Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

Vergelijkbare documenten
Meldplicht datalekken. Prof. mr. G-J. (Gerrit-Jan) ZWENNE Leiden 2 februari 2016

Meldplichten en datalekken

Meldplichten en datalekken

vernieuwde privacywet

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Protocol meldplicht datalekken

Protocol meldplicht datalekken Voor financiële ondernemingen

Raadsmededeling - Openbaar

Protocol datalekken Samenwerkingsverband ROOS VO

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

ENKELE OPMERKINGEN OVER DE AVG

Procedure meldplicht datalekken

WET MELDPLICHT DATALEKKEN FACTSHEET

Wet Meldplicht Datalekken. Jeroen Terstegge

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

FACTSHEET DATALEK. Inleiding

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

PROCEDURE MELDPLICHT DATALEKKEN




Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Procedure Meldplicht Datalekken

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

PRIVACY & DATALEKKEN

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Protocol informatiebeveiligingsincidenten en datalekken

Meldplicht Datalekken CBP RICHTSNOEREN

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Regeling meldplicht datalekken 2016

Protocol meldplicht datalekken

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Wet meldplicht datalekken

Van Wbp naar AVG in minder dan 60 minuten

Sta eens stil bij de Wet Meldplicht Datalekken

Procedure Melden beveiligingsincidenten

Protocol Meldplicht Data-lekken

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Protocol Datalekken Twelve

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Protocol datalekken voor Fidé Hypotheken & Verzekeringen

Protocol Meldplicht Datalekken

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Cloud computing Helena Verhagen & Gert-Jan Kroese

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Boels Zanders. De kracht Jean-Luc van ambitie. 24 mei Privacy op de werkvloer. Anouk Cordang en

Protocol meldplicht datalekken

Protocol Datalek. Geschiedenis Studenten Vereniging Excalibur

Verwerkingsstatuut AVG

Bijlage Gegevensverwerking. Artikel 1 - Definities

1. Verplichtingen. 2. Subverwerkers

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Datalekken in de mkb praktijk

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Versie 1 01 May 2018 PROTOCOL DATALEKKEN NOSUCH

Meldplicht Datalekken

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

De beleidsregels bij de meldplicht datalekken: een korte beschouwing

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

Melden van datalekken

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Privacyreglement Medewerkers Welzijn Stede Broec

De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp

In vier stappen voldoen aan de meldplicht datalekken

ROC Rivor 23 mei Privacyreglement

Help een datalek! Wat nu?

Werkprogramma Meldplicht Datalekken. Handreiking

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Protocol informatiebeveiligingsincidenten en datalekken PCPO Barendrecht en Ridderkerk

Privacy statement MULDATA BV

PROTOCOL MELDING DATALEKKEN

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

Protocol Beveiligingsincidenten en datalekken

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Bewerkersovereenkomst

Formulier melding datalek

Algemene Verordening Gegevensbescherming

Verwerkersovereenkomst Openworx

Calamiteitenplan datalekken Unidis B.V.

Verwerkersovereenkomst

Algemene Verordening Gegevensbescherming

Beleid en procedures meldpunt datalekken

Bewerkersovereenkomst

De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp)

Impact van de meldplicht datalekken

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk

De impact van Cybercrime & GDPR

gisteren in het A. DE LAATSTE ONTWIKKELINGEN BIJ DE PRIVACYTOEZICHTHOUDER

Bewerkersovereenkomst

BEWERKERSOVEREENKOMST

Bewerkersovereenkomst

BIJLAGE 3. Procedure Meldplicht Datalekken

Transcriptie:

De Algemene Verordening Gegevensbescherming Meldplicht datalekken 5 april 2016 Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp 1

personal data breach a breach of security leading to the accidental or unlawful destruc7on, loss, altera7on, unauthorised disclosure of, or access to, personal data transmi;ed, stored or otherwise processed inbreuk i.v.m. persoonsgegevens een inbreuk op de beveiliging met tot gevolg vernie7ging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtma7g Meldplicht datalekken Melding bij toezichthouder bij 'aanzienlijke kans op ernscge nadelige gevolgen of ernscge nadelige gevolgen voor de bescherming van persoonsgegevens' Melding bij betrokkene bij 'waarschijnlijk ongunscge gevolgen voor diens persoonlijke levenssfeer' Melding bij toezichthouder unless the personal data breach is unlikely to result in a risk for the rights and freedoms of individuals Melding bij betrokkene likely to result in a high risk [for] the rights and freedoms o individuals 2

