Knowledge Portal NJB 2012/1415. Aflevering NJB 2012, afl. 25 Publicatiedatum Auteur Friederike van der Jagt [1] Titel Iets te melden?
|
|
- Maurits van der Wolf
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Knowledge Portal NJB 2012/1415 Aflevering NJB 2012, afl. 25 Publicatiedatum Auteur Friederike van der Jagt [1] Titel Iets te melden? De diverse datalekmeldplichten in kaart gebracht Samenvatting Bedrijven moeten zich gaan voorbereiden op diverse meldplichten want er liggen verschillende wetsvoorstellen op zowel nationaal als Europees niveau die voorzien in nadere verplichtingen om datalekken te melden. Om schade ontstaan uit een lek zoveel mogelijk te voorkomen en de voorgenomen sancties te ontlopen, is een adequate bedrijfsvoering op dit punt van groot belang. Dit artikel geeft een overzicht van deze voorstellen. Daarbij zal aandacht worden besteed aan de voorgestelde meldplicht voor de telecommunicatiesector, de voorstellen voor de invoering van een algemene meldplicht ten aanzien van inbreuken op persoonsgegevens en het plan om een zogenaamde security breach notification in te voeren. Tekst De DigiNotar-affaire, waarbij na een hack valse beveiligingscertif caten waren uitgegeven, heeft pijnlijk duidelijk gemaakt dat websites vaak niet goed beveiligd zijn. De website Webwereld riep vervolgens oktober 2011 uit tot Lektober, waarbij elke dag een ander ICT-privacylek bij de overheid of in het bedrijfsleven werd gepubliceerd. [2] Recentelijk bleek dat door een lek in het ictsysteem Humannet, de personeels- en medische dossiers van meer dan werknemers op straat lagen. [3] Deze gebeurtenissen hebben de discussie over de beveiliging van persoonsgegevens nieuw leven ingeblazen. Maar de vraag in hoeverre een bedrijf verplicht moet worden om datalekken te melden speelt langer. Partijen kunnen contractueel overeenkomen dat zij datalekken aan elkaar melden. Dit kan tevens op grond van de redelijkheid en billijkheid ex art. 6:248 BW uit een overeenkomst voortvloeien. Ook bij een overeenkomst tot opdracht kan op grond van art. 7:401 BW worden aangenomen dat een opdrachtnemer in het kader van zijn zorgplicht, de opdrachtgever op de hoogte moet stellen van een datalek binnen zijn organisatie. Het niet-melden van een datalek kan buiten een contractuele relatie om ook leiden tot een onrechtmatige daad ex art. 6:162 BW. Naast deze civielrechtelijke verplichtingen geldt dat een ieder op grond van art. 160 Sv verplicht is om aangifte te doen bij de politie indien hij kennis draagt van bepaalde bijzondere misdrijven waarbij sprake is van een levensgevaarlijke situatie of van schending van een staatsgeheim. Hier kunnen misdrijven onder vallen waarbij sprake is van datalekken. Tevens kan worden betoogd dat uit de Wet bescherming persoonsgegevens (Wbp) een impliciete verplichting tot het melden van datalekken kan worden afgeleid ex art. 6 Wbp (de verplichting om gegevens zorgvuldig te verwerken) en/of de informatieverplichtingen ex art. 33 en 34 Wbp. Voor f nanciële instellingen gelden op grond van de Wet op het f nancieel toezicht (Wft) specif eke meldplichten. Er zijn momenteel verschillende wetsvoorstellen op zowel nationaal als Europees niveau die voorzien in nadere verplichtingen om datalekken te melden. Dit artikel geeft een overzicht van deze voorstellen. Daarbij zal aandacht worden besteed aan de voorgestelde meldplicht voor de telecommunicatiesector, de voorstellen voor de invoering van een algemene meldplicht ten aanzien van inbreuken op persoonsgegevens en het plan om een zogenaamde security breach notification in te voeren. Meldplicht op grond van de Telecommunicatiewet De Eerste Kamer heeft onlangs het wetsvoorstel tot herziening van de Telecommunicatiewet (Tw) aangenomen. [4] Met deze wetswijziging zullen onder meer de Richtlijn Burgerrechten [5] en de Richtlijn Betere Regelgeving [6] worden geïmplementeerd. [7] In de Richtlijn Burgerrechten is een meldplicht opgenomen ten aanzien van inbreuken op persoonsgegevens. De Richtlijn Betere Regelgeving bevat een verplichting tot het melden van veiligheidsinbreuken en integriteitsverlies die een impact hebben op de continuïteit van openbare elektronische communicatienetwerken en -diensten. Beide meldplichten gelden uitsluitend voor de aanbieders van openbare elektronische communicatienetwerken en -diensten. [8] Gelet op de reikwijdte van dit artikel wordt deze tweede meldplicht slechts kort aangestipt. De achtergrond van de eerste meldplicht is erin gelegen dat een inbreuk op persoonsgegevens voor een betrokkene zeer nadelige consequenties kan hebben wanneer hij hiervan niet tijdig op de hoogte is en het achterliggende probleem niet adequaat wordt opgelost. [9] Dit kan leiden tot maatschappelijke schade, identiteitsfraude of economisch verlies. Het wetsvoorstel def nieert het begrip inbreuk in een nieuw art onderdeel j Tw als: een inbreuk op de beveiliging die resulteert in een onbedoelde of onwettige vernietiging, verlies, wijziging, niet geautoriseerde toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie. In art. 11.3a Tw is de meldplicht ten aanzien van privacyinbreuken opgenomen: De aanbieder van een openbare elektronische communicatiedienst stelt het college onverwijld in kennis van een inbreuk op de beveiliging [.] die nadelige gevolgen heeft voor de bescherming van persoonsgegevens [ ] (lid 1). Alleen inbreuken die plaatsvinden op het eigen netwerk van de aanbieder moeten gemeld worden. [10] Verschillende Europese toezichthouders leggen dit echter breder uit; ook zoekgeraakte USB-sticks of verloren laptops kunnen hieronder vallen. [11] Met het college wordt de Onafhankelijke Post en Telecommunicatieautoriteit (OPTA) bedoeld. De OPTA kan onderzoeken of sprake is van een inbreuk die invloed heeft op de persoonlijke levenssfeer van de betrokkenen, of de aanbieder de juiste maatregelen neemt en bezien of de betrokkenen moeten worden geïnformeerd. [12] De aanbieder moet zelf de betrokkenen wier persoonsgegevens het betreft onverwijld in kennis stellen als het waarschijnlijk is dat de inbreuk ongunstige gevolgen zal hebben voor de privacy van de betrokkene (lid 2). Zowel bij de melding aan de OPTA als aan de betrokkene moeten de aard
