Datalekken: de meldplicht komt eraan

Transcriptie

1 Datalekken: de meldplicht komt eraan Datalekken zijn gevallen van verlies, diefstal of misbruik van persoonsgegevens (Regeerakkoord 2010) Inleiding Datalekken halen steeds vaker het nieuws. Grote recente voorbeelden zijn de hack bij het Sony PlayStation Network en Sony Online Entertainment (ongeveer 100 miljoen getroffen gebruikers) 1 en LinkedIn (6,5 miljoen wachtwoorden gepubliceerd). 2 In Nederland zorgde de publicatie van gegevens van 539 KPN-klanten begin 2012 voor paniek, 3 en werd het Groene Hart Ziekenhuis getroffen door een lek van patiëntgegevens. 4 De privacy van betrokkenen komt in het geding als hun persoonsgegevens buiten een organisatie bekend worden. Verder kunnen gestolen gegevens gebruikt worden voor zogenaamde identity fraud, zoals het doen van betalingen met verkregen creditcardgegevens. Kosten voor een onderzoek naar de oorzaak van een datalek en de verslechtering van de reputatie zijn schadeposten voor het getroffen bedrijf. De privacy van betrokkenen komt in het geding als hun persoonsgegevens buiten de organisatie bekend worden. Op dit moment geldt alleen voor aanbieders van openbare elektronische communicatiediensten een wettelijke plicht om een datalek te melden. Voor overige ondernemingen ligt er op nationaal niveau een voorstel tot wijziging van de Wbp waarin een meldplicht datalekken is opgenomen. Ook het voorstel van de Europese Commissie voor de op 25 januari geplubiceerde concept Verordening 5 bevat een meldplicht. Het feit dat voor veel Nederlandse ondernemingen op dit moment nog geen meldplicht datalek van kracht is, betekent echter niet dat het achterwege laten van een melding altijd raadzaam is. Het niet melden van een datalek kan onder omstandigheden als onrechtmatige daad worden aangemerkt, bijvoorbeeld omdat de betrokken persoon onnodig schade lijdt. Verder kan een datalek een zelfstandig strafbaar feit of onrechtmatige daad opleveren, bijvoorbeeld in geval van schending van de medische geheimhoudingsplicht. Deze punten worden in dit hoofdstuk niet verder beschreven. Meldplicht internet- en telecomproviders Met de implementatie van de gewijzigde e-privacyrichtlijn 6 is een meldplicht voor datalekken in het nieuwe artikel 11.3a Telecommunicatiewet (Tw) 7 opgenomen. De meldplicht is sinds 5 juni 2012 van kracht en geldt met name voor aanbieders van openbare elektronische communicatiediensten. 8 Daaronder vallen internetserviceproviders zoals XS4ALL, Ziggo en UPC en telecomproviders zoals KPN, Vodafone en T-Mobile. Deze aanbieders moeten beveiligingsmaatregelen treffen ter bescherming van de persoonsgegevens en privacy van abonnees en gebruikers van hun netwerken. Artikel 11.3a Tw verplicht de aanbieders iedere inbreuk op deze beveiligingsmaatregelen aan de OPTA te melden, indien deze inbreuk nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Melding aan de betrokken abonnees en gebruikers moet plaatsvinden als de inbreuk waarschijnlijk nadelige gevolgen zal hebben voor hun privacy. Melding aan betrokkenen moet plaatsvinden als de inbreuk waarschijnlijk nadelige gevolgen heeft voor hun privacy. Hierbij maakt de wetgever dus een onderscheid tussen (i) inbreuken waarbij nadelige gevolgen voor de bescherming van persoonsgegevens zijn te verwachten en (ii) inbreuken waarbij bovendien nadelige gevolgen voor de privacy te verwachten zijn. Situatie (i) moet alleen gemeld 1 Zie de communicatie van Sony hierover op het PlayStation Blog, o.a. onder: com/2011/04/22/update-on-playstation-network-qriocity-services/ Zie toezegging-over-informatie-hack-groene-hart-ziekenhuis/lp-v-j pdf. 5 Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/1/2012, COM(2012) 11 final. Te vinden op 6 Richtlijn 2009/136/EG van het Europese Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, Pb EU Nr. L337/11 van 18/12/ Stb. 1998, Wet van 10 mei 2012 tot wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen, Stb. 2012, privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 69

2 worden aan de OPTA, situatie (ii) moet zowel aan de OPTA als aan de betrokken personen gemeld worden. Het verschil tussen deze twee situaties lijkt in de praktijk lastig vast te stellen. Een veilig uitgangspunt is om in elk individueel geval te bepalen of de privacy wel of niet wordt geschaad. In de Memorie van Toelichting 9 bij het wetsvoorstel voor de algemene meldplicht in de Wbp 10 (zie hieronder meer) wordt gesteld dat het hacken van een ledenadministratie van een sportvereniging ongemak kan veroorzaken, maar dat dit kort gezegd waarschijnlijk geen negatieve gevolgen zal hebben voor de privacy van betrokkenen. Anders is dat bij een hack van een bestand met persoonsgegevens van de Belastingdienst of de Sociale Verzekeringsbank (SVB). Melding aan betrokkenen is niet verplicht als beschermingsmaatregelen zijn getroffen waardoor de betreffende persoonsgegevens versleuteld (encrypted) of op andere technische wijze onbegrijpelijk zijn gemaakt voor onbevoegden. Dan zijn immers ook geen nadelige gevolgen voor de privacy te verwachten. In de meldingen moet de aard van de inbreuk worden beschreven en deze moet de contactgegevens bevatten van de instanties waar de betrokkene terecht kan met vragen en informatie over de maatregelen die de betrokkene moet of kan nemen (bijv. veranderen van wachtwoord of gebruikersnaam). Voorts is de aanbieder verplicht aan de OPTA een beschrijving van de verwachte gevolgen te sturen, tezamen met informatie over de getroffen of voorgestelde maatregelen om de gevolgen te verhelpen. Deze informatie hoeft niet aan de betrokkene te worden verstrekt omdat de wetgever ervan uitgaat dat betrokkenen niet alles behoeven te weten (zoals technische gegevens), terwijl sommige gegevens vertrouwelijk van aard zijn. Ten slotte is de aanbieder verplicht een overzicht bij te houden van alle inbreuken. De Telecommunicatiewet geeft de OPTA de mogelijkheid een boete van maximaal EUR op te leggen in geval van schending van de plicht beveiligingsmaatregelen te nemen of het niet naleven van de meldingsplicht. 11 OPTA kan een boete van maximaal EUR opleggen voor het niet naleven van de meldingsplicht voor elektronische communicatiediensten. Een onderneming die onder de meldplicht van de Tw valt moet een inbreuk op een beveiligingsmaatregel melden zodra zij daarvan de kennis heeft. Dat roept de vraag op of die kennis er al is als de ICT-afdeling een lek ontdekt of pas als de Raad van Bestuur op de hoogte is gesteld. Het antwoord is vermoedelijk dat een onderneming haar organisatie zo zal moeten 9 Zie noot Stb. 2001, Artikel 15.4 lid 4 juncto 15.1 lid 3 juncto 11.3 en 11.3a Tw. inrichten dat een datalek meteen na ontdekking wordt gemeld bij de verantwoordelijke personen binnen de onderneming en dat onverwijld de afweging wordt gemaakt of moet worden gemeld of niet. Onder omstandigheden kan het verdedigbaar zijn dat het datalek wordt gedicht voordat melding plaatsvindt, om verder misbruik zoveel mogelijk te voorkomen. Aan de andere kant kan de verplichting om de nadelige gevolgen voor betrokkenen zoveel mogelijk te beperken meebrengen dat zo snel mogelijk wordt gemeld. Omdat de melding mede betrekking heeft op de hoeveelheid en het type gegevens dat aan risico s is blootgesteld zal enig onderzoek nodig zijn voordat tot een melding kan worden overgegaan. Uiteraard dient dat onderzoek voortvarend en efficiënt plaats te vinden om zoveel mogelijk te kunnen voldoen aan het vereiste dat de melding onverwijld na kennisname van het datalek wordt gedaan. De meldplicht brengt mee dat een getroffen onderneming een datalek zelfstandig naar buiten moet brengen, met alle mogelijk nadelige (publicitaire) gevolgen van dien. Het is dan ook raadzaam daarvoor een communicatieplan voor te bereiden. Bij het melden en communiceren over het datalek dient geen bedrijfsgevoelige informatie te worden verspreid. Daarmee moet in het communicatieplan rekening worden gehouden. Algemene meldplicht Op dit moment ligt een wetsvoorstel tot wijziging van de Wbp voor advies bij de Raad van State, 12 waarin onder meer een algemene meldplicht voor datalekken is opgenomen. Dit wetsvoorstel is op dit moment nog niet openbaar, maar eerder is wel een consultatiedocument gepubliceerd. 13 Hieruit blijkt dat in de Wbp een meldplicht wordt ingevoerd voor alle ondernemingen in de publieke en private sector, met uitzondering van aanbieders van Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de verruiming van de mogelijkheid van het gebruik van camerabeelden van strafbare feiten ten behoeve van de ondersteuning van de rechtshandhaving en de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (gebruik camerabeelden en meldplicht datalekken) (versie consultatie en advies - dec 11). Te vinden op camerabeelden. De consultatie is 29 februari 2012 gesloten. Het wijzigingswetsvoorstel voor de Wbp bevat ook een regeling voor het gebruik van camerabeelden met daarop mogelijke strafbare feiten door particulieren. Camerabeelden met daarop mogelijk strafbare feiten vallen onder de strikte regelgeving van artikel 22 Wbp en mogen maar beperkt worden gebruikt. Op verzoek van staatssecretaris Teeven van Veiligheid en Justitie zullen aanvullende gronden worden gecreëerd op basis waarvan onder andere particulieren deze beelden voor opsporing mogen gebruiken. Kennelijk is veel beeldmateriaal beschikbaar en wordt dit op dit moment onvoldoende wordt gebruikt. Schijnbaar zal een efficiënte manier van gebruik van deze beelden leiden tot meer opsporing. 70privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 71

3 openbare elektronische communicatiediensten en financiële instellingen. 14 Het toezicht op datalekken wordt geconcentreerd (ook voor telecom- en internetproviders). Het College Bescherming Persoonsgegevens (CBP) krijgt de bevoegdheid een boete van maximaal EUR op te leggen voor het niet voldoen aan de meldplicht. Het CBP kan een boete van maximaal EUR opleggen voor schending van de algemene meldplicht voor andere ondernemingen. Op grond van een nieuw artikel 34a Wbp is de verantwoordelijke verplicht datalekken te melden aan het CBP en aan de betrokkenen. In aanvulling daarop wordt de verantwoordelijke verplicht om in de bewerkersovereenkomst vast te leggen dat de bewerker de verantwoordelijke onmiddellijk informeert als hij vaststelt dat een beveiligingsmaatregel van persoonsgegevens die hij voor verantwoordelijke bewerkt, is geschonden. De regeling in de Wbp komt inhoudelijk grotendeels overeen met die van de meldplicht in de Telecommunicatiewet. Een belangrijk verschil is dat een datalek onder het voorgestelde artikel 34a Wbp alleen aan betrokkenen én het CBP hoeft te worden gemeld indien dit kan leiden tot verlies of onrechtmatige verwerking van persoonsgegevens met nadelige gevolgen voor de privacy. Zoals hierboven beschreven dient op grond van de Telecommunicatiewet iedere inbreuk waarbij persoonsgegevens betrokken zijn te worden gemeld aan de OPTA, ook als geen nadelige gevolgen voor de privacy te verwachten zijn. Beoordeling inbreuk Op grond van de Wbp moet de getroffen onderneming zelf toetsen of de inbreuk nadelige gevolgen kan hebben voor de privacy en daarom in aanmerking komt voor melding. Het criterium daarvoor is of van de inbreuk redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden. Om daaraan invulling te geven is het raadzaam een stapsgewijze benadering te kiezen. opgeslagen. Ook bij verlies van een niet of onvoldoende beveiligde USB-stick, smartphone of laptop met persoonsgegevens is die aanname gerechtvaardigd. Ten tweede moet worden bepaald of het risico op verlies of onrechtmatige verwerking aanmerkelijk is. Daarbij moet worden gekeken naar de aard en de omvang van het datalek. In de regel zal het risico gering zijn als het gaat om het verlies van een enkel apparaat met een beperkte hoeveelheid niet-gevoelige persoonsgegevens (bijvoorbeeld een smartphone met een lijst met contacten). Het risico zou echter aanmerkelijk kunnen zijn als een abonneebestand op een website is gehackt. Als wachtwoorden of financiële gegevens zijn gelekt kunnen de nadelige gevolgen voor de privacy van de betrokkene groot zijn. De derde stap is na te gaan wat de nadelige gevolgen voor de privacy voor de betrokken personen zijn. Daarbij gaat het primair om de aard van de persoonsgegevens. Een voorbeeld is de in de inleiding genoemde hack van patiëntgegevens van een ziekenhuis. Ook als wachtwoorden of financiële gegevens betrokken zijn, kunnen de nadelige gevolgen voor de privacy van de betrokkene groot zijn. Het wetsvoorstel meldplicht datalekken bevat een boete van maximaal EUR voor schendingen van de meldplicht. In tegenstelling tot de Telecommunicatiewet wordt een datalek an sich niet bestraft. In het licht van de huidige Wbp is EUR overigens een aanzienlijke boete; de hoogste boete die nu in de Wbp is opgenomen is EUR Europese privacyverordening Artikelen 31 en 32 concept Verordening bevat eveneens een meldplicht voor datalekken. Evenals in de Telecommunicatiewet moeten alle inbreuken waarbij persoonsgegevens betrokken zijn worden gemeld aan de toezichthouder en dienen betrokken personen te worden geïnformeerd als negatieve gevolgen voor de privacy waarschijnlijk zijn. De eerste stap is om vast te stellen of persoonsgegevens zijn blootgesteld aan het risico op verlies of onrechtmatige verwerking. Deze beoordeling moet objectief gebeuren. In praktijk is het prudent om aan te nemen dat dit risico in beginsel bestaat als een derde zonder medeweten van de verantwoordelijke toegang heeft gehad tot de gegevens. Dat is bijvoorbeeld het geval bij een geslaagde hack van een gedeelte van het IT-systeem waar persoonsgegevens zijn 14 De regels voor integere bedrijfsvoering in de Wet op het financieel toezicht bevatten al een beveiligings- en meldplicht. De concept Verordening bevat een afzonderlijke verplichting voor de bewerker om een inbreuk op de beveiligingsmaatregelen aan de verantwoordelijke te melden. Inbreuken moeten worden gemeld zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat de verantwoordelijke ervan kennis heeft gekregen. Een melding die later is gedaan, dient te worden vergezeld van een motivering. De boete voor opzettelijk of nalatig niet, niet tijdig of niet volledig melden valt in de hoogste categorie (tot EUR of, bij een onderneming, 2% van haar jaarlijkse wereldwijde omzet). 15 Artikel 75 lid 2 Wbp. 72privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 73

4 Wetgevend traject Op dit moment is moeilijk te voorspellen wanneer een algemene meldplicht voor datalekken van kracht wordt voor ondernemingen en wat daarvan de precieze inhoud zal zijn. Het wetsvoorstel meldplicht datalekken is in 2012 ingediend bij de Raad van State en het wetgevend traject duurt daarna doorgaans al gauw 24 maanden (dus tot eind 2014). Tegen die tijd zal ook de concept Verordening een groot deel van het wetgevend traject hebben afgelegd. Mocht de Nederlandse wet eerder gereed zijn dan zal de regering moeten beslissen of het zinvol is deze alvast in werking te laten treden, of dat het verstandiger is om inwerkingtreding van de Verordening af te wachten. Vaststaat in elk geval dat er een algemene meldplicht voor datalekken komt. Gezien het feit dat de meldplicht onder de concept Verordening dezelfde is als die onder artikel 11.3a Telecommunicatiewet lijkt het voor ondernemers in andere sectoren raadzaam om zich daarnaar te richten. In elk geval staat vast dat er een algemene meldplicht voor datalekken komt. Tips & Tricks Inventariseer waar in de onderneming welke gegevens worden verwerkt, met de nadruk op gevoelige gegevens. Inventariseer de mogelijke risico s van verlies van gegevens. Voer een praktisch maar strikt beleid ten aanzien van de opslag van persoonsgegevens door werknemers op draagbare apparatuur, zoals laptops, ipads, smartphones en USB-sticks. Zorg voor afdoende beveiliging van draagbare apparatuur die voor opslag van persoonsgegevens wordt gebruikt (inclusief de mogelijkheid bij verlies van apparatuur de gegevens op afstand te vernietigen). Indien de onderneming werknemers toestaat eigen apparatuur voor haar werkzaamheden te gebruiken, voer dan een strikt beleid ten aanzien van persoonsgegevens die daarop mogen worden opgeslagen en hun beveiliging. Inventariseer risico s in de ICT-infrastructuur (met name website en databases) en bij decentrale opslag van persoonsgegevens (randapparatuur; dossierkasten). Stel een actieplan op dat moet worden uitgevoerd ingeval van een datalek (zie hierna voor een voorbeeld). Zorg voor training van de betrokken werknemers in de uitvoering van het actieplan. Stel een communicatieplan op voor het naar buiten brengen van de melding. 74privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 75

