Meldplicht datalekken Thomas van Essen 31 maart 2016
Agenda Kort juridisch kader Bespreking aandachtspunten en mogelijke valkuilen Oplossingen
Datalekken (I) Antoni van Leeuwenhoek 780 patiëntgegevens Losse harde schijf
Meldplicht datalekken Wetgeving Artikel 34a in de Wet bescherming persoonsgegevens Per 1 januari 2016 van kracht Geldt deels niet voor: financiële ondernemingen Aanbieders telecom diensten en internetdiensten
Meldplicht datalekken Inhoud artikel 34a Twee meldplichten Onverwijld aan CBP bij (aanzienlijke kans op) ernstige nadelige gevolgen Onverwijld aan betrokkene bij mogelijk ongunstige gevolgen privacy (tenzij encryptie) Voorwaarden aan de inhoud van de melding Bijhouden overzicht
Toezichthouder
Beleidsregels datalekken Doel: Ondersteuning bij het maken van een beredeneerde afweging of gemeld moet worden Uitgangspunt toepassen handhavende maatregelen
Autoriteit Persoonsgegevens Boetebevoegdheid EUR 820.000,-- of 10% jaaromzet Eerst bindende aanwijzing Boetebeleidsregels
Aandachtspunten
Getrapt model
Wat is een datalek? (I) Niet ieder beveiligingsincident = datalek inbreuk op de beveiliging zoals bedoeld in artikel 13 ( ) passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking Ruim begrip, mate beveiliging niet relevant
Wat is een datalek? (II)
Wat is iig geen datalek?
Rol van de bewerker Meldplicht richt zich tot de verantwoordelijke Verantwoordelijke moet onverwijld melden Was: twee werkdagen Is: 72 uur voor zover mogelijk Afspraken bewerker omtrent doorgeven geconstateerd datalek Zelfstandig melden?
Ernstige nadelige gevolgen? (I)
Ernstige nadelige gevolgen? (II) (Aanzienlijke kans op) ernstige nadelige gevolgen bij lek: Gevoelige gegevens Bijzondere persoonsgegevens, financiële gegevens, stigmatisering/uitsluiting, gebruikersnaam/wachtwoorden, identiteitsfraude Aard en omvang Veel gegevens over een persoon Gegevens over grote groepen
Waarschijnlijk ongunstige gevolgen? (I) Bij versleuteling geen melding indien: Versleuteld op moment datalek Versleuteling adequaat Remote wiping Tijdig Apparaat nog intact Toepassing moet nog (correct) werken
Waarschijnlijk ongunstige gevolgen? (II) Weinig houvast voor verdere beoordeling Wel bij gevoelige gegevens Bewaartermijnen van 1 of 3 jaar Geen invulling van onverwijld
Insteek CBP
INCIDENT RESPONSE Identificeren, analyseren, bewijs verzamelen Insluiten en schade beperken Herstel Evaluatie Reactiebeleid bestaat uit: Hoe verder? IT-plan, uitgewerkt voor kritische systemen Communicatieplan, zowel extern als intern Compliance (bijv. meldplicht CBP, betrokkene informeren, etc) Een goed reactiebeleid voorkomt zowel een deel van de reputatieschade als een deel van de financiële schade
Gevolgen organisatie Enorme herstelkosten Ernstige reputatieschade Kosten worden geschat op $ 154 per verloren record, totaal per lek $ 3,79 miljoen. 1 Kosten bestaan uit: Activiteiten nodig voor ontdekken van datalek Kostprijs van herstel Kosten van informeren slachtoffers Eventuele hulp aan slachtoffers om gevolgen te beperken 1. Bron: Symantec/Ponemon, 2015 Cost of Data Breach Study: Global Analysis
Incident response Identificeren, analyseren, bewijs verzamelen Insluiten en schade beperken Herstel Evaluatie Reactiebeleid bestaat uit: IT-plan, uitgewerkt voor kritische systemen Communicatieplan, zowel extern als intern Compliance (bijv. meldplicht CBP, betrokkene informeren, etc.) Een goed reactiebeleid voorkomt zowel een deel van de reputatieschade als een deel van de financiële schade
SOLV Advocaten Anne Frankstraat 121 1018 BZ Amsterdam essen@solv.nl? 31 maart 2016