LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Transcriptie

1 LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1

2 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2

3 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene c. Verwerken d. Verantwoordelijke e. Bewerker 3

4 Plichten verantwoordelijke a. Zorgvuldige verwerking b. Beveiliging c. Bewerkersovereenkomst d. Informatieplicht e. Meldingsplicht f. Inzage geven g. Corrigeren 4

5 Zorgvuldige verwerking Niet bovenmatig Toereikend Ter zake dienend (noodzakelijk voor het doel) Juiste en nauwkeurige gegevens Bewaartermijn 5

6 Beveiliging Passende technische en organisatorische maatregelen om verlies van gegevens of onrechtmatige verwerking tegen te gaan Afhankelijk van risico s van verwerking, aard van de gegevens, stand van de techniek en kosten van de maatregelen 6

7 Bewerkersovereenkomst Verwerking uitsluitend in opdracht van verantwoordelijke Nakoming beveiligingsverplichtingen door bewerker Waarborgen naleving meldplicht datalekken Toezien op naleving Bewerker is zelfstandig aansprakelijk voor schade die het gevolg is van de bewerkingshandelingen Geheimhouding 7

8 Informatieplicht Verantwoordelijke, verwerkingsdoeleinden en alles wat nodig is om behoorlijke en zorgvuldige verwerking te waarborgen In beginsel vóór de verkrijging Zodanig dat de betrokkene er daadwerkelijk de beschikking over krijgt (privacy statement) 8

9 Meldingsplicht verwerkingen (NB: veel ruimer dan meldplicht datalekken) Bij de Autoriteit Persoonsgegevens of bij de door u of uw brancheorganisatie benoemde functionaris Vóór de verwerking (= vóór verzameling) Uitzonderingen op de meldingsplicht: vrijstellingsbesluit (o.a. debiteurenadministratie, nakoming contracten etc) 9

10 Sancties Bindende aanwijzing Boete Last onder dwangsom Rechterlijk verbod of gebod (civiel) Schadevergoeding (civiel, maar basis in Wbp) Reputatieschade (civiel) 10

11 Wet meldplicht datalekken 1 januari 2016 van kracht Beleidsregels AP 11

12 12

13 Datalek Een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens 13

14 Voorbeelden datalek Ongeautoriseerde inzage in bestanden met persoonsgegevens! Een kwijtgeraakte of vergeten USB-stick Een gestolen laptop/mobiele telefoon Inbraak in een databestand door een hacker Slordig wachtwoordbeheer Diefstal van papieren gegevens Online en offline datalekken 14

15 Datalek Zijn de verwerkte persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking? dus aan datgene waartegen de beveiligingsmaatregelen bescherming moesten bieden Kan redelijkerwijs worden uitgesloten dat er persoonsgegevens verloren zijn gegaan of onrechtmatig verwerkt? 15

16 Checklist datalek Is er sprake van verwerking van persoonsgegevens? Bent u verantwoordelijke? Is de Wbp van toepassing? Is dit een datalek (inbreuk op de beveiliging)? Ja, ja, ja, ja: WAT NU? 16

17 Meldplicht Rust op de verantwoordelijke Melden aan AP Melden aan betrokkene 17

18 Melden aan AP Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens aard van de gegevens (persoonsgegevens van gevoelige aard) aard en omvang van de inbreuk 18

19 Melden aan AP Webformulier (vragen: zie bijlage Richtsnoeren AP) Onverwijld = zo mogelijk uiterlijk 72 uur na ontdekking van het incident Eventueel naderhand aanvullen of intrekken 19

20 Melden aan betrokkene Indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (b.v.: geen encryptie) Persoonsgegevens van gevoelige aard: melden Overige gevallen: afweging maken 20

21 Melden aan betrokkene Een eenvoudige meldingswijze (aldus MvT) Onverwijld Behoorlijke en zorgvuldige informatievoorziening: - aard inbreuk - instantie waar betrokkene meer informatie kan krijgen - maatregelen 21

22 Uitzonderingen meldplicht Passende technische beschermingsmaatregelen waardoor persoonsgegevens onbegrijpelijk of ontoegankelijk zijn - bijv. encryptie, remote wiping, pseudonimisering - strenge norm Zwaarwegende redenen om melding aan betrokkene achterwege te laten - noodzakelijk in het belang van de bescherming van de betrokkene 22

23 Protocolplicht Feiten en gegevens omtrent de aard van de inbreuk Tekst kennisgeving betrokkene ( en AP) Intern en extern toezicht Niet openbaar 23

24 Sancties schending meldingsplicht Melding niet gedaan, niet tijdig gedaan of niet gedaan in overeenstemming met Wbp Boetebevoegdheid AP Maximumboete van EUR of 10% van de netto jaaromzet Na bindende aanwijzing 24

25 Andere beboetbare schendingen Wbp (voorb.) Ongeoorloofde verwerking gegevens opgeslagen in NL door persoon buiten EU, doorgifte vanuit NL zonder passend beschermingsniveau: EUR Onzorgvuldige of onrechtmatige verwerking, schending beveiligingsverplichting, inzagerecht etc: veelal categorie EUR

26 Boetebeleid Eerst bindende aanwijzing: welke concrete gedraging verwacht de AP van de overtreder? Direct boete bij opzet: b.v. handel in persoonsgegevens. Direct boete bij grof of aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen Daaronder ook: meermalen dezelfde overtreding 26

27 Boetebeleid (II) Boeteverhogend: - recidive. Bij 2 e boete verhoging met 50% tenzij in gegeven omstandigheden onredelijk - Tegenwerking/belemmering onderzoek AP Boeteverlagend: verdergaande medewerking dan verplicht; vrijwillige beëindiging overtreding en/of schadeloosstelling benadeelden 27

28 Europese Privacy Verordening ( Algemene verordening gegevensbescherming ) voorlopig vastgesteld op 15 december 2015 Treedt ws. medio dit jaar in werking; nadien overgangstermijn twee jaar 28

29 Europese Privacy Verordening: general approach Hogere boetes dan nu in NL (max 20 mio/4% wereldjaaromzet) Actieve houding ondernemer Data Privacy Officer verplicht PIA verplicht Etc etc 29

30 Tips & Tricks Inventarisatie, risicoanalyse, PIA en implementatie van passende informatiebeveiliging Compliance check Datalekprotocol (actieplan) en datalek-team Training team en bewustwording medewerkers Cybercrimeverzekering (o.a.: AON) 30

31 31 Privacy in de praktijk

32 Kopietje paspoort (Bijzondere) persoonsgegevens: BSN, foto Legitimatie en controle Overnemen gegevens Kopiëren, scannen, opslaan Grondslag? 32