melding Wie? verantwoordelijke Wat? inbreuk op beveiliging van persoonsgegevens Wanneer? onverwijld d.w.z. in beginsel binnen 72 uur Hoe? Meldloket Datalekken (Ap) en zo-mogelijk individueel (betrokkenen) inbreuk op beveiliging van persoonsgegevens gegevens betreffende geïdentificeerde of identificeerbare natuurlijke personen Wél: werknemers, ambtenaren, studenten, scholieren, zzp-ers, contactpersonen, patiënten, consumenten, kinderen, volwassenen, leden, treinreizgers, automobilisten, etc. Niet: rechtspersonen, bedrijven, overledenen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. maatregelen moeten onnodige verzameling en verdere verwerking van persoonsgegevens voorkomen beveiligingsmaatregelen prevenheve maatregelen voorkomen dat een dreiging leidt tot een incident detecheve maatregelen vaststellen dat er een incident is geweest repressieve maatregelen beperken van negaceve gevolgen van het incident herstelmaatregelen herstel van negaceve gevolgen dreiging beveiligingsincident gevolgen correcheve maatregelen reparace van tekortkomingen in de beveiliging 3

er is niet uitsluitend sprake van een dreiging of een tekortkoming in de beveiliging maar er heer zich daadwerkelijk een beveiligingsincident voorgedaan de prevenceve maatregelen waren niet toereikend om dit te voorkomen. inbreuk er zijn daadwerkelijk gevolgen voor de verwerkte persoonsgegevens: er zijn persoonsgegevens verloren gegaan niet uit te sluiten dat er gegevens onrechtmacg zijn verwerkt de getroffen repressieve maatregelen en de herstelmaatregelen waren onvoldoende om negaceve gevolgen geheel weg te nemen datalek..? casus: gebruikersnaam en wachtwoord Een werknemer geea een kennis haar gebruikersnaam en wachtwoord die toegang geven tot de klantgegevens van het bedrijf waar zij werkt. Dit wordt ontdekt. Het bedrijf past het wachtwoord aan. Daarmee heea de kennis geen toegang meer. Aan de hand van logbestanden gaat het bedrijf na of de derde daadwerkelijk toegang heea gehad tot de klantgegevens. Er kan redelijkerwijs worden uitgesloten dat er door middel van het betreffende account toegang is verkregen tot de gegevens. Melding..? 4

casus: accounts passwords hack op pastebin.com wordt een lijst gepubliceerd met 16,5 miljoen wachtwoorden van een populair sociaal netwerk Melding..? een (aanzienlijke kans op) ernscge nadelige gevolgen voor de bescherming van persoonsgegevens Melding bij Ap bijzondere gegevens (art. 16) financiële of economische gegevens stigmatiserings- c.q. uitsluitingsrisico's gebruikersnamen, wachtwoorden, identiteitsfraude e.d. beroepsgeheim, DNA-gegevens omvang van lek (aantal personen en/of hoeveelheid gegevens) ingrijpendheid van o.b.v. gegevens genomen beslissingen olievlek (bijv. ketensamenwerking) Wél melden technische storing in ziekenhuis waardoor medische gegevens zijn ingezien door onbevoegden kopieën paspoort of rijbewijs, bank- of creditcardnrs, wachtwoorden, enz. laptop met onversleutelde financiële gegevens tablet met versleutelde gegevens, maar geen back-up envelop met creditcardgegevens Níet melden foucef geadresseerde brief, ongeopend teruggestuurd zoekgeraakte en ongeopend teruggevonden koffer verloren ledenadministrace van tennisvereniging verpleegkundige 'leent' wachtwoord van co-assistent bestand i.d.z.v. art. 1(c) Wbp? 5

'onverwijld' wanneer vanaf moment van bekend worden van datalek bekend bij verantwoordelijke zelf of bekend bij bewerker(!) zonder onnodige vertraging zo mogelijk niet later dan 72 uur na ontdekking maar later mag als dat kan worden uitgelegd idem art. 31(1) GDPR melding aan betrokkene 'waarschijnlijk onguns7ge gevolgen voor diens persoonlijke levenssfeer' (art. 34a(6) Wbp) encryptie, hashing beschermt tegen onbevoegde kennisneming (niet tegen vernietiging of aantasting) bijv. tijdige remote wipe (Mobile-Iron) risico op schade voor betrokkenen, bijv. identiteitsdiefstal, chantage, aantasting eer en goede naam; bijzondere gegevens of anderzins gevoelige gegevens psychosociale hulpvragen van kinderen buiten medeweten van ouders bedrijfsovername, bank-run 6

pro forma melding (tekstsuggeshe) Er is naar oordeel van verantwoordelijke géén sprake van een inbreuk op de beveiliging van de persoonsgegevens. Voor het geval dat daarover verschil van inzicht kan bestaan wordt zekerheidshalve, en zonder aanvaarding van enige gehoudenheid daartoe, deze melding gedaan. 7

g.j. zwenne@law.leidenuniv.nl 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback