Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Vergelijkbare documenten
Privacy regulering & Compliance

Privacy regulering & Compliance

Privacy regulering & Compliance

Privacy regulering & Compliance

Ontwikkelingen in privacywet- en regelgeving

Privacy regulering & Compliance

Beleid en procedures meldpunt datalekken

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Sta eens stil bij de Wet Meldplicht Datalekken

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Protocol meldplicht datalekken

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Help een datalek! Wat nu?

Protocol meldplicht datalekken Voor financiële ondernemingen

Procedure Melden beveiligingsincidenten

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Hoe ziet de organisatie privacy?

Raadsmededeling - Openbaar

Protocol Meldplicht Data-lekken

Protocol meldplicht datalekken

Procedure meldplicht datalekken

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Protocol datalekken Samenwerkingsverband ROOS VO

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Privacy en de meldplicht datalekken

Privacy in de afvalbranche

De gevolgen van de AVG

Vita Zwaan, 16 november 2017

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Procedure datalekken NoorderBasis

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Protocol meldplicht datalekken

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Melden van datalekken

Databeheer in de kerk

WET MELDPLICHT DATALEKKEN FACTSHEET

Wet meldplicht datalekken

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Procedure Meldplicht Datalekken

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

PROCEDURE MELDPLICHT DATALEKKEN

E. Procedure datalekken

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

Agenda. De AVG: wat nu?

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Regeling meldplicht datalekken 2016

Protocol Beveiligingsincidenten en datalekken

BLAD GEMEENSCHAPPELIJKE REGELING

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Checklist basisbeginselen privacyregelgeving

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Hoe ziet de organisatie privacy? > Waar staat de organisatie? > Wie moet iets doen? > Wat moet er gedaan worden? > Hoe doe je dat?

Algemene Verordening Gegevensbescherming

A2 PROCEDURE MELDEN DATALEKKEN

De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM, IT & PRIVACY.

Datalekprotocol binnen Reto

Protocol informatiebeveiligingsincidenten en datalekken VSNON

PRIVACY & DATALEKKEN

Cloud computing Helena Verhagen & Gert-Jan Kroese

FACTSHEET DATALEK. Inleiding

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

LOKO kijkt continu vooruit zodat ICT voor u blijft werken

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Besluit van het college van burgemeester en wethouders van de gemeente Beekdaelen houdende regels omtrent AVG Protocol meldplicht datalekken

vernieuwde privacywet

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

Procedure melden beveiligingsincidenten en datalekken

Protocol Meldplicht datalekken. Vesac Groot Berg en Dal Versie januari 2019

PROTOCOL MELDING DATALEKKEN

dertig minuten over toezicht, handhaving en rechtsbescherming Gerrit-Jan Zwenne 5 april 2018

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

De grootste veranderingen in hoofdlijnen

1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...

Stappenplan naar GDPR compliance

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Handvatten bij de implementatie van de AVG

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Privacybeleid ConnectingTheDots

Meldplicht datalekken. Prof. mr. G-J. (Gerrit-Jan) ZWENNE Leiden 2 februari 2016

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Stappenplan naar GDPR compliance

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Verwerkersovereenkomst

Waarom privacy een relevant thema is En wat u morgen kunt doen

Transcriptie:

0 Privacy Officer De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017 Net2Legal Consultants (www.n2l.nl) schreuders@n2l.nl Net2legal Consultants 2016

Casus Vragen: Welke taken, werkzaamheden en bevoegdheden van de AP kunnen spelen bij de casus? Gaat het in de casus om een datalek? En zo ja: wat is dan de lek en wie moet melden? En zo nee: waarom niet?

De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen 1950 1989 Nationale wetgeving 1995 Europese Privacy richtlijn 2001 Wet Bescherming Persoonsgegevens 2012 Voorstel EU Verordening Europees verdrag voor de rechten van de mens 1e generatie: Database Compliance 2 e generatie: Verwerking, samenwerking, beginnende compliance 3 e generatie Business compliance Continu in control + accountability

Het compliance-dossier Beleid en maatregelen om compliance aan te tonen (ook beschikbaar voor de toezichthouder!) Documentatie: Huidige melding + informatie bij informeren Gegevensbeveiliging Beveiligingsbeleid en plannen Risicobeoordelingen..

Het complexe juridische kader Wbp WOB WPolg Gedragscodes Protocollen Sectorale regels Geheimhoudings - bepalingen Archief wet WJG AWB WvSV WOR BRP Sectorale wetgeving WGBO

Wie is wie? (verwerkings)verantwoordelijke Degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Bewerker / Verwerker Een extern bureau dat werkzaamheden verricht en zich onderwerpt aan de instructies van de verantwoordelijke en onder zijn verantwoordelijkheid gegevens verwerkt Betrokkene Degene op wie een persoonsgegeven betrekking heeft

Ken uw toezichthouder Autoriteit Persoonsgegevens (AP)) De Nederlandse toezichthouder www.cbpweb.nl + www.mijnprivacy.nl De Functionaris Gegevensbescherming Onafhankelijk interne toezichthouder Facultatief onder de Wbp, straks verplicht onder de EU Verordening (in bepaalde gevallen) Privacy Officer, DPO, CPO, Privacy coördinator

Taken en werkzaamheden Cbp Toezicht NL Wbp, Wet BRP, Wet politiegegevens, WJSG Wetgeving andere lidstaten bij verwerking in NL Twijfeloverleg met FG (art. 64 Wbp) Toezicht EU Schengen (SIS), Europol en Eurodac Art. 29 Groep Adviseren en informeren (EU-regelgeving, verklaringen adequate bescherming in derde landen, modelcontracten)

Taken en werkzaamheden Cbp Advies Wetten en Algemene maatregelen van bestuur Rechter op verzoek van rechter / geschillencommissie op verzoek commissie Bij vergunningen doorgifte naar derde landen en BCR s Verklaring Gedragscode Goedkeuring van een gedragscode van een branche of sector (representatief, 5 jaar, openbare procedure, niet verplicht) Register van meldingen Openbaar register van meldingen (voorgeschreven formulier) Vervalt bij AVG

Taken en werkzaamheden Cbp Voorafgaand onderzoek Art. 31 Wbp: nummers, heimelijk verzamelen, strafrechtelijke gegevens / zwarte lijsten Verklaring rechtmatigheid met mogelijkheid bezwaar en beroep AVG: zwarte lijsten en DPIA-overleg Bemiddeling bij rechten Klachten en onderzoek Bij rechten van betrokken geldt de Awb of de civielrechtelijke verzoekschriftenprocedure als rechtsbescherming. Bemiddeling of advies Cbp voorafgaand aan inschakelen rechter (goedgekeurde gedragscode met geschillencommissie?) Wbp Onderzoek naar naleving Wbp (etc.) n.a.v. een klacht of ambtshalve onderzoek

Sancties Bestuursdwang (dwangsom) Boete /LET OP: eenmalige last / dwingende aanwijzing voorafgaand aan boete Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. - niet-melden van een datalek: maximaal 500.000 - overige overtredingen Wbp: maximaal 820.000 / 10% jaaromzet Europese Verordening per 25 mei 2018: maximaal 20 miljoen/ 4% mondiale jaaromzet

Meldplicht datalekken (Wbp) Gaat over beveiligingsincidenten Voor inbreuken waarbij gegevens zijn blootgesteld aan een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens Indien lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot de gegevens tot gevolg heeft Eigen rapportages opstellen Melding (toezichthouder en betrokkenen)

Vrije vertaling stappenplan AP Beleidsregels AP Grip op gegevens verloren Zekerheid dat het toch niet fout ging Gegevens van bijzondere aard Gegevens over veel personen Missers i.v.m. regelgeving? Missers i.v.m. persoonlijke levenssfeer?

Wat is een datalek? Beveiligingsincident Er heeft zich een beveiligingsincident voorgedaan Datalek Het incident heeft betrekking op persoonsgegevens De gegevens zijn verloren gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten

Stap I. Inbreuk op de beveiliging als bedoeld in art.13 Wbp Daadwerkelijk beveiligingsincident waarbij preventieve maatregelen niet toereikend waren om dit te voorkomen. (dus niet uitsluitend een dreiging, of tekortkoming in de beveiliging die kan leiden tot een beveiligingsincident) Voorbeelden van mogelijke incidenten: Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals brand in een datacentrum

Stap II: Datalek= Daadwerkelijk incident + Daadwerkelijke gevolgen Voor een datalek moet het incident daadwerkelijk gevolgen hebben voor de verwerkte gegevens Zoals: gegevens die verloren zijn gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten (+ de repressieve maatregelen en herstelmaatregelen zijn niet voldoende om deze gevolgen geheel weg te nemen) Let op!: Een datalek kan zicht ook voordoen als passende technische of organisatorische maatregelen zijn getroffen (en leg dat maar eens uit )

Stap III. Alleen melden als (aanzienlijke kans op) ernstig nadelige gevolgen voor de bescherming van persoonsgegevens Er is geen sprake van een datalek

Bijzondere gegevens Bijzondere persoonsgegevens Godsdienst of levensovertuiging Ras Politieke gezindheid Lidmaatschap van een vakvereniging Gezondheid Seksuele leven Strafrechtelijke gegevens, onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer Gegevens over de financiële of economische situatie van de betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits)fraude Gegevens over kinderen

Wat voor meldingen tot nu toe? Verwachting: 60.000 meldingen van datalekken per jaar maar op 13 mei slechts 1600 meldingen Slordigheden Veel meldingen over onversleutelde gegevensdragers Veel meldingen over organisatorische fouten Specifiek aandachtspunt: beveiliging medische gegevens online Cryptoware / ransomware

Melden bij de betrokkene

Meldplicht betrokkenen net anders Meldplicht artikel 11.3a eerste lid Telecommunicatiewet Melding betrokkene: uitzondering op meldplicht voor financiële ondernemingen zoals bedoeld in de Wft: valt al onder de wettelijke zorgplicht van de onderneming (adequaat informeren van de afnemers van uw diensten)

Wbp en AVG: 2x implementeren? Artikel 34 a Wbp Artikel 33 en 34 AVG Inbreuk op de beveiliging met aanzienlijke kans op, of die leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens Melden inbreuk bij betrokkene: Indien inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer Inbreuk in verband met persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen Melden inbreuk bij betrokkene: Indien inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen

Wbp en AVG: wanneer melden? Artikel 34 a Wbp wanneer melden: zonder onredelijke vertraging + Beleidsregels datalekken: zo mogelijk niet meer dan 72 uur na ontdekking + Beleidsregels datalekken: indien later dan moet dit desgevraagd worden gemotiveerd Artikel 33 en 34 AVG wanneer melden: zonder onredelijke vertraging en indien mogelijk uiterlijk 72 uur nadat de verantwoordelijke daarvan kennis heeft genomen Indien langer dan moet een motivering worden toegevoegd

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback