Meldplicht datalekken 8 December 2015 Simone Fennell simone.fennell@privacycompany.eu
http://www.ad.nl/ad /nl/5595/digita al/article/detail/4199971/2015/12/02 /125-000-Nederlandse-kinderendupe-hack-VTech.dhtml
Nieuw in de Wbp Per 1 januari 2016: Boetes tot 820.000 Euro (voorheen 4.500 Euro) Meldplicht datalekken (dubbele meldplicht)
Wet bescherming persoonsgegevens (Wbp) Normen en regels: 1. Algemene zorgvuldigheidseis (art. 6) 2. Doel verzameling gegevens (art. 7) 3. Grondslag verwerking (art. 8 a-f) 4. Doelbinding gebruik gegevens (art. 9) 5. Kwaliteit gegevens (art. 11) 6. Beveiliging gegevens (art. 13) 7. Bewaren gegevens (art. 10) 8. Meldingsplicht (art. 27-30) 9. Informatieplicht + meldplicht datalekken (art. 33, 34 en 34a) 10. Rechten van de betrokkene (art. 35, 36, 40-42)
Meldplichten Brede meldplicht datalekken Art. 34a Wbp, per 1-1-2016 Melden bij Autoriteit Persoonsgegevens Meldplicht Telecomwet Art. 11.3a Telecomwet, sinds 2012 Melden bij Autoriteit Consument en Markt (ACM) Wet melding inbreuken elektronische informatiesystemen (wetsvoorstel) Meldplicht voor certificaat dienstverleners Producten of diensten die van zodanig belang zijn voor samenleving dat onderbreking beschikbaarheid-betrouwbaarheid leidt tot ernstige maatschappelijke gevolgen (vitale infrastructuren) Besluit elektronische handtekeningen, 2013 Melden bij NCSC Advies RvS 08-2015, wacht op 1e en 2e kamer Melden bij ACM Goed opdrachtnemerschap Wanprestatie Onrechtmatige daad Art. 7:401 Burgerlijk Wetboek (BW); Art. 6:74 BW; Art. 6:162 BW Melden bij klanten / leveranciers / partners Strafrecht Wet financieel toezicht: integriteitsmeldingen bankwezen Contract Aantasting van computersystemen die levensgevaar kunnen veroorzaken, art. 161 sexies WvSr. Omvat veel meer dan alleen datalekken Geheimhouding; treffen beveiligingsmaatregelen; melden beveiligingsincidenten Melden bij politie Melden bij Nederlandse Bank Melden bij contractspartner Let op: internationaal bedrijf? Dan mogelijk ook meldplichten onder buitenlands recht!
Brede meldplicht datalekken Wbp art. 34a Uitvloeisel van het regeerakkoord en druk vanuit Europa Gericht op: verantwoordelijken in de zin van WBP Meldplicht bij College Bescherming Persoonsgegevens (vanaf 1-1-2016 Autoriteit Persoonsgegevens) Meldplicht jegens betrokkenen Bestuurlijke boete als punitieve sanctie 820.000 Euro Nederland is de proeftuin voor de meldplicht uit de Europese Verordening Gegevensbescherming.
Meldplichtig datalek Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens indien het: leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. (art 34a Wbp)
Brede meldplicht Waarom is het moeilijk/waar zitten de knelpunten? Het wetsvoorstel werkt met veel open normen vermoeden van nadelige gevolgen voor de persoonlijke levenssfeer, inbreuken op de beveiliging, onverwijld, etc. Deze zaken worden wel (deels) in de beleidsregels uitgewerkt! https://cbpweb.nl/sites/default/files/atoms/files/beleids regels_meldplicht_datalekken.pdf
Risico s voor bedrijven Financieel risico; boete: maximaal 820.000 Euro Let op! Boetebedragen worden elke twee jaar geïndexeerd en kunnen dus in 2018 al anders zijn. Compliance risico: De procedure is niet op tijd gereed (1 januari 2016) De informatie kan niet onverwijld geleverd worden (primaire melding binnen 72 uur, indien later dan dat motiveren) Datalek heeft plaatsgevonden bij een bewerker die nalaat melding te doen aan de verantwoordelijke Bewerkersovereenkomst oude stijl waarin geen clausule over datalekken is opgenomen Bepaalde interne inbreuken op de beveiliging waarbij persoonsgegevens betrokken zijn worden gemist Reputatierisico: Verlies van vertrouwen van klanten Bekendmaking van boetes door toezichthouder
Datalek Een datalek is een inbreuk op de beveiliging (als bedoeld in artikel 13 Wbp): gegevens beveiligen tegen verlies en onrechtmatige verwerking Dit begrip moet ruim uitgelegd worden: Gestolen of verloren gegevensdragers of devices Verlies van gegevens door brand Inbraak door een hacker Malware-besmetting
De 3 rollen Er zijn (ten minste) drie rollen die onderscheiden moeten worden om een datalek succesvol af te handelen. I. ONTDEKKER Degene die het datalek op het spoor komt en het proces in werking moet stellen. II. III. MELDER Degene die verantwoordelijk is voor het melden van het datalek bij de Autoriteit Persoonsgegevens. TECHNICUS Degene die de oorzaak van het datalek kan vinden en kan (laten) repareren.
De 6 fasen In het leven van een datalek zijn 6 fasen te onderscheiden: 1. ontdekken 2. inventariseren 3. beoordelen 4. repareren 5. melden 6. documenteren
De 6 fasen 2 1. Ontdekken ONTDEKKER merkt een datalek op. Bijvoorbeeld via eigen waarneming of een klacht van een klant. De ONTDEKKER vergaart zoveel mogelijk informatie over het datalek en zet het proces in werking waardoor deze informatie ten minste bij de MELDER terechtkomt. 2. Inventariseren De MELDER op zijn beurt, beoordeelt of er voldoende informatie omtrent het datalek bekend is. Zo niet, dan zet hij aanvullende vragen uit. 3. Beoordelen Wanneer MELDER voldoende informatie heeft verzameld, beoordeelt hij de feiten om te bepalen of een melding aan de Autoriteit Persoonsgegevens en/of betrokkenen vereist is.
De 6 fasen 3 4. Repareren De TECHNICUS zal moeten achterhalen wat de oorzaak van het lek is en deze moeten repareren. 5. Melden Indien de conclusie bij stap 3 is dat er gemeld moet worden aan toezichthouder (eventueel betrokkenen), dan moet de MELDER dit doen. 6. Documenteren De informatie die in de voorafgaande stappen is ingewonnen of ontstaan (bijvoorbeeld CBP-meldingsnummer, afschrift melding, brief aan betrokkenen) moeten worden gearchiveerd door MELDER.
1 Ontdekken 1. Personeel moet getraind zijn op het herkennen van een datalek en het inzetten van het daarbij behorende proces. 2. De ONTDEKKER wint als eerste informatie over het datalek in:
1 Ontdekken 2 Een feitelijke beschrijving van het datalek in kwestie (wat is er precies gebeurd?) Welke (typen) persoonsgegevens zijn gelekt? Hoeveel personen zijn betrokken bij het datalek betrokken? Kan de groep betrokkenen worden beschreven? (klanten, 65+ers, asielzoekers, kinderen etc.) Wat is de oorzaak van het datalek? Wanneer heeft het datalek plaatsgevonden? Zijn er klantnummers of contactgegevens van getroffen klant(en) zodat deze (eventueel) in kennis gesteld kunnen worden van het datalek. Verstrek eigen contactgegevens (van ONTDEKKER dus) in verband met nadere informatie.
2 Inventariseren Een deel van deze informatie wordt (hopelijk) door ontdekker verstrekt. Een deel door technicus. Een deel moet melder zelf d.m.v. kwalificatie verkrijgen. Samenvatting van het incident Aantal betrokkenen bij de inbreuk Omschrijving van de groep betrokkenen Datum/periode van de inbreuk Aard van de inbreuk Type persoonsgegevens in kwestie Mogelijke gevolgen voor de persoonlijke levenssfeer van betrokkenen Wordt het datalek aan betrokkenen gemeld? Hoe? Inhoud melding? Waarom wordt het lek niet aan betrokkenen gemeld? Heeft de inbreuk betrekking op personen in andere EUlanden? Technische en organisatorische maatregelen ter aanpak inbreuk en voorkoming verdere inbreuk. (Hierin ligt besloten dat de oorzaak bekend moet zijn) Zijn de gegevens onbegrijpelijk voor degenen die er kennis van kunnen hebben genomen? Hoe?
3 Beoordelen Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens indien het: leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. (art 34a Wbp) Of een melding vervolgens gedaan moet worden aan betrokkenen is een afweging die je zelf moet maken. Let op! Stel tenminste vast of je überhaupt moet melden! Ben je verantwoordelijke? Of bewerker?
3 beoordelen 2 De verantwoordelijke, stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Bijv: onrechtmatige publicatie, aantasting van eer en goede naam, (identiteits)fraude of discriminatie Of een melding vervolgens gedaan moet worden aan betrokkenen is een afweging die je zelf moet maken.
3 beoordelen 3 Bron: Beleidsregels meldplicht datalekken p. 5
3 Beoordelen 5 MELDER moet beoordelen: Of het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens (art. 34a lid 1 Wbp) Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Of het datalek gemeld moet worden aan betrokkenen (art. 34a lid 2 Wbp) Invulling door beleidsregels (verschenen 9-12-2015): https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_ datalekken.pdf. Let op! In de loop van 2017, of wanneer het aantal ontvangen meldingen daar aanleiding toe geeft, zullen de beleidsregels worden geëvalueerd en waar nodig aangepast (inclusief consultatie)
3 Beoordelen 4 Welke factoren weeg je mee? Gevoelige persoonsgegevens Bijzondere persoonsgegevens Financiële gegevens Gegevens die kunnen leiden tot stigmatisering of uitsluiting Inloggegevens Risico op(identiteits)fraude (ook BSN!) Gegevens uit DNA databanken Gegevens die onderworpen zijn aan geheimhouding / beroepsgeheim In deze gevallen sowieso melden! Andere factoren Omvangrijke verwerkingen zoals bij de overheid (ketens) Hoeveelheid betrokkenen Hoeveelheid gelekte gegevens per persoon Ingrijpende beslissingen worden genomen met gegevens Kwetsbare groepen (kinderen, in blijf van mijn lijf huis, gehandicapten) Niet-ethische hacks
4 Repareren Een datalek moet natuurlijk ook weer gedicht worden: Incidenteel Alleen de negatieve gevolgen voor de betrokkenen in het individuele geval beperken. Structureel De negatieve gevolgen niet alleen voor de betrokkenen in het individuele geval beperken maar ook voor alle mogelijke betrokkenen. Vertel de Autoriteit Persoonsgegevens wat je doet!
5 Melden Melden bij Autoriteit Persoonsgegevens (als de informatie nagenoeg compleet is): De inbreuk heeft (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. En (zo nodig), bij betrokkenen: De inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
5 Melden 2 Hoe melden aan de Autoriteit Persoonsgegevens? Onverwijld (72 uur, indien later motiveren) Online portal (nog niet live) Per fax Hoe melden aan de betrokkene? Onverwijld Alle redelijke directe middelen (bijvoorbeeld e-mail, post, sms, telefoon) Niet: melden op een persoonlijk portaal (zoals een online klantdossier) wat misschien niet steeds wordt bekeken (zorgvuldig en behoorlijk!). Ook: landelijk melden in de pers als onduidelijk is wie de betrokkenen zijn
6 Documenteren Alle informatie van de melding zelf moet opgenomen worden in het archief. Het maakt hier bij niet uit of u: - Een excel gebruikt - Aansluit op reeds bestaande incidentmanagementsystemen - Nieuwe software aanschaft Bewaartermijn van de incidentoverzichten (protocolplicht) In beginsel minimaal 1 jaar. Hangt ook af van je eigen regels. Zie beleidsregels, p. 47.
Aansprakelijkheid Bestuurders Let op! De verantwoordelijke is ook verantwoordelijk voor het handelen van zijn bewerkers. Verhaal kan wel bij contract geregeld worden. bewerkers of partners Voor hun eigen handelen Heel soms uw medewerkers Strafbare feiten Opzet of bewuste roekeloosheid (zware bewijslast voor werkgever)
Beleidsregels handhaving Art. 4 Bij de afweging die ten grondslag ligt aan de inzet van handhavingsinstrumenten naar aanleiding van een bemiddelingsverzoek, handhavingsverzoek en/of klacht alsmede bij het instellen van ambtshalve onderzoek geeft de Autoriteit Persoonsgegevens prioriteit aan zaken waarbij het vermoeden heeft van: a. ernstige overtredingen; b. structurele overtredingen; c. overtredingen die veel mensen treffen; d. overtredingen waarbij de Autoriteit Persoonsgegevens door de inzet van handhavingsinstrumenten effectief verschil kan maken; e. overtredingen die vallen binnen de (jaarlijkse) aandachtspunten die door de Autoriteit Persoonsgegevens bekend zijn gemaakt.
Boetemaxima Regel Melding bij CBP, melding bij betrokkene, bijhouden overzicht inbreuken (artikel 34a lid 1, lid 2, lid 7, lid 8 Wbp) Maximale boete 500.000,- Wijze van kennisgeving aan CBP en betrokkene (artikel 34a lid 3, lid 4, lid 5 en lid 11) 200.000,- Niet-nakoming bindende aanwijzing (artikel 66 lid 5 Wbp) 820.000,- Medewerkingsplicht (inclusief leveren documenten en inzicht in systemen) (artikel 5:20 Awb) 820.000,-
Toezicht en onderzoek De Autoriteit Persoonsgegevens kan eigen onderzoek instellen (artikel 60 Wbp) op grond van een klacht van een belanghebbende op eigen initiatief De Autoriteit Persoonsgegevens kan inlichtingen vorderen, inzage vorderen in zakelijke gegevens, zaken en middelen onderzoeken (waaronder computerapparatuur) en ruimtes betreden, waaronder woningen. (artikel 61 lid 2 Wbp jo. 5:15 Awb) U bent verplicht alle gevraagde medewerking te verlenen
Boetefactoren Bij beoordeling van de ernst van de overtreding gelet op: Aard en omvang overtreding Duur van de overtreding Impact op betrokkene en/of maatschappij (financiële) voordeel voor de overtreder Rekening gehouden met: Verwijtbaarheid overtreder (aanzienlijk indien opzet of ernstig verwijtbare nalatigheid); in dit geval hoeft niet eerst een bindende aanwijzing te worden gegeven Eventueel rekening gehouden met: Omstandigheden waaronder overtreding is gepleegd en (financiële) omstandigheden overtreder
Boetefactoren 2 Bij meerdere overtredingen kan een boete voor alle overtredingen gezamenlijk worden opgelegd Bij verwijtbaarheid van de overtreder (opzet, ernstige nalatigheid) Nadat een bindende aanwijzing niet is opgevolgd Boeteverhogende omstandigheden 1. Eerdere (zelfde of vergelijkbare) overtreding 2. Onderzoek toezichthouder tegenwerken of belemmeren 3. geen boeteverhoging als de boete is opgelegd wegens nietmeewerken Boeteverlagende omstandigheden: 1. Meer medewerking verlenen aan de toezichthouder dan verplicht 2. Overtreding uit eigen beweging beëindigd 3. Schadeloosstelling slachtoffer(s)
Openbaarmaking Het college mag handhavingsbesluiten openbaar maken. Zie hiervoor de beleidsregels actieve openbaarmaking: http://wetten.overheid.nl/bwbr0034173/geldigheidsd atum_04-12-2015#4
Aandachtspunten Uitvoering Voer een goede administratie Leg een overzicht met standaardinformatie aan (data inventarisatie) Vergeet de bewerkersovereenkomsten niet! Proces Zorg voor een adequate interne melding Maak rollen en verantwoordelijkheden duidelijk! Start voor 1-1-2016 met tenminste een plan
Plan de campagne Data inventarisatie Wat heb je? Hoeveel heb je? Wie spreek je aan? Waar heb je het? (systeem & locatie) Waarom heb je het? Met wie deel je het? (verantwoordelijke) Van wie krijg je het? (bewerker)
Plan de campagne 2 Inventariseer: Wie je nodig hebt om het proces op orde te krijgen (stakeholders) Welke interne informatieprocessen moeten worden ingericht Welke informatie in- en extern gecommuniceerd moet worden
Plan de campagne 3 : Bewerkersovereenkomst Bevat minstens een clausule over lekken Kan een clausule bevatten die regelt dat de bewerker de melding doet. De verantwoordelijke blijft verantwoordelijk voor het geheel, dus ook voor de melding. Bevat afspraken over informatieverstrekking Wijze waarop informatie zal worden verstrekt (protocol/documentatieplicht) Termijnen waarbinnen informatie zal worden verstrekt Bevat afspraken over eigen mogelijkheden tot inzage in de systemen van de bewerker (audits) Bevat eventueel boetes voor het nalaten van de melding aan de verantwoordelijke Bevat afspraken over passende technische en organisatorische maatregelen Als de bewerker in het buitenland is gevestigd moet hij zorgen voor compliance in dat land. Ook wat betreft lekken!
Plan de campagne 4 : Crisiscommunicatie Tijdstip: 100% betrouwbare en valide informatie Officieel persmoment Leg uit wat je gaat doen (tussen nu en persmoment) en hoe je dit gaat doen Zorg voor juiste, tijdige (snelle) proportionele en begrijpelijke informatie Reden: Daar kan ik geen mededeling over doen is geen goed antwoord Zorg dat bij meerdere betrokken partijen een partij de woordvoering doet en communiceer wie dat is Leg uit waarom je iets niet kunt vertellen (bijvoorbeeld omdat er nog onderzoek gedaan moet worden) Kweek begrip! Uitleg: Waarom ga je x, y en z doen? Als iets een standaardprocedure is, zeg dat dan, dat neemt onzekerheid weg
Plan de campagne 5 : Crisiscommunicatie 2 Wat leg je klaar? Standaard reactie van directie / raad van bestuur / manager Voor: Betrokkenen Aandeelhouder Ondernemingsraad Pers Praktisch Brieven (weet ook waar je zesnel kan laten printen) Website die snel kan worden opgetuigd Telefoonnummer voor vragen Instructies voor klantenservice Webcare Call Center
Plan de campagne 6 Met andere woorden Wees voorbereid!
Aanbevelingen Onderwerp Aanbeveling Data inventarisatie Breng gegevens in kaart Wat wordt verwerkt? Met welk doel? Bewaartermijn? Door wie en voor wie? Bewaartermijnen Stel beleid op Breng privacybeleid en informatiebeleid op één lijn Toegang en autorisaties Zorg voor beleid omtrent toegang en autorisaties Zorg voor geheimhouding Zorg voor beleid omtrent autorisaties Informatie Zorg voor privacy statements Rechten Informeer betrokkenen duidelijk over de uitoefening van hun rechten Zorg voor een duidelijk aanspreekpunt binnen de woningcorporatie Realiseer waar nodig rechten in een eigen online dossier Meldplicht datalekken Start de implementatie van het meldplichtproces Zorg voor beleid Maak afspraken met alle derde partijen (leveranciers) Dataminimalisatie Vraag niet wat je niet nodig hebt Let op bij de verwerking van gevoelige en bijzondere gegevens Awareness Zet de meldplicht datalekken en de AVG intern op de agenda Probeer privacy in te bedden in het collectieve bewustzijn van de organisatie, eventueel door training Neem privacy mee bij een jaarlijkse audit
Meer weten? Nee hoor, ik weet alles nu, maar mijn collega s nog niet: Avondsessie meldplicht datalekken: http://www.cibit.nl/nl/ictopleidingen/meldplicht-datalekken-avondsessie/ Ik wil graag weten hoe ik dit in mijn organisatie kan inbedden (ook technisch): Cursus meldplicht datalekken in de praktijk (met Cibit Docent Mark Tissink MSc RE CISSP CISA) http://www.cibit.nl/nl/ict-opleidingen/cursusmeldplicht-datalekken-in-de-praktijk/
Vragen?