5 Actieplan Datalek 1. Zorg voor een vast team voor de behandeling van datalekken (IT ers, privacyverantwoordelijke, juristen, communicatiedeskundigen). Laat het team regelmatig het Actieplan oefenen. 2. Het datalek wordt gemeld aan de contactpersoon voor datalekken. Dit zal doorgaans de privacyverantwoordelijke binnen de onderneming zijn (privacy officer, compliance officer, functionaris voor de gegevensbescherming, bedrijfsjurist). 3. De contactpersoon licht onmiddellijk het team datalekken in. 4. De contactpersoon licht onmiddellijk de verantwoordelijke bestuurder in. 9. Als het incident moet worden gemeld of melding wenselijk is, stelt de contactpersoon, in overleg met de communicatiedeskundige en, waar nodig, de IT ers en de juristen in het team, de melding op. 10. Als zich een strafbaar feit heeft voorgedaan, bijvoorbeeld een hack of diefstal van gegevens, moet worden overwogen aangifte bij de politie te doen. 11. Indien nodig: de communicatiedeskundige stelt een persbericht op en voert het communicatieplan uit. 12. De contactpersoon onderhoudt contacten met de toezichthouder over de melding en verstrekt op verzoek nadere informatie. 5. Het team datalekken start een onderzoek naar het incident, waarbij in ieder geval het volgende wordt onderzocht: a. Welke inbreuk op de beveiligingsmaatregelen heeft plaatsgevonden (hack, verlies gegevens etc.) en wanneer? b. Welk onderdeel van het IT-systeem is betrokken (website, database etc.) en/of welke apparatuur en waar is deze verloren/gestolen? c. Welke gegevens zijn mogelijk betrokken? d. Wat zijn de (verwachte) consequenties van het incident? 13. Na afronding van het incident wordt de uitvoering van het Actieplan en het incident zelf onder leiding van de contactpersoon geëvalueerd. Op basis van de evaluatie worden eventuele verbeteringen in het Actieplan en preventieve maatregelen vastgesteld. 6. De IT ers in het team identificeren maatregelen om de beveiliging te herstellen en voeren deze uit. 7. De contactpersoon en de juristen in het team stellen vast of het incident moet worden gemeld op grond van de wet en of sprake is van een strafbaar feit. Daarbij moet worden vastgesteld: a. Is er sprake van een inbreuk op beveiligingsmaatregelen? Zo niet, dan is er geen meldplicht. b. Zo ja, zijn de verwerkte persoonsgegevens blootgesteld aan een aanmerkelijk risico van verlies of onrechtmatige verwerking? c. Zo ja, leidt het verlies of de onrechtmatige verwerking redelijkerwijs tot nadelige gevolgen voor de persoonsgegevens en persoonlijke levenssfeer van de betrokkenen? 8. Indien er geen meldplicht is stellen contactpersoon en juristen vast of het desondanks wenselijk is het incident te melden. Daarbij moeten worden betrokken de aard en de omvang van de inbreuk, de mate waarin gevoelige gegevens zijn betrokken en de mogelijke nadelige consequenties voor de betrokken personen. 76privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 77

6 Het privacyteam van Houthoff Buruma bestaat uit: Wolter Wefers Bettink partner bij Houthoff Buruma en gespecialiseerd in IP en IT litigation, privacy en e-business T w.bettink@houthoff.com Thomas de Weerd partner bij Houthoff Buruma en gespecialiseerd in IT, outsourcing, privacy en e-business T t.de.weerd@houthoff.com Copyright 2013 Houthoff Buruma Voorbehoud: Het is toegestaan om korte passages uit deze uitgave te citeren in andere publicaties, op voorwaarde dat duidelijk aan bronvermelding wordt gedaan. Aanbevolen citeerwijze: Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma. Voor het overige mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder de voorafgaande schriftelijke toestemming van Houthoff Buruma. Deze uitgave is bedoeld ter informatie en niet als juridisch advies. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaardt Houthoff Buruma geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen daarvan. 78privacy: tips en tricks voor de ondernemingspraktijk HOUTHOFF BURUMA 79