Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Maat: px

Weergave met pagina beginnen:

Download "Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016"

Rebecca van der Wolf
7 jaren geleden
Aantal bezoeken:

1 Iets te melden? PON-seminar- Actualiteiten Privacy Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

2 2

3 3

4 Waarom moet er gemeld worden? Transparantie en schadebeperking Bewustzijn Verhogen niveau gegevensbescherming Verhogen algehele beveiliging van IT systemen Kennis vergaren voor hulp en advies Voorkomen van maatschappelijke ontwrichting 4

5 Verschillende soorten lekken Security breach/veiligheidslek/ict-inbreuk: inbreuk op de beveiliging van een systeem die kan leiden tot verlies van data of verstoring van systemen; Data security breach/datalek: inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Persoonsgegevens: alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon. NB: een veiligheidslek kan dus ook een datalek zijn, maar dat hoeft niet zo te zijn! 5

6 Er is nog meer... Contracten/burgerlijk recht Wetboek van Strafrecht Telecommunicatiewet Wet op het financieel toezicht Wet bescherming persoonsgegevens Sectorspecifieke wetten, zoals de Elektriciteitswet, Gaswet, Waterwet e.d. 6

7 Algemene meldplicht datalekken Wie moet melden? De verantwoordelijke Wanneer en bij wie? Onverwijld bij de Autoriteit Persoonsgegevens bij een inbreuk op de beveiliging, bedoeld in art. 13 Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (zie art. 34a lid 1 Wbp) Onverwijld bij de betrokkene [degene wiens persoonsgegevens zijn gelekt] indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (zie art. 34a lid 2 Wbp) Sancties: Last onder dwangsom, bestuursdwang of bestuurlijke boete van max. EUR ,- of 10% jaaromzet (zie Boetebeleidsregels AP januari 2016) 7

8 Welke eisen stelt de Wbp aan beveiliging? Artikel 13 Wbp: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Cbp Richtsnoeren beveiliging van persoonsgegevens (februari 2013) plan-do-check-act cyclus Maar zie ook recente zaken AP, zoals Humannet-zaak (juni 2015): verwijzing naar normen van Forum Standaardisatie (overheidsnormen) om invulling te geven aan authenticatie die binnen systeem wordt toegepast 8

9 Beleidsregels meldplicht datalekken Grondslag Beleidsregels: art. 34a lid 11 Wbp Doel: ondersteunen verantwoordelijke bij meldingen en uitgangspunt voor handhaving door de AP Nadere invulling open normen van art. 34a Wbp Levend document: evaluatie, consultatie en aanpassing in de loop van 2017 of eerder indien aantal meldingen hiertoe aanleiding geeft 9

Wat is een datalek volgens de beleidsregels? Verlies of enige vorm van onrechtmatige verwerking daartegen moeten beveiligingsmaatregelen ex art.

10 Wat is een datalek volgens de beleidsregels? Verlies of enige vorm van onrechtmatige verwerking daartegen moeten beveiligingsmaatregelen ex art. 13 Wbp bescherming bieden Verlies: persoonsgegevens zijn vernietigd of verloren gegaan Onrechtmatige verwerking: o.m.: aantasting gegevens, onbevoegde kennisneming, wijziging of verstrekking gegevens Voorbeelden: Kwijtraken USB-stick; Diefstal laptop; Inbraak door hacker; Vergeten te bcc en in een Maar ook: malwarebesmetting en calamiteit zoals een brand in een datacentrum!

11 Lek of geen lek? Een database met persoonsgegevens wordt vernietigd als gevolg van een menselijke fout van een systeembeheerder. Er is een actuele back-up beschikbaar. Is er wel of geen sprake van een datalek? Een werknemer geeft zijn inloggegevens aan een derde, die daardoor toegang kan krijgen tot klantgegevens. Is er sprake van een datalek? DDOS-aanval? TOETS: Kunt u wel of niet redelijkerwijs uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking of verlies van persoonsgegevens heeft geleid? 11

12 Ransomware? Ontoegankelijke bestanden/bestanden versleuteld? Bevatten de bestanden persoonsgegevens? Om te versleutelen is toegang nodig: er is sprake van onbevoegde toegang -> onrechtmatige verwerking Risico op kopie/verkoop/manipulatie van gegevens Gewone regels melden datalek gelden Wel: impliciete onderzoeksplicht Meer: zie FAQ Datalekken en ransomware AP 3 oktober

13 Ernstige nadelige gevolgen? Aard van de getroffen gegevens: betreft het gevoelige gegevens? Bijv. bijzondere gegevens in de zin van art. 16 Wbp, gegevens over de financiële en economische situatie van de betrokkene, gegevens die kunnen leiden tot uitsluiting of stigmatisering, gebruikersnamen, wachtwoorden, inlog-gegevens, gegevens die kunnen worden misbruikt voor identiteitsfraude, gegevens uit DNA-databanken, gegevens die onder een beroepsgeheim vallen; Aard en de omvang van de inbreuk: veel gegevens per persoon en grote groepen van betrokkenen, beslissingen die op basis van de gegevens worden genomen (bijv. kredietwaardigheid bepalen), maken persoonsgegevens deel uit van een gegevensketen?, is er sprake van verwerking van gegevens van kwetsbare groepen? (denk aan blijf-van-mijn-lijf huis bewoners, verstandelijk gehandicapten). 13

14 Wel of niet melden aan de betrokkene? Technische maatregelen die voldoende bescherming bieden genomen? Stand en aard van de techniek? Let op: versleuteling (encryptie) niet altijd afdoende! Biedt geen bescherming tegen vernietiging of aantasting, versleuteling moet adequaat zijn (zie Europese Verordening 611/2013, ENISA, NCSC) en beoordeel restrisico. Remote wiping en pseudonimisering?) Norm art. 34a lid 6 Wbp streng geïnterpreteerd. Waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer? 14

15 Wel of niet melden aan de betrokkene (II)? Zwaarwegende redenen om melding achterwege te laten? Art. 43 onder e Wbp onder meer ter bescherming van de betrokkene of rechten en vrijheden van verantwoordelijke. Strenge noodzakelijkheidstoets. Feit dat melden administratieve lasten met zich brengt, in beginsel geen reden om melding achterwege te laten, tenzij sprake van disproportionele last. Rol AP 15

16 Inhoud melding aan betrokkene Melding aan betrokkene omvat minimaal (zie art. 34 lid 3 Wbp): Aard van de inbreuk; De instanties waar meer informatie over de inbreuk kan worden verkregen; De aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. In beginsel betrokkenen individueel informeren; Bij omvangrijke incidenten: combinatie van algemene voorlichting, bijv. via website en aan betrokkene. Enkel bericht in de media niet afdoende! Zo snel mogelijk melden en aan AP melden binnen hoeveel tijd betrokkenen worden geïnformeerd. Betrokkene moet maatregelen kunnen nemen. 16

17 Inhoud melding aan AP Zie webformulier en beleidsregels AP Gevolgen inbreuk omschrijven en aangeven welke maatregelen getroffen zijn of zullen worden om gevolgen te verhelpen Onverwijld? Omstandigheden van het geval spelen een rol 72 uur na ontdekking van het incident Eventueel al onvolledige melding indienen bij AP: later aanvullen of intrekken is mogelijk 17

18 Datalekregister Verplichting om intern overzicht van datalekken bij te houden (zie art. 34 lid 8 Wbp) Doeleinden: Lering trekken uit datalek en wijze waarop dit is afgehandeld; Antwoord kunnen geven op vragen van betrokkenen en anderen; Alsnog melden aan betrokkene (bijv. indien omstandigheden dit vereisen); Bewijsmateriaal in eventuele civiele of strafrechtelijke procedure. Overzicht niet openbaar 18

19 Bewerker? Verplicht contractuele afspraken met verantwoordelijke (zie art. 14 id 1 jo. lid 3 sub c Wbp): bewerkersovereenkomst en evt. proces meldplicht datalekken Verantwoordelijke blijft verantwoordelijk voor het voldoen aan de meldplicht; maar bewerker mag wel voor de verantwoordelijke een melding bij AP doen Afspraken over o.m.: Melden inbreuk wie doet het? Informatieverstrekking Schadebeperking Ondersteuning bij melden aan AP en betrokkenen Aansprakelijkheid en schadebegrip Contractuele boete? 19

20 Kritiek op meldplicht Koppeling aan beveiligingsmaatregelen uit artikel 13 Wbp maar zie Beleidsregels: ook als geen maatregelen zijn genomen en er sprake is van blootstelling aan verlies of onrechtmatige verwerking Als algemene beveiliging niet is bijgewerkt, zal een inbreuk vaak niet eens worden opgemerkt Administratieve last voor bedrijven die ook in de toekomst te maken gaan krijgen met Europese meldplichten Gebrek aan efficiëntie, meldingsmoeheid, gebrek aan handhavingscapaciteit 20

21 En Europa dan? Europese Privacyverordening art. 33 en 34 AVG Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens Bewerker moet verantwoordelijke zonder onredelijke vertraging informeren Verantwoordelijke moet zonder onredelijke vertraging en indien mogelijk binnen 72 uur melden bij lokale toezichthouder. Melden aan betrokkene als inbreuk waarschijnlijk hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen Boete max. EUR 10 miljoen of 2% wereldwijde omzet: Let op: ook bewerker kan worden beboet! Documentatieplicht Vanaf 25 mei 2018 van toepassing 21

22 22

23 Vragen? Friederike van der Jagt Friederike van der Jagt Senior Legal Counsel Privacy T E friederike.vanderjagt@avast.com

Vergelijkbare documenten

Protocol meldplicht datalekken

160235/1180 Protocol meldplicht datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij de