (I + I) de melding aan de betrokkene niet juist wordt gedaan (I) geen opvolging wordt gegeven aan verzoek AP om wél aan de betrokkene te melden (II) er geen of onvolledig incidentenregister wordt bijgehouden (II) Boete op overtreden van verplichtingen Alle overtredingen kunnen apart worden beboet. De boetes inzake de meldplicht datalekken vallen in de categorie I (< ,00) en II ( , ,00). De AP kan buiten de boetebandbreedte treden. Er kan een boete uit een hogere categorie worden opgelegd. Bij boetes in categorie II kan dan een boete uit categorie III ( , ,00) worden opgelegd. Indien een boete van ,00 kan worden opgelegd, kan de AP ook kiezen voor een boete gelijk aan 10% van de jaaromzet. LET OP: de boete kan pér overtreding worden opgelegd, dus cumuleren. Daarbij bestaat het risico dat door de melding aan het licht komt dat de beveiliging (art 13 Wbp) niet in orde was of geen juiste grondslag voor de verwerking aanwezig was (art 8 Wbp). De AP kan dan een onderzoek starten. In de praktijk zijn al onderzoeken gestart naar aanleiding van meldingen van datalekken. 5

6 Wie kan de boete krijgen? De boetebevoegdheid is gebaseerd op de Algemene Wet Bestuursrecht met als gevolg dat een boete kan worden opgelegd aan: De verantwoordelijke; De medepleger (in sommige gevallen de bewerker); De functioneel dader, feitelijk leidinggever (in sommige gevallen de bestuurder). LET OP: Veel bedrijven kennen een BV structuur. Dit is bewust gedaan om het risico op bestuurdersaansprakelijkheid te beperken. Dit is civielrechtelijke aansprakelijkheid. In het bestuursrecht gelden andere termen en uitgangspunten. Een bestuurder als hij wist van de overtreding en hier niets tegen heeft ondernomen kan alleen of naast de BV een boete krijgen. Hetzelfde geldt voor de directeur als feitelijk leidinggever. Wij voeren een Privacy Quickscan uit voor Euro 850,00 ex BTW en wij leveren een Draaiboek Datalekken voor max Euro 1.500,00 ex BTW Alle informatie van is met zorg samengesteld, maar wij garanderen niet dat de informatie juist, volledig en voor uw situatie passend is. De interpretatie van privacywetgeving is aan verandering onderhevig en hangt af van feiten en omstandigheden. Voor een passend en actueel advies verzoeken wij u contact op te nemen. 6