De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Maat: px

Weergave met pagina beginnen:

Download "De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015"

Tessa Moens
8 jaren geleden
Aantal bezoeken:

1 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015

2 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy en cybersecurity vraagstukken in grote organisaties Winnaar HP-IAPP Privacy Innovation Award 2013 voor online platform

3 Even voorstellen mr. Nathalie Falot Juridisch Adviseur Gespecialiseerd in privacy & data-bescherming en de juridische aspecten van cybersecurity voor grote organisaties

4 Waarom een meldplicht voor datalekken?

5 Datalekken in de media

6 Toename in datalekken - In de eerste helft van 2015 vonden wereldwijd 888 datalekken* plaats, waarbij 246 records werden aangetast. - Dit is een toename van 10% ten opzichte van de eerste helft van In 53% van de datalek was sprake van identiteitsdiefstal Bron:

7 Privacy en de bescherming van persoonsgegevens

8 Juridisch kader Artikel 10 Grondwet: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. En: De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Wet bescherming persoonsgegevens

9 De Wet bescherming persoonsgegevens Wat willen we gaan doen? Hebben we een grondslag? Hoe gaan we zorgvuldig om met de gegevens? Gerechtvaardigd doel Materiële eisen Wbp

10 Artikel 13 Wbp Artikel 13 De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

11 De meldplicht datalekken: 1 januari 2016 Artikel 34a Wbp (nieuw) een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.

12 Is de meldplicht datalekken van toepassing? 1. U verwerkt persoonsgegevens 2. U bent verantwoordelijke voor deze verwerking 3. U bent niet uitgezonderd van de Wet bescherming persoonsgegevens (Wbp) 4. Er is sprake van een datalek in de zin van de Wbp

13 Een datalek in de zin van de Wbp

14 Bron: Cbp Conceptrichtsnoeren meldplicht datalekken

15 Voorbeelden van datalekken (Cbp conceptrichtsnoeren) Onder een datalek valt niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. een kwijtgeraakte USB-stick; een gestolen laptop; een inbraak door een hacker; verzending van waarin de adressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; een malware-besmetting; een calamiteit zoals een brand in een datacentrum. Cbp: Conceptrichtsnoeren meldplicht datalekken

16 Moet het datalek gemeld worden?

17 Niet ieder datalek moet worden gemeld Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? Melding: uiterlijk op de tweede werkdag na de ontdekking van het incident Bron: Cbp Conceptrichtsnoeren meldplicht datalekken

18 Melding doen aan betrokkene? Bron: Cbp Conceptrichtsnoeren meldplicht datalekken

19 Wat zijn de risico s? Onderzoek met bindend advies Boetebevoegdheid van of 10% van de jaaromzet Maar ook privaatrechtelijke of strafrechtelijke aansprakelijkheid voor bestuur en/of beroepsaansprakelijkheid!

20 Hoe kunt u zich hierop voorbereiden?

21 Bereid u voor op de meldplicht Zorg voor adequate beveiliging, zowel technisch als organisatorisch Cbp richtsnoeren: beveiliging van persoonsgegevens Zorg dat u op de hoogte bent van potentiele datalekken Richt procedures in om snel een potentieel datalek te onderzoeken en te melden Incident response Maak afspraken met uw bewerker

22 Incident Response & Responsible Disclosure Incident Response Wat te doen bij een datalek? Zorg (naast de technische aspecten) minimaal voor: - een plan waarin interne afstemming bij een datalek is vastgelegd (welke personen van welke afdelingen moeten worden betrokken?) - duidelijke informatievoorziening voor medewerkers, klantenservice en persvoorlichting.

23 Privacy & Security: Plan van Aanpak Plan Do Check Act Bedrijfsprocessen Bepalen stand van zaken Formuleren privacy & security beleid IT organisatie Bedrijfscultuur Monitoring Handhaving Aanpassen Reageren

24 Wat doet Europa? Algemene Verordening Gegevensbescherming

25 Europese Verordening Gegevensbescherming In een notendop: Documentatie en accountability eisen: - Verplicht privacybeleid - Verplicht securitybeleid Verplichte data protection impact assessments Data protection by design én by default Privacy Officer/ Functionaris Gegevensbescherming (?) Meldplicht datalekken (NL loopt vooruit op de Verordening)

26 Aankomend: Verordening gegevensbescherming Niet hebben van een duidelijk privacybeleid = tot 1M of 2% van de jaaromzet Niet hebben van afspraken bij samenwerking = tot 500K of 1% van de jaaromzet Geen beveiligingsbeleid = tot 1M of 2% van de jaaromzet Geen beleid voor privacy by design & privacy by default = tot 1M of 2% van de jaaromzet Niet doen van Privacy Impact Assessments = tot 1M of 2% van de jaaromzet Niet melden van datalekken = tot 500k of 1% van de jaaromzet Gebaseerd op het Commissie-voorstel. Parlement wil boetes tot 100 miljoen of 5% van globale jaaromzet

27 Waar staat de Verordening? General Approach agreed on Start Trialogue: June 25, 2015

28 Privacychecker.eu

29 Contactgegevens Contact mr. Nathalie Falot falot@considerati.com Considerati Algemeen: info@considerati.com

Vergelijkbare documenten

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht