27 maart 2014 Advocaat mr. Eva N.M. Visser Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk
Deel 2: Stappenplan Meldplicht Introductie Stappenplan Melden nodig ja / nee? Behandeling Stappenplan Bij een datalek: actie! Invloed toekomstige Privacy Verordening? Vragen?
Introductie Stappenplan Stappenplan waarmee de SURF doelgroep zich kan voorbereiden op de brede meldplicht datalekken (Wbp) Voor onderwijsinstellingen die persoonsgegevens verwerken van betrokkenen (zoals medewerkers, docenten, studenten, onderzoekers) en te maken krijgen met datalekken Ook een manier om (nog) meer compliant te worden met de Wbp
Melden nodig ja / nee? 1. Is sprake van een inbreuk op beveiligingsmaatregelen? Zo ja: in ieder geval protocolplicht Zo nee: geen meldingsplicht, geen protocolplicht Wat geldt als er geen beveiligingsmaatregelen zijn getroffen, dan ook geen meldplicht? Verlies USB-stick inbreuk? 2. Kan redelijkerwijs worden aangenomen dat die inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de privacy van de betrokkene? Zo ja: melden bij CBP Zo nee: protocolplicht
Melden nodig ja / nee? 3. Heeft de inbreuk waarschijnlijk ongunstige gevolgen voor de privacy van de betrokkene? Zo ja: melden aan betrokkene Zo nee: protocolplicht, tenzij CBP alsnog verlangt dat melding aan betrokkene wordt gedaan 4. Heeft de onderwijsinstelling gepaste technische beschermingsmaatregelen genomen waardoor de gegevens versleuteld zijn of anderszins onbegrijpelijk gemaakt? Zo ja: geen melding aan betrokkene nodig Zo nee: zie hiervoor
Voorbereidende stappen Zorg dat de verwerking van persoonsgegevens voldoet aan de Wbp 1. Inventariseer waar in de onderwijsorganisatie welke gegevens worden verwerkt (breng informatiestromen in kaart) 2. Neem de beveiligingsmaatregelen onder de loep. Voer een risicoanalyse uit. Tref passende technische en organisatorische beveiligingsmaatregelen en pas het beveiligingsbeleid aan waar nodig 3. Overweeg encryptie (waardoor melding aan betrokkene achterwege gelaten kan worden)
Voorbereidende stappen 3. Inventariseer de contracten met leveranciers (bewerkers) en zorg dat deze waar nodig worden aangepast bewerker moet contractueel verplicht worden een datalek te melden aan de onderwijsinstelling vraag daarbij ook om een beschrijving van de gevolgen van de inbreuk en de maatregelen om de gevolgen te verhelpen (ivm protocolplicht onderwijsinstelling) spreek af wie (onderwijsinstelling of leverancier) bepaalt of een datalek wel of niet meldingsplicht is (bij voorkeur de onderwijsinstelling) maak duidelijk welke datalekken gemeld moeten worden (bij voorkeur: alle incidenten) regel hoe wordt omgegaan met boetes als gevolg van een datalek
Alle incidenten Alle datalekken Melding CBP Melding betrokkenen
Voorbereidende stappen 4. Stel alvast een intern actieplan op dat moet worden uitgevoerd bij een datalek, denk aan: aan wie moet intern gemeld worden (meldpunt datalekken, FG)? board attention wie moet welke maatregelen binnen welke termijnen nemen? hoe wordt er gecommuniceerd over het datalek (communicatieplan)? Goede PR is key! wijze van melden betrokkenen (persoonlijk, dagbladen) melden bij verzekering? schakel advocaat in (brengt legal triggers in kaart) 5. Zorg voor voldoende interne training met betrekking tot het actieplan
Bij een datalek: Actie! Voer het actieplan uit! Dicht het lek Vorm een projectteam en een stuurgroep Projectteam onder meer vertegenwoordigers van IT, legal, compliance en communicatie Documenteer alle acties en beslissingen Inventariseer de omvang van de inbreuk en de nodige maatregelen Wat voor soort en hoeveel gegevens? Mogelijk nadeel voor organisatie en betrokkenen? Welke maatregelen?
Contactgegevens Eva N.M. Visser 020-5200878 06-10188239 eva.visser@projectmoore.com Project Moore Advocaten Leidsegracht 78 1016 CR Amsterdam www.projectmoore.com