2 van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de maatregelen die worden aangeraden om de negatieve gevolgen van de inbreuk te beperken vermeld worden. Bij de melding aan de OPTA moeten tevens de gevolgen van de inbreuk op de persoonsgegevens en de maatregelen die zijn of zullen worden genomen om de inbreuk aan te pakken worden vermeld (lid 3). Het kan zo zijn dat een aanbieder besluit om de betrokkenen niet te informeren, omdat hij meent dat het niet waarschijnlijk is dat de inbreuk ongunstige privacygevolgen zal hebben. Indien de OPTA hier anders over denkt, kan zij de aanbieder verplichten alsnog de betrokkenen over de inbreuk te informeren (lid 4). Daartegenover staat, dat de betrokkenen niet hoeven te worden geïnformeerd indien de OPTA oordeelt dat de aanbieder de betreffende persoonsgegevens dusdanig heeft versleuteld, dat derden die geen recht hebben op toegang tot de persoonsgegevens, niets met de versleutelde data kunnen (lid 5). Aanbieders moeten ook een niet-openbare lijst bijhouden waarop alle inbreuken op de persoonsgegevens vermeld staan (lid 6). [13] Het nieuwe hoofdstuk 11a Tw ziet op de continuïteit van de openbare elektronische communicatienetwerken en -diensten en bevat de meldplicht ten aanzien van veiligheidsinbreuken en integriteitsverlies (art. 11a.2 Tw). [14] In de praktijk kan er een overlap bestaan tussen een privacyinbreuk en een veiligheidsinbreuk. Om de administratieve lasten zoveel mogelijk te beperken, is er een centraal loket Meldplicht Telecomwet ingesteld bij het Agentschap Telecom. [15] Het loket fungeert als doorgeef uik naar de juiste instantie(s). [16] Op de website van het loket zullen twee formulieren worden geplaatst waarmee de melding kan worden verricht. Er is ook een speciaal telefoonnummer waar 24 uur per dag gemeld kan worden. [17] Op grond van de voorgestelde wijzigingen van art Tw en het huidige art Tw is de OPTA (ten aanzien van privacy-inbreuken) respectievelijk de Minister van Economische Zaken (ten aanzien van veiligheidsinbreuken) bevoegd om een bestuurlijke boete van maximaal op te leggen. Diverse telecomaanbieders hebben aangegeven dat zij zich zorgen maken over de uitvoerbaarheid van de meldplicht. De reden daarvoor is dat een veiligheidsinbreuk niet altijd kenbaar en een privacyinbreuk niet altijd makkelijk te achterhalen is. [18] De memorie van toelichting stelt daarover dat indien de beveiligingsmaatregelen in orde zijn maar toch een privacyinbreuk plaatsvindt die niet wordt opgemerkt, het niet-melden daarvan niet aan de aanbieder zal worden tegengeworpen. [19] Hoewel begrijpelijk, vormt deze uitleg het startpunt van discussie over wanneer een inbreuk al dan niet opgemerkt had moeten worden. De praktijk zal moeten uitwijzen hoe de toezichthouder hiermee omgaat. Meldplicht op grond van de Wet bescherming persoonsgegevens In december 2011 is een voorontwerp tot aanpassing van de Wbp gepresenteerd. Het voorontwerp bevat een meldplicht voor zowel publieke als private partijen [20] in het geval van een beveiligingsincident met gevolgen voor de privacy van de betrokkene. [21] Doelstelling van deze verplichting is dat voor de betrokkenen inzichtelijk wordt gemaakt wanneer hun privacy mogelijk in het geding is (transparantie). Volgens de memorie van toelichting zullen overheden, bedrijven en personen zorgvuldiger met persoonsgegevens omgaan als duidelijk wordt wat de consequenties zijn van computercriminaliteit of onzorgvuldige omgang met persoonsgegevens. Dit zal naar verwachting leiden tot investeringen in een betere beveiliging van de persoonsgegevens. [22] De meldplicht sluit zoveel mogelijk aan bij art. 11.3a Tw en zal voor alle soorten persoonsgegevens gelden. Het nieuwe art. 34a Wbp stelt dat een verantwoordelijke, dat is degene die het doel en de middelen van de gegevensverwerking vaststelt [23], onverwijld een melding moet doen bij het College bescherming persoonsgegevens ( Cbp ) indien een inbreuk plaatsvindt op een van de beveiligingsmaatregelen ex art. 13 Wbp, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden. Art. 13 van de Wbp verplicht een verantwoordelijke om passende technische en organisatorische beveiligingsmaatregelen te nemen. Om nodeloze meldingen te voorkomen is er gekozen voor een risicocriterium. Dit betekent dat, nadat is vastgesteld dat sprake is van een inbreuk op een beveiligingsmaatregel, geobjectiveerd gekeken moet worden of de inbreuk ertoe heeft geleid dat redelijkerwijs kan worden aangenomen dat er een aanmerkelijk risico is dat de persoonsgegevens zijn blootgesteld aan verlies of aan een onrechtmatige verwerking. [24] Er is kritiek dat het nieuwe art. 34a Wbp wordt gekoppeld aan art. 13 Wbp. De reden daarvoor is dat daadwerkelijk beveiligingsmaatregelen moeten zijn getroffen, wil sprake kunnen zijn van een inbreuk op een beveiligingsmaatregel. Dit zou kunnen leiden tot de vreemde situatie dat een bedrijf dat zich niet houdt aan art. 13 Wbp en vervolgens data lekt, dit niet hoeft te melden, omdat er geen sprake is (lees: kan zijn) van een inbreuk op een beveiligingsmaatregel. [25] Ook zal, indien de beveiliging niet op orde is, een inbreuk vaker niet worden opgemerkt en derhalve niet worden gemeld. De memorie van toelichting stelt dat steeds moet worden gekeken naar de omstandigheden van het geval. Daarbij wordt als voorbeeld het zoekraken van de ledenadministratie van een sportvereniging gegeven. Dit zal echter niet snel leiden tot een melding bij het Cbp, nu de gevolgen voor de leden waarschijnlijk beperkt zullen blijven en niet alle risico s volledig zijn uit te sluiten. Een datalek bij de Belastingdienst zal daarentegen veel grotere gevolgen hebben, mede omdat hier een geheimhoudingsplicht wordt geschonden. [26] Ook de betrokkenen van wie persoonsgegevens gelekt zijn, moeten onverwijld op de hoogte worden gebracht. Aan zowel het Cbp als de betrokkene moet de aard van de inbreuk en het contactpunt voor nadere informatie worden gemeld, alsmede de maatregelen die een betrokkene kan nemen om de negatieve gevolgen te beperken (lid 3). De verantwoordelijke kan de betrokkene er bijvoorbeeld op wijzen dat hij zijn wachtwoorden moet aanpassen. Hoewel het verrichten van een melding geen gevolgen heeft voor de mogelijkheid om ex art. 49 Wbp door een betrokkene aansprakelijk te worden gehouden voor de geleden schade, kan de melding er wel voor zorgen dat voldaan wordt aan de schadebeperkingsplicht. Daarnaast kan in bepaalde gevallen aan de betrokkene eigen schuld worden verweten indien hij de door de verantwoordelijke aanbevolen maatregelen niet neemt. [27] Aan het Cbp moet ook een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk op de verwerkte persoonsgegevens worden verstrekt alsmede van de maatregelen die de verantwoordelijke heeft genomen of voorstelt (lid 4). De melding aan het Cbp kan op initiatief van de verantwoordelijke geheel of gedeeltelijk vertrouwelijk worden verricht. [28] Het voorontwerp geeft ook de mogelijkheid dat voor de melding aan het Cbp een formulier zal worden voorgeschreven. [29] Bij de kennisgeving aan de betrokkene moet worden gezorgd voor een behoorlijke en zorgvuldige informatievoorziening, rekeninghoudend met de aard en de gevolgen van de inbreuk, de kring van de betrokkenen en de kosten (lid 5). Bij een klein aantal betrokkenen kan gekozen worden voor een persoonlijk bericht en bij een groter aantal voor een websitebericht en een advertentie in de dagbladen. Ook bij deze meldplicht geldt dat indien de persoonsgegevens naar het oordeel van het Cbp adequaat versleuteld zijn, geen melding aan de betrokkenen hoeft plaats te vinden (lid 6). Het Cbp kan een verantwoordelijke die geen kennisgeving aan de betrokkenen doet, hiertoe alsnog verplichten (lid 7). Net zoals onder de Tw zal de verantwoordelijke een overzicht moeten bijhouden van de diverse incidenten, dus ook van de incidenten die niet gemeld dienen te worden (lid 8). Onder de huidige Wbp zijn de sanctiemogelijkheden beperkt. Daarom wordt in art. 66 lid 2 Wbp de mogelijkheid gecreëerd dat het Cbp een bestuurlijke boete van kan opleggen bij overtreding van de meldplicht. Tot slot bevat het voorontwerp nog een wijziging van de Tw waarbij het toezicht op de meldplicht ex art. 11.3a Tw wordt ondergebracht bij het Cbp. Dit betekent dat de bestuurlijke boete verlaagd wordt naar Voor het centrale loket Meldplicht Telecomwet hoeft dit geen gevolgen te hebben, nu zij als doorgeef uik de melding in het vervolg dan simpelweg kan doorgeven aan het Cbp.
3 Vanuit de brancheorganisatie voor ICT- en Telecombedrijven, ICT~Off ce, is zeer kritisch op het voorontwerp gereageerd. [30] Het wetsvoorstel zou tot dubbele implementatielasten en onduidelijkheid voor het bedrijfsleven leiden, nu er ook al wetgeving vanuit Europa op handen is die hierna nog aan de orde komt. Daarnaast wordt de daadwerkelijke effectiviteit van de meldplicht in twijfel getrokken. Ook wordt de rol van het Cbp bekritiseerd, gelet op onder meer diens handhavingscapaciteit. De verwachting is namelijk dat de nieuwe meldplicht zal leiden tot zo n meldingen bij het CBP per jaar, terwijl hier geen extra middelen voor worden vrijgemaakt. [31] De motie-hennis-plasschaert [32] Er zijn situaties denkbaar (buiten de telecommunicatiesector) waarbij geen persoonsgegevens worden verwerkt, maar waarbij inbreuken wel grote gevolgen kunnen hebben voor vitale informatiesystemen in de samenleving. De motie-hennis-plasschaert roept de regering op om een wettelijke meldplicht in te stellen, waarbij iedere security breach door organisaties die betrokken zijn bij voor de samenleving vitale informatiesystemen verplicht gemeld moet worden bij het Nationaal Cyber Security Centrum. Voor het zomerreces zal de Tweede Kamer nader geïnformeerd worden over de inrichting van deze meldplicht. [33] Meldplicht op grond van Europese Privacyverordening Onlangs heeft de Europese Commissie een concept-privacyverordening [34] gepresenteerd die de huidige Privacyrichtlijn, [35] waarop de Wbp gebaseerd is, moet gaan vervangen. In de Verordening is een algemene verplichting opgenomen om íeder datalek, zijnde een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig, tot gevolg (art. 4 lid 9) binnen 24 uur te melden aan de toezichthouder (art. 31). Dit is een duidelijk verschil met het voorgestelde art. 34a Wbp, waarbij een inbreuk alleen gemeld hoeft te worden indien deze aan het risicocriterium voldoet. Het Cbp meent dat art. 34a Wbp hierop zoveel mogelijk zou moeten aansluiten. [36] Ook zijn er inhoudelijke verschillen ten aanzien van de kennisgeving aan de toezichthouder, omdat niet kan worden volstaan met een algemene omschrijving van de aard van de inbreuk, maar op grond van art. 31 lid 3 onderdeel a onder meer ook het aantal betrokkenen waarvan de persoonsgegevens door de inbreuk worden geraakt moet worden gemeld. [37] Indien het lek niet binnen 24 uur gemeld wordt, moet de verantwoordelijke motiveren waarom dit het geval is. In vergelijking met het voorgestelde art. 34a Wbp rijst de vraag of het begrip onverwijld gelijk getrokken zou moeten worden met de 24-uurstermijn. Of betekent het dat de verantwoordelijke juist minder of meer dan 24 uur gegund wordt? Het Cbp heeft aangegeven dat in art. 34a Wbp een termijn van maximaal 24 uur na de eerste kennisname van de inbreuk zou moeten worden opgenomen, zodat deze termijnen op elkaar aansluiten. [38] De bewerker, dat is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, moet de verantwoordelijke actief bijstaan bij het voldoen aan de meldplicht en moet hem meteen waarschuwen en informeren als hij een inbreuk op de persoonsgegevens vaststelt (art. 31 lid 2 jo. art. 26 lid 2 onderdeel f en lid 3). [39] Art. 31 lid 3 geeft de inhoud van de kennisgeving weer. De verantwoordelijke is verplicht alle inbreuken te documenteren. [40] De Europese Commissie kan op grond van art. 31 lid 6 een model voor de notif caties en de documentatie opstellen waarbij ook een vernietigingstermijn voor de daarin opgenomen informatie wordt opgenomen. Indien de inbreuk waarschijnlijk negatieve gevolgen heeft voor de bescherming van de persoonsgegevens of de privacy van de betrokkene, dan dient de betrokkene zonder onnodige vertraging geïnformeerd te worden (art. 32 lid 1). Aan de betrokkene moet bepaalde informatie worden verschaft (art. 32 lid 2), wederom met de gedachte om de schade van persoonlijke en economische belangen te voorkomen of te beperken. [41] Op grond van art. 32 lid 6 kan hiervoor een formulier worden ontwikkeld. Het niet, niet-tijdig of niet-volledig melden wordt streng gesanctioneerd. Op grond van art. 79 lid 4 onderdeel h kan aan natuurlijke personen een boete van maximaal worden opgelegd. Bij een onderneming kan de boete maximaal 2% van de wereldwijde jaaromzet bedragen. Het Cbp heeft aangegeven dat de voorgestelde boete in de Wbp hiermee in overeenstemming zou moeten worden gebracht. [42] De concept-verordening zal nu door het Europees Parlement worden behandeld en daarna worden goedgekeurd door de Raad van Ministers van de lidstaten. Daarna zal het nog twee jaar duren voordat de verordening in werking treedt. [43] De verwachting is dat de Nederlandse meldplicht eerder kan worden ingevoerd. Schematisch gezien kunnen de huidige en voorgestelde meldplichten voor datalekken als volgt worden weergegeven:
4 Tot slot Bedrijven moeten zich gaan voorbereiden op de verschillende meldplichten. De beveiliging van de diverse (persoons)gegevensstromen moet kritisch onder de loep worden genomen. Er kan een interne leidraad worden opgesteld, waarin stap voor stap wordt aangegeven hoe er met een datalek of een veiligheidsinbreuk moet worden omgegaan en welke personen als aanspreekpunt gelden. Immers, op het moment dat een dergelijke inbreuk zich voordoet, dienen de toezichthoudende autoriteiten en vaak ook de betrokkenen onverwijld (of toch zeker binnen 24 uur) op de hoogte te worden gesteld en dient bepaalde informatie voorhanden te zijn. Om de schade ontstaan uit een lek zoveel mogelijk te voorkomen en de voorgenomen sancties te ontlopen, is een adequate bedrijfsvoering op dit punt van groot belang. [44] Onderzocht moet worden of bepaalde gegevensstromen wellicht versleuteld kunnen worden, om daarmee mogelijk de meldplicht aan de betrokkenen (en verdere reputatieschade) te vermijden. Daarnaast zullen bedrijven moeten inventariseren of zij systemen hebben die mogelijk als vitale systemen kunnen worden aangemerkt, al is dit lastig nu een def nitie en de precieze uitwerking van de security breach notification nog niet voorhanden is. Tot slot is het belangrijk dat werknemers bewust worden gemaakt van het belang van de naleving van de privacywetgeving. Dit bewustzijn kan worden gecreëerd door middel van compliance-trainingen. Het tijdperk dat werknemers systemen beveiligen met standaardwachtwoorden zoals , dient echt tot het verleden te behoren. Voetnoten [1] Mr. Friederike C. van der Jagt is advocaat te Amsterdam. Dit artikel is afgesloten op 13 mei [2] lektober--iedere-dag-een-privacylek-opwebwereld.html. Interessant is ook de website (KPMG) en het door Bits of Freedom opgestelde Zwartboek Datalekken te vinden op: www. bof.nl/category/zwartboek-datalekken/. [3] Zie De Verzuimpolitie II, via (20 april 2012). [4] Kamerstukken I 2010/11, , A. Het wetsvoorstel is op 8 mei 2012 in de Eerste Kamer aangenomen. Bij het ter perse gaan van dit nummer werd bekend dat de nieuwe Telecommunicatienet op 5 juni 2012 in werking is getreden. [5] Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/ EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (e-privacyrichtlijn) en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, PbEG L337/11. [6] Richtlijn 2009/140/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/21/ EG inzake een gemeenschappelijk regelgevingskader voor elektronische communicatienetwerken en -diensten (Kaderrichtlijn), Richtlijn 2002/19/EG inzake de toegang tot en interconnectie van elektronische communicatienetwerken en bijbehorende faciliteiten, en Richtlijn 2002/20/EG betreffende de machtiging voor elektronische communicatienetwerken en -diensten, PbEG L337/37. [7] De implementatiedatum van de Richtlijnen (25 mei 2011) is ruim overschreden. [8] Er is gekozen voor een smalle meldplicht door af te zien van toepassing van de meldplicht op alle dienstenaanbieders van de informatiemaatschappij. Dit betekent dat bijvoorbeeld webwinkels en besloten bedrijfsnetwerken buiten deze meldplicht vallen. [9] Overweging 61 Richtlijn Burgerrechten. [10] Kamerstukken II 2010/11, , nr. 3, p. 42. [11] ENISA, Data Breach Notifications in the EU, januari 2011, eu. [12] Supra noot 10, p. 74. [13] Ibid, p. 75. [14] In art. 11a.1 Tw wordt een zorgplicht opgenomen inhoudende dat passende technische en organisatorische maatregelen moeten worden genomen om de risico s voor de veiligheid en integriteit van netwerken en diensten te beheersen. [15] De webformulieren (en overige informatie over het meldpunt) zijn beschikbaar via: [16] Supra noot 10, p. 23. [17] Zie ook de informatiefolder van het Agentschap Telecom, Regels voor de continuïteit van telecomdiensten. Zorg- en meldplicht voor openbare aanbieders, maart Door ENISA wordt gewerkt aan een standaardformulier voor datalekken. [18] Zie voor een kritische bespreking van de meldplicht: F.J. Zuiderveen Borgesius, De Meldplicht voor datalekken in de Telecommunicatiewet, Computerrecht 2011/4, p
5 [19] Supra noot 10, p. 42. [20] De meldplicht geldt niet indien een verantwoordelijke al een melding heeft gedaan ex art. 11.3a van de Tw (zie art. 34a lid 9 Wbp) of indien hij ex art. 3:10 lid 3 of 4:11lid 4 Wet op het financieel toezicht reeds aan een meldingsplicht is gebonden. Beveiligingslekken met persoonsgegevens waarop de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens van toepassing is, vallen ook buiten de reikwijdte van de meldplicht, gelet op art. 2 lid 2 onderdeel c en e Wbp. [21] Het voorontwerp en de memorie van toelichting zijn te vinden op: internetconsultatie.nl/camerabeelden. [22] Memorie van toelichting voorontwerp, p. 1. [23] Art. 1 onderdeel d Wbp. [24] Supra noot 22, p. 8. [25] Brief ICT~Office d.d. 29 februari 2012, p. 2, zie: Reactie_ICT~Office_op_consultatie_meldplicht_ voor_datalekken.pdf. Zie daarentegen ook Bits of Freedom: nl/2012/03/13/meldplicht-datalekken-nietmorgen- maar-nu/. [26] Supra noot 22, p. 9. [27] Ibid, p. 12. [28] Ibid, p. 10 en 14. [29] Ibid, p. 10. [30] Supra noot 25. [31] Supra noot 22, p. 15; Kamerstukken II 2011/12, , nr. 4, p. 7 en Kamerstukken II 2011/12, Aanhangsel, [32] Kamerstukken II 2011/12, , nr. 202 (motie-hennis-plasschaert). [33] Brief Minister Opstelten aan de Tweede Kamer d.d. 23 december 2011, p. 8 en Brief Minister Opstelten en Minister Verhagen aan de Tweede Kamer d.d. 14 februari 2012, p. 3. [34] Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25 januari 2012, COM (2012) 11 final. [35] Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEG L 281/31. [36] Brief CBP d.d. 15 maart 2012, z [37] Supra noot 36, Bijlage, p. 4. [38] Supra noot 36, p. 3 [39] Vergelijk voorontwerp art. 14 lid 2 onderdeel c Wbp. [40] Bits of Freedom is van mening dat de datalekken niet alleen moeten worden gedocumenteerd maar ook moeten worden opgenomen in een openbaar register (zie van-de-nieuwe-privacyverordening/). [41] Zie overweging 67 tot en met 69 bij de concept-verordening. [42] Supra noot 36, p. 4. [43] Art. 91 concept-verordening. [44] Voor een praktische uitwerking zie: R. Marbus, De Meldplicht datalekken: wat is het en wat betekent het voor mijn organisatie?, Privacy & Compliance, nr. 2011/3, p. 13 en 14. copyright Kluwer last update:
In vier stappen voldoen aan de meldplicht datalekken
In vier stappen voldoen aan de meldplicht datalekken dfg WHITEPAPER Datum ID Nummer 20 september 2012 12015 Auteur(s) mr. dr. A.H. (Anton) Ekker Samenvatting De Nederlandse overheid en de Europese Commissie
Nadere informatieDe Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?
De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? Meldplicht datalekken Whitepaper Datalekken Augustus 2016 1 Begin 2016 is de Meldplicht Datalekken ingegaan. Het doel van de meldplicht
Nadere informatieIets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016
Iets te melden? PON-seminar- Actualiteiten Privacy Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016 2 3 Waarom moet er gemeld worden? Transparantie en schadebeperking Bewustzijn Verhogen
Nadere informatiePrivacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken
Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor
Nadere informatieZienswijze ronde tafel wetsvoorstel brede meldplicht. 24 februari Inleiding
Zienswijze ronde tafel wetsvoorstel brede meldplicht 24 februari 2012 Inleiding 1. De deelnemers aan de ronde tafel voor consumentenzaken (hierna: Partijen) hebben kennisgenomen van de consultatieversie
Nadere informatieWij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje- Nassau, enz. enz. enz.
Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht
Nadere informatiePROCEDURE MELDPLICHT DATALEKKEN
PROCEDURE MELDPLICHT DATALEKKEN Er is sprake van een Datalek indien persoonsgegevens als gevolg van een beveiligingsincident in handen vallen van onbevoegde derden. Het kan bijvoorbeeld gaan om een zoekgeraakte
Nadere informatieProtocol meldplicht datalekken
160235/1180 Protocol meldplicht datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij de
Nadere informatieEerste Kamer der Staten-Generaal
Eerste Kamer der Staten-Generaal 1 Vergaderjaar 2014 2015 33 662 Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking
Nadere informatieProcedure Meldplicht Datalekken
Procedure Meldplicht Datalekken n.a.v. inwerkingtreding AVG mei 2018 Versie 1.0 20-5-2018 Procedure meldplicht datalekken NivoZorg 1 Gegevens Functionaris Gegevensbescherming Naam : Erik Stijnen Telefoonnummer
Nadere informatieHelp, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy
Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van
Nadere informatieNieuwsbrief. Privacy en bescherming van persoonsgegevens. Inhoud
Jan 2012 Jaargang 2 Nieuwsbrief Privacy en bescherming van persoonsgegevens Inhoud Wijziging van de Wet bescherming persoonsgegevens: -Gebruik camerabeelden; -Meldplicht datalekken. Wanneer dient een datalek
Nadere informatieProcedure meldplicht datalekken
Procedure meldplicht datalekken Gemeente Bunnik Versie : 2.0 Datum : april 2018 1 Inleiding Dit document omschrijft de procedure van de meldplicht datalekken Bij deze procedure horen twee bijlagen: IBD
Nadere informatieCoöperatie Boer en Zorg b.a. Procedure meldplicht datalekken
Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken Versie: 1.02 d.d. 13-juni-2018 Inhoud 1.2 Doel en reikwijdte... 3 2. Procedure Datalek... 4 2.1 Melden incident bij FG... 4 2.1.1 Registratie...
Nadere informatieActualiteiten Privacy. NGB Extra
Actualiteiten Privacy NGB Extra April 2015 Wat heeft het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP voor implicaties voor de praktijk? Wat is er recent veranderd
Nadere informatieSamenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland
Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie
Nadere informatiePrivacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017
0 Privacy Officer De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017 Net2Legal Consultants (www.n2l.nl) schreuders@n2l.nl Net2legal Consultants 2016 Casus Vragen: Welke taken,
Nadere informatieWet meldplicht datalekken
Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen
Nadere informatieProtocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)
Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG) betreffende procedures inzake de melding en afhandeling van inbreuken
Nadere informatieBijlage Gegevensverwerking. Artikel 1 - Definities
Bijlage Gegevensverwerking Artikel 1 - Definities De namen en begrippen in deze Bijlage die met een hoofdletter worden geschreven, hebben de hiernavolgende betekenis: 1.1 Persoonsgegevens: alle informatie
Nadere informatieProtocol datalekken Samenwerkingsverband ROOS VO
1 Protocol datalekken Samenwerkingsverband ROOS VO. 3.02 Protocol datalekken is onderdeel van Handboek Informatie Beveiliging en Privacy SWV ROOS VO 2 Inhoud Inleiding... 3 Begrippenlijst... 4 1. Is de
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Inhoud Protocol informatiebeveiligingsincidenten en datalekken... 1 Protocol informatiebeveiligingsincidenten en datalekken... 2 Inleiding... 2 Gebruikte
Nadere informatieCloud computing Helena Verhagen & Gert-Jan Kroese
Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg
Nadere informatieDATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar
DATALEK PROTOCOL Versie 1.0. /08.2017. I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij
Nadere informatieMeldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016
Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet
Nadere informatieMeldplicht datalekken Thomas van Essen. 31 maart 2016
Meldplicht datalekken Thomas van Essen 31 maart 2016 Agenda Kort juridisch kader Bespreking aandachtspunten en mogelijke valkuilen Oplossingen Datalekken (I) Antoni van Leeuwenhoek 780 patiëntgegevens
Nadere informatieFACTSHEET DATALEK. Inleiding
Inleiding Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG / GDPR (EN)). Deze verordening brengt een aantal grote veranderingen
Nadere informatieOpenbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming
Openbaar Onderwijs Emmen, OOE Protocol Informatiebeveiligingsincidenten en datalekken Conform de Algemene Verordening Gegevensbescherming Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy
Nadere informatieDe Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken.
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De Staatssecretaris van Veiligheid
Nadere informatieDe Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016
De Autoriteit Persoonsgegevens en de Meldplicht datalekken Alex Commandeur 18 mei 2016 Inhoud Autoriteit Persoonsgegevens Meldplicht datalekken: Wat is een datalek? Wanneer melden? Stand van zaken Autoriteit
Nadere informatieSta eens stil bij de Wet Meldplicht Datalekken
Sta eens stil bij de Wet Meldplicht Datalekken Wet Meldplicht Datalekken Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden)
Nadere informatieMedische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!
Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze
Nadere informatieDatalekken: de meldplicht komt eraan
Datalekken: de meldplicht komt eraan Datalekken zijn gevallen van verlies, diefstal of misbruik van persoonsgegevens (Regeerakkoord 2010) Inleiding Datalekken halen steeds vaker het nieuws. Grote recente
Nadere informatieHet Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.
Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken VSNON
Protocol informatiebeveiligingsincidenten en datalekken VSNON vastgesteld d.d. 9 november 08 De Wet Meldplicht Datalekken verplicht scholen om ernstige datalekken te melden bij de Autoriteit Persoonsgegevens
Nadere informatieWET MELDPLICHT DATALEKKEN FACTSHEET
WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen)
Nadere informatieProtocol meldplicht datalekken Voor financiële ondernemingen
Protocol meldplicht datalekken Voor financiële ondernemingen Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht is ook van toepassing op de financiële sector. Maar wanneer spreekt men
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst De Verwerkersovereenkomst. in aanmerking nemende dat Verwerkingsverantwoordelijke met zijn klanten een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke voor de uitvoering
Nadere informatieProtocol Beveiligingsincidenten en datalekken
Protocol Beveiligingsincidenten en datalekken Petrus Canisius College Vastgesteld juli 2018 (18 6227b) CDO: 4 juni 2018 MR: 2 juli 2018 CDO: 4 juni 2018 MR: 2 juli 2018 Protocol beveiligingsincidenten
Nadere informatieHandreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018
Handreiking Protocol informatiebeveiligingsincidenten en datalekken Stichting KBO Haarlem-Schoten Versie: 27 mei 2018 Bron: Dit document is gebaseerd op het Protocol informatiebeveiligingsincidenten en
Nadere informatiePrivacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3
PRIVACYREGLEMENT Inhoudsopgave Voorwoord... 2 Privacybepalingen... 3 1. Begripsbepalingen... 3 2. Toepassingsgebied... 3 3. Doel van de verwerking van persoonsgegevens... 4 4. Verwerking van Persoonsgegevens...
Nadere informatieWet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken
Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken De Wbp is al sinds 1 september 2001 van kracht en bevat bepalingen omtrent het rechtmatig omgaan met persoonsgegevens. Op 1 januari
Nadere informatie27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk
27 maart 2014 Advocaat mr. Eva N.M. Visser Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk Deel 2: Stappenplan Meldplicht Introductie Stappenplan Melden nodig ja / nee? Behandeling Stappenplan
Nadere informatieMELDPLICHT DATALEKKEN
MELDPLICHT DATALEKKEN 2 WETSWIJZIGING Op 26 mei 2015 heeft EK wetsvoorstel voor de Wet meldplicht datalekken aangenomen. Sinds 1 januari 2016 in werking getreden: Nieuw in Wet bescherming persoonsgegevens
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Minkema College
2018.473 Protocol informatiebeveiligingsincidenten en datalekken Minkema College Vastgesteld door het College van Bestuur op 13 november 2018 Was getekend, H. Heethuis, Voorzitter Inhoud Inleiding... 2
Nadere informatieIBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Yolknet, gevestigd te Best, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij
Nadere informatieMeldplicht Datalekken
Meldplicht Datalekken Auteur(s): Project Moore in opdracht van SURF Versie: 3.0 Datum: Januari 2016 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088-787 30 00 admin@surfnet.nl www.surfnet.nl
Nadere informatieDatalekken: preventie & privacy
Datalekken: preventie & privacy Platform voor Informatiebeveiliging 25 april 2013 Mirjam Elferink Onderwerpen 1. Inleiding 2. Casus datalek 3. Huidige en toekomstige wetgeving datalek meldplichten 4. Casus
Nadere informatieVanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp
De Algemene Verordening Gegevensbescherming Meldplicht datalekken 5 april 2016 Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp 1 personal data breach
Nadere informatieDatabeheer in de kerk
1 Databeheer in de kerk Het principe Per 1 januari 2016 is de Wet Datalekken ( ) van kracht. Organisaties die persoonsgegevens verwerken zijn verplicht om inbreuken op de beveiliging te melden. Het gaat
Nadere informatieProtocol Meldplicht Data-lekken
Protocol Meldplicht Data-lekken 1. Doel van het protocol De procedure meldplicht datelekken is opgesteld vanuit het document `De meldplicht data-lekken in de Wet Bescherming Persoonsgegevens (WbP). Het
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken 1 Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers... 2 Werkwijze... 3 Uitgangssituatie... 3 De vier rollen...
Nadere informatieProtocol Datalek. Geschiedenis Studenten Vereniging Excalibur
Geschiedenis Studenten Vereniging Excalibur Versie, mei 2018 Protocol datalek In dit document vindt u het protocol wanneer een datalek plaatsvindt in en welke stappen het bestuur zal ondernemen. Het is
Nadere informatieVraag 1: Is er sprake van verwerking van persoonsgegevens?
Protocol datalekken Version: Versie 1.1, vastgesteld op 2 maart 2016 Status: Dwingende interne instructie Goede naleving door Holla van de Algemene verordening gegevensbescherming (AVG) is cruciaal. Dit
Nadere informatiePrivacyverklaring Stichting Speelotheek Pinoccio
1 Inhoudsopgave 1 Inleiding 2 1.1 Doel 2 1.2 Reikwijdte 2 1.3 Evaluatie en herziening Privacyverklaring 2 2 Uitgangspunten en principes 2 3 Persoonsgegevens 3 3.1 Algemene persoonsgegevens 3 3.2 Verwerkingsprocessen
Nadere informatieStichting Bedrijfstakpensioenfonds voor de Houthandel;
Stichting Bedrijfstakpensioenfonds voor de Houthandel Reglement incidentenregeling Artikel 1 Pensioenfonds: Incident: Definities Stichting Bedrijfstakpensioenfonds voor de Houthandel; een gedraging, datalek
Nadere informatieRegels voor de continuïteit van telecomdiensten. Zorg- en meldplicht voor openbare aanbieders
Regels voor de continuïteit van telecomdiensten Zorg- en meldplicht voor openbare aanbieders Als aanbieder van openbare elektronische telecommunicatienetwerken en/of diensten gelden voor u binnenkort twee
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers... 3 Werkwijze... 3 Uitgangssituatie... 3 De vier rollen...
Nadere informatieIvo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG
Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus
Nadere informatieIBAN: NL 63 INGB BIC: INGBNL2A K.v.K. Rivierenland: BTW nr. NL B01. zaterdag 12 mei 2018 Pagina 1 van 8
Verwerkersovereenkomst Deze verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen partijen zoals overeengekomen bij totstandkoming van de samenwerking. Op deze verwerkersovereenkomst
Nadere informatieMeldplicht datalekken
Meldplicht datalekken Auteur(s): Project Moore in opdracht van SURF Versie: 1,0 Datum: Juli 2014 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305 admin@surfnet.nl www.surfnet.nl
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Voila Leusden
Protocol informatiebeveiligingsincidenten en datalekken Voila Leusden 1 Inhoud Inleiding 2 Wet- en regelgeving datalekken 2 Afspraken met leveranciers 2 Werkwijze 3 Uitgangssituatie 3 De vier rollen 3
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College
Stichting Scala College en Coenecoop College Versie Scala College Na instemming van de GMR vastgesteld door het college van bestuur op 6 juni 2019 Was getekend, F.J. de Wit Inhoud Inleiding... 2 Wet- en
Nadere informatie1AFSPRAAK.NL 1KAPPER.NL 1BEAUTYAFSPRAAK.NL
AVG HANDBOEK Handleiding voor salons en praktijken 1AFSPRAAK.NL 1KAPPER.NL 1BEAUTYAFSPRAAK.NL INHOUD Wat is de AVG? 1. Waarom deze nieuwe wet? 1. Waarom is deze nieuwe wet van toepassing op jouw salon/praktijk?
Nadere informatieWat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015
Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken Clusius College
Clusius College Opgesteld door Natascha Enklaar Versie / Datum 1.1 / 23-7-2018 Vastgesteld (door / d.d.) - Bronvermelding Kennisnet Inhoudsopgave Inleiding... 1 Wet- en regelgeving datalekken... 1 Afspraken
Nadere informatieDe Meldplicht Datalekken. mr. N. Falot 8 oktober 2015
De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy
Nadere informatieVerwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER
Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER Deze verwerkersovereenkomst maakt integraal onderdeel uit van het [contract] tussen opdrachtgever en opdrachtnemer.
Nadere informatieAlgemene verordening gegevensbescherming
Algemene verordening gegevensbescherming Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen Partijen zoals overeengekomen (de Overeenkomst ). Op deze Verwerkersovereenkomst
Nadere informatieProtocol meldplicht datalekken
Protocol meldplicht datalekken Dehlia Kracht B.V. Protocol meldplicht datalekken aan de Functionaris voor de Gegevensbescherming G r o e n e s t r a a t 2 9 4, 6 5 3 1 J C N i j m e g e n Inhoudsopgave
Nadere informatieBestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal
Informatiebeveiligingsincidenten en datalekken Bestuur scholengemeenschap voor vmbo havo atheneum gymnasium school voor praktijkonderwijs Bezoekadres: Stationslaan 17 9503 CA Stadskanaal Postadres: Postbus
Nadere informatieMeldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016
Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht
Nadere informatieProcedure Melding Datalekken
Procedure Melding Datalekken Handleiding voor het correct en tijdig afhandelen van datalekken Erkend Uneto VNI Installateur - Lid Vakgroep ICT - MVO Inleiding Sinds 1 januari 2016 is het wettelijk verplicht
Nadere informatieAlgemene Verordening Gegevensbescherming
Verwerkersovereenkomst Vimexx b.v. Om te voldoen aan de eisen die door de Algemene Verordening Gegevensbescherming worden gesteld aan de verwerking van persoonsgegevens heeft Vimexx een verwerkersovereenkomst
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden
Protocol informatiebeveiligingsincidenten en datalekken Stichting Christelijk Onderwijs Haaglanden Protocol Datalekken SCOH//mei2018//kga Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken
Nadere informatieLWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer
LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene
Nadere informatieSamenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken
Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken Op 1 januari 2016 treedt de Wet Meldplicht Datalekken in werking. Het CBP heeft op 21 september
Nadere informatieVerwerkersvoorwaarden versie 1.02
Verwerkersvoorwaarden versie 1.02 Verwerking Persoonsgegevens Deze verwerkersvoorwaarden zijn per 23 mei 2018 aangepast ------------------------------------------------------------------------------ Indien
Nadere informatieRaadsmededeling - Openbaar
Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Betreft alle scholen en bestuurskantoor van SKO De Streek Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers...
Nadere informatieWet Meldplicht Datalekken. Jeroen Terstegge
Wet Meldplicht Datalekken Jeroen Terstegge Introduction Jeroen Terstegge, CIPP E/US Partner, Privacy Management Partners Voorzitter Privacy Commissie, VNO-NCW / MKB Nederland Bestuurslid, Vereniging Privacy
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates
Protocol informatiebeveiligingsincidenten en datalekken Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers...
Nadere informatieAlgemene verordening gegevensbescherming (AVG)
Aanvullende afspraken in het kader van de invoering van de Algemene Verordening Gegevensbescherming Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking in de EU. Deze verordening
Nadere informatiePRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.
PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige
Nadere informatieProtocol Informatiebeveiliging en Datalekken (PID) Aloysius
Protocol Informatiebeveiliging en Datalekken (PID) Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet. Onderwerp: Protocol
Nadere informatieDocumentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN
PROTOCOL DATALEKKEN Procesgang rondom (mogelijke) datalekken bij Stichting Landschapsbeheer Zeeland. Inhoudsopgave 1. Doel 2 2. Definities 3 3. Toepassingsgebied 4 4. Werkwijze 4 4.1 Identificeren van
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en
Protocol informatiebeveiligingsincidenten en datalekken Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en omgeving (CVO) Bewerkt door: De Vereniging Christelijk Voortgezet Onderwijs te Rotterdam
Nadere informatieImpact van de meldplicht datalekken
Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens
Nadere informatieRegeling Incidenten. Stichting Bedrijfstakpensioenfonds Zorgverzekeraars. Vastgesteld in de bestuursvergadering van 14 mei 2018.
Regeling Incidenten Stichting Bedrijfstakpensioenfonds Zorgverzekeraars Vastgesteld in de bestuursvergadering van 14 mei 2018 Versie 2018 Inhoud regeling incidenten Bedrijfstakpensioenfonds Zorgverzekeraars
Nadere informatieClausules betreffende de verwerking van persoonsgegevens
Clausules betreffende de verwerking van persoonsgegevens 1. Definities 1. "Vertrouwelijkheid": de controle van de toegangsrechten. 2. "Veiligheid": de mogelijkheid tot het afweren van aanvallen als virussen,
Nadere informatieProcedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam
Procedure datalek Naam auteur : Daniel Hoopman Versie datum : 21 september 2018 Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam 075-6143561 info@onderwijs-professionals.nl www.onderwijs-professionals.nl
Nadere informatieBijlage: Verwerkersovereenkomst
Bijlage: Verwerkersovereenkomst Deze verwerkersovereenkomst is een bijlage bij "Algemene voorwaarden inzake Bothoff Media B.V." (hierna: de Hoofdovereenkomst) tussen Verwerkingsverantwoordelijke (hierna:
Nadere informatieStappenplan Algemene Verordening Gegevensbescherming (AVG)
E: info@koornetwerk.nl I: www.koornetwerk.nl 1 januari 2018 A: Bartókstraat 4 6661 AT Elst The Netherlands Stappenplan Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 is de Algemene Verordening
Nadere informatieChecklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving
Checklist basisprincipes privacyregelgeving 1. Inleiding Hieronder volgt een overzicht met de basisprincipes van de Wet bescherming persoonsgegevens (Wbp), de belangrijkste privacywet in Nederland. Dit
Nadere informatie1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...
Verwerkersovereenkomst Partijen 1. Bedrijfsnaam:....... Gevestigd te:........ Straatnaam, huisnummer:...... Vertegenwoordigd door dhr. / mevr...... Functie:......... Emailadres:....... hierna Verwerkingsverantwoordelijke
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Bron Kennisnet Bewerkt door: KPO Roosendaal, Leon van Iersel Versie Datum Auteur Omschrijving 2.0 25-05-2018 Leon van Iersel Kennisnet versie aangepast
Nadere informatie