MELDPLICHT DATALEKKEN

Transcriptie

1 MELDPLICHT DATALEKKEN 2 WETSWIJZIGING Op 26 mei 2015 heeft EK wetsvoorstel voor de Wet meldplicht datalekken aangenomen. Sinds 1 januari 2016 in werking getreden: Nieuw in Wet bescherming persoonsgegevens (Wbp) Boetes tot Meldplicht datalekken Dubbele meldplicht Melden: datalekken die ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens 1

2 3 UITGANGSPUNTEN WBP Doel: iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. Artikel 34a WBP De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging,[ ], die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 4 WET BESCHERMING PERSOONSGEGEVENS Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt; Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen; Verwerking: elke handeling(en) mbt persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiding, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen van gegevens. 2

3 5 DE MELDING Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens indien het: leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voorde bescherming van persoonsgegevens. (art 34a Wbp) Of een melding vervolgens gedaan moet worden aan betrokkenen is een afweging die je zelf moet maken. Indien er persoonsgegevens van gevoelige aard zijn gelekt (artikel 16 Wbp), moet in beginsel ook aan betrokkenen worden gemeld. - tenzij gegevens voldoende beschermd zijn voor onbevoegden door bijvoorbeeld encryptie en/of hashing. 6 MELDING II Hoe melden aan de Autoriteit Persoonsgegevens? onverwijld (72 uur, indien later motiveren) online portal per fax webformulier 3

4 7 SCHEMA DATALEK 8 BORGEN RICHTING WERKNEMERS 1 Verplichtingen werkgever: Werkgever dient aan te kunnen tonen dat er voldoende technische en organisatorische maatregelen zijn genomen om een datalek te voorkomen. Werknemer dient op de hoogte te zijn van de mogelijke beveiligingsrisico s en hoe om te gaan met een datalek. 4

5 9 BORGEN RICHTING WERKNEMERS 2 Hoe kan werkgever dit bewerkstelligen: Stel een Protocol Datalekken op waarin bepaald is hoe, bij wie en wanneer werknemers een datalek moeten melden. Communiceer dit Protocol Datalekken aan en met werknemers. Verwijs naar het Protocol Datalekken in het handboek, gedragscodes/overige reglementen en Intranet. 10 BORGEN RICHTING WERKNEMERS 3 Werkgever kan werknemers binden aan het Protocol Datalekken door dit overeen te komen in de 1) arbeidsovereenkomst, 2) het handboek en/of 3) de gedragscodes/overige reglementen. Werkgever kan een boetebeding overeenkomen met werknemers die voldoet aan de vereisten van artikel 7:650 BW: schriftelijkheidseis, in arbeidsovereenkomst, de voorschriften op de overtreding en het maximale bedrag in geld van de boete dienen te worden vermeld. 5

6 11 BEWERKERSOVEREENKOMST Bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreeks gezag van de verantwoordelijke is onderworpen. Verantwoordelijke blijft verantwoordelijk. Moet toezien op naleving door bewerker. Aandachtspunten bewerkersovereenkomst: Exacte omschrijving dienstverlening Onderaannemers? Wijze en tijdstip informeren verantwoordelijke? Omvang informatie per incident? Doorgifte persoonsgevens (EER)? Maatregelen bewerker? (preventief en repressief) Audit? Beschikbaarheid en bereikbaarheid? Vrijwaring 12 AUTORITEIT PERSOONSGEGEVENS De Autoriteit Persoonsgegevens kan eigen onderzoek instellen (artikel 60 Wbp) op grond van een klacht van een belanghebbende op eigen initiatief De Autoriteit Persoonsgegevens kan inlichtingen vorderen, inzage vorderen in zakelijke gegevens, zaken en middelen onderzoeken (waaronder computerapparatuur) en ruimtes betreden, waaronder woningen. (artikel 61 lid 2 Wbp jo. 5:15 Awb) U bent verplicht alle gevraagde medewerking te verlenen 6

7 13 RISICO S Financieel risico; boete: Maximaal Compliance risico: Geen (interne) procedure (sinds 1 januari 2016) De informatie kan niet onverwijld geleverd worden (primaire melding binnen 72 uur, indien later dan dat motiveren) Datalek heeft plaatsgevonden bij een bewerker die nalaat melding te doen aan de verantwoordelijke Bewerkersovereenkomst oude stijl waarin geen clausule over datalekken is opgenomen Bepaalde interne inbreuken op de beveiliging waarbij persoonsgegevens betrokken zijn, worden gemist Reputatierisico: Verlies van vertrouwen van cliënten Bekendmaking van boetes door toezichthouder 14 BOETE Regel Melding bij CBP, melding bij betrokkene, bijhouden overzicht inbreuken (artikel 34a lid 1, lid 2, lid 7, lid 8 Wbp) Maximale boete ,- Wijze van kennisgeving aan CBP en betrokkene (artikel 34a lid 3, lid 4, lid 5 en lid 11) ,- Niet-nakoming bindende aanwijzing (artikel 66 lid 5 Wbp) ,- Medewerkingsplicht (inclusief leveren documenten en inzicht in systemen) (artikel 5:20 Awb) ,- 7

8 15 COMPLIANCE - CALAMITEITEN Wat leg je klaar? Standaard reactie van directie/ raad van bestuur/ manager Voor: Betrokkenen Aandeelhouder Ondernemingsraad Pers Praktisch Brieven (weet ook waar je ze snel kan laten printen) Website die snel kan worden opgetuigd Telefoonnummer voor vragen Instructies voor klantenservice Webcare Call Center 16 LOCATIES TEEKENSKARSTENS LEIDEN Vondellaan 51 P.O. Box AE Leiden T F E [email protected] ALPHEN AAN DEN RIJN Prins Bernhardlaan 4 P.O. Box AK Alphen aan den Rijn T F E [email protected] 8