0 Privacy Officer De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017 Net2Legal Consultants (www.n2l.nl) schreuders@n2l.nl Net2legal Consultants 2016
Casus Vragen: Welke taken, werkzaamheden en bevoegdheden van de AP kunnen spelen bij de casus? Gaat het in de casus om een datalek? En zo ja: wat is dan de lek en wie moet melden? En zo nee: waarom niet?
De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen 1950 1989 Nationale wetgeving 1995 Europese Privacy richtlijn 2001 Wet Bescherming Persoonsgegevens 2012 Voorstel EU Verordening Europees verdrag voor de rechten van de mens 1e generatie: Database Compliance 2 e generatie: Verwerking, samenwerking, beginnende compliance 3 e generatie Business compliance Continu in control + accountability
Het compliance-dossier Beleid en maatregelen om compliance aan te tonen (ook beschikbaar voor de toezichthouder!) Documentatie: Huidige melding + informatie bij informeren Gegevensbeveiliging Beveiligingsbeleid en plannen Risicobeoordelingen..
Het complexe juridische kader Wbp WOB WPolg Gedragscodes Protocollen Sectorale regels Geheimhoudings - bepalingen Archief wet WJG AWB WvSV WOR BRP Sectorale wetgeving WGBO
Wie is wie? (verwerkings)verantwoordelijke Degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Bewerker / Verwerker Een extern bureau dat werkzaamheden verricht en zich onderwerpt aan de instructies van de verantwoordelijke en onder zijn verantwoordelijkheid gegevens verwerkt Betrokkene Degene op wie een persoonsgegeven betrekking heeft
Ken uw toezichthouder Autoriteit Persoonsgegevens (AP)) De Nederlandse toezichthouder www.cbpweb.nl + www.mijnprivacy.nl De Functionaris Gegevensbescherming Onafhankelijk interne toezichthouder Facultatief onder de Wbp, straks verplicht onder de EU Verordening (in bepaalde gevallen) Privacy Officer, DPO, CPO, Privacy coördinator
Taken en werkzaamheden Cbp Toezicht NL Wbp, Wet BRP, Wet politiegegevens, WJSG Wetgeving andere lidstaten bij verwerking in NL Twijfeloverleg met FG (art. 64 Wbp) Toezicht EU Schengen (SIS), Europol en Eurodac Art. 29 Groep Adviseren en informeren (EU-regelgeving, verklaringen adequate bescherming in derde landen, modelcontracten)
Taken en werkzaamheden Cbp Advies Wetten en Algemene maatregelen van bestuur Rechter op verzoek van rechter / geschillencommissie op verzoek commissie Bij vergunningen doorgifte naar derde landen en BCR s Verklaring Gedragscode Goedkeuring van een gedragscode van een branche of sector (representatief, 5 jaar, openbare procedure, niet verplicht) Register van meldingen Openbaar register van meldingen (voorgeschreven formulier) Vervalt bij AVG
Taken en werkzaamheden Cbp Voorafgaand onderzoek Art. 31 Wbp: nummers, heimelijk verzamelen, strafrechtelijke gegevens / zwarte lijsten Verklaring rechtmatigheid met mogelijkheid bezwaar en beroep AVG: zwarte lijsten en DPIA-overleg Bemiddeling bij rechten Klachten en onderzoek Bij rechten van betrokken geldt de Awb of de civielrechtelijke verzoekschriftenprocedure als rechtsbescherming. Bemiddeling of advies Cbp voorafgaand aan inschakelen rechter (goedgekeurde gedragscode met geschillencommissie?) Wbp Onderzoek naar naleving Wbp (etc.) n.a.v. een klacht of ambtshalve onderzoek
Sancties Bestuursdwang (dwangsom) Boete /LET OP: eenmalige last / dwingende aanwijzing voorafgaand aan boete Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. - niet-melden van een datalek: maximaal 500.000 - overige overtredingen Wbp: maximaal 820.000 / 10% jaaromzet Europese Verordening per 25 mei 2018: maximaal 20 miljoen/ 4% mondiale jaaromzet
Meldplicht datalekken (Wbp) Gaat over beveiligingsincidenten Voor inbreuken waarbij gegevens zijn blootgesteld aan een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens Indien lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot de gegevens tot gevolg heeft Eigen rapportages opstellen Melding (toezichthouder en betrokkenen)
Vrije vertaling stappenplan AP Beleidsregels AP Grip op gegevens verloren Zekerheid dat het toch niet fout ging Gegevens van bijzondere aard Gegevens over veel personen Missers i.v.m. regelgeving? Missers i.v.m. persoonlijke levenssfeer?
Wat is een datalek? Beveiligingsincident Er heeft zich een beveiligingsincident voorgedaan Datalek Het incident heeft betrekking op persoonsgegevens De gegevens zijn verloren gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten
Stap I. Inbreuk op de beveiliging als bedoeld in art.13 Wbp Daadwerkelijk beveiligingsincident waarbij preventieve maatregelen niet toereikend waren om dit te voorkomen. (dus niet uitsluitend een dreiging, of tekortkoming in de beveiliging die kan leiden tot een beveiligingsincident) Voorbeelden van mogelijke incidenten: Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals brand in een datacentrum
Stap II: Datalek= Daadwerkelijk incident + Daadwerkelijke gevolgen Voor een datalek moet het incident daadwerkelijk gevolgen hebben voor de verwerkte gegevens Zoals: gegevens die verloren zijn gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten (+ de repressieve maatregelen en herstelmaatregelen zijn niet voldoende om deze gevolgen geheel weg te nemen) Let op!: Een datalek kan zicht ook voordoen als passende technische of organisatorische maatregelen zijn getroffen (en leg dat maar eens uit )
Stap III. Alleen melden als (aanzienlijke kans op) ernstig nadelige gevolgen voor de bescherming van persoonsgegevens Er is geen sprake van een datalek
Bijzondere gegevens Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Lidmaatschap van een vakvereniging Gezondheid Seksuele leven Strafrechtelijke gegevens, onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer Gegevens over de financiële of economische situatie van de betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits)fraude Gegevens over kinderen
Wat voor meldingen tot nu toe? Verwachting: 60.000 meldingen van datalekken per jaar maar op 13 mei slechts 1600 meldingen Slordigheden Veel meldingen over onversleutelde gegevensdragers Veel meldingen over organisatorische fouten Specifiek aandachtspunt: beveiliging medische gegevens online Cryptoware / ransomware
Melden bij de betrokkene
Meldplicht betrokkenen net anders Meldplicht artikel 11.3a eerste lid Telecommunicatiewet Melding betrokkene: uitzondering op meldplicht voor financiële ondernemingen zoals bedoeld in de Wft: valt al onder de wettelijke zorgplicht van de onderneming (adequaat informeren van de afnemers van uw diensten)
Wbp en AVG: 2x implementeren? Artikel 34 a Wbp Artikel 33 en 34 AVG Inbreuk op de beveiliging met aanzienlijke kans op, of die leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens Melden inbreuk bij betrokkene: Indien inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer Inbreuk in verband met persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen Melden inbreuk bij betrokkene: Indien inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen
Wbp en AVG: wanneer melden? Artikel 34 a Wbp wanneer melden: zonder onredelijke vertraging + Beleidsregels datalekken: zo mogelijk niet meer dan 72 uur na ontdekking + Beleidsregels datalekken: indien later dan moet dit desgevraagd worden gemotiveerd Artikel 33 en 34 AVG wanneer melden: zonder onredelijke vertraging en indien mogelijk uiterlijk 72 uur nadat de verantwoordelijke daarvan kennis heeft genomen Indien langer dan moet een motivering worden toegevoegd