Datalekken
Voorgeschiedenis 1988: Wet persoonsregistraties (Wpr) 1995: Richtlijn 95/46EG beoogt: - bescherming van persoonsgegevens en garantie van vrij verkeer van persoonsgegevens tussen lidstaten 2001: Wet Bescherming Persoonsgegevens (Wbp) - vervanger van Wpr en uitwerking van richtlijn 01-01-2016: Wet meldplicht datalekken 04-05-2016: Publicatie Europese Algemene Verordening Gegevensbescherming in Publicatieblad EG; overgangsperiode: 2 jaar 25-05-2018: Datum inwerkingtreding/van toepassing Europese Algemene Verordening Gegevensbescherming (AVG)
Intensivering wetgeving Wbp lange tijd onbekend en onbemind Wbp werd (en wordt) lang niet altijd nageleefd wet hield geen gelijke pas met technologische ontwikkelingen beoogde veiligheidsniveau wordt niet gehaald sancties werden ontoereikend geacht betere naleving noodzakelijk daarom: artikel 34a Wbp en AVG
Waarom belangrijk voor particulieren? Datalekken kunnen leiden tot: (identiteits)fraude financiële schade chantage aantasting eer en goede naam misbruik van inloggegevens uw naam, geboortedatum, woonadres en BSN: uw creditcardinformatie en bankgegevens: per scan/kopie van paspoort, rijbewijs, bankrekening: Geen fantasie maar werkelijkheid Bron: rapport antivirusbedrijf Trend Micro 22-09-2015, Follow the data
Waarom belangrijk voor bedrijven? Datalekken kunnen leiden tot: verlies van reputatie verlies van klanten, toeleveranciers en ketenpartners verlies van bedrijfsgeheimen chantage financiële schade faillissement (bijv. Diginotar). Hyper-connected wereld, internet of things, industrie 4.0 niet meer vraag óf een bedrijf aangevallen wordt in cyberspace maar wannéér Internet Security Threat Report 2014: NL eerste plaats in Europa en top 5 mondiaal van bedrijven geraakt door een cyberaanval 2015: 23% van de MKB-bedrijven in Nederland gehackt
Boetes Wbp: tot 820.000,00 of 10% van de jaaromzet indien passender straf AVG: tot 20.000.000,00 of 4% wereldwijde omzet indien hoger
Verwerking pg alleen toegestaan als betrokkene ondubbelzinnig toestemming verleent noodzakelijk voor uitvoering overeenkomst (of voortraject) noodzakelijk voor nakoming wettelijke plicht of dringend eigen belang betrokkene (dringende noodzaak; leven of dood) gerechtvaardigd belang verantwoordelijke of derde, tenzij belang of fundamentele rechten van betrokkene prevaleert; belangenafweging geen rechtvaardigingsgrond voor verwerking pg, dan onrechtmatig
Verwerking Verwerking van persoonsgegevens: elke handeling met betrekking tot persoonsgegevens, waaronder: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen van gegevens omvat hele proces, van begin (verzamelen/verkrijgen) tot en met einde (vernietiging) niet limitatief, ook anonimiseren is verwerking
Persoonsgegeven Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Geen overleden personen en rechtspersonen; mensen van vlees en bloed. Direct herleidbaar Indirect herleidbaar Mogelijkheid tot herleiding Naam, adres, woonplaats? Telefoonnummer? Kenteken? Camerabeeld? Stemgeluid?
Bewerking Rolverdeling en hoedanigheden: A. Verantwoordelijke: degene die doel van en middelen voor verwerking pg vast stelt B. Bewerker: degene die ten behoeve van de verantwoordelijke pg verwerkt zonder aan diens rechtstreekse gezag onderworpen te zijn C. Betrokkene: degene van wie de pg verwerkt worden (natuurlijk persoon)
Bijzondere persoonsgegevens Verboden om bijzondere pg te bewerken, tenzij uitdrukkelijke toestemming of wettelijke uitzondering Bijzondere pg: godsdienst, ras, levensovertuiging, politieke gezindheid, gezondheid, seksuele voorkeur, lidmaatschap vakvereniging, strafrechtelijke gegevens of pg over onrechtmatig of hinderlijk gedrag
Beveiliging (art. 13 Wbp) verantwoordelijke heeft beveiligingsplicht voor pg dient passende technische en organisatorische maatregelen ten uitvoer te leggen om pg te beschermen tegen verlies of onrechtmatige verwerking maatregelen garanderen passend beveiligingsniveau mede gericht op voorkoming onnodige verzameling en verdere verwerking pg technische maatregelen organisatorische maatregelen
Uitbesteding en bewerkersovereenkomst Verantwoordelijke kan verwerking van pg uitbesteden aan derde. Bijvoorbeeld: - externe personeels- en salarisadministratie; - cloudopslag - arbodienst - klantenservice - externe ICT-dienstverlener De grote onbekende: de bewerkersovereenkomst Bij uitbesteding verwerking bewerkersovereenkomst wettelijk vereist (art. 14 Wbp) - doeleinden verwerking - verplichtingen bewerker - doorgifte van pg - meldplicht - beveiliging
Datalekken Wat is een datalek? Artikel 34a, lid 1 Wbp De verantwoordelijke stelt de Autoriteit Persoonsgegevens onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstig nadelige gevolgen dan wel ernstig nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Artikel 34a, lid 2 Wbp De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ernstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Artikel 34a, lid 6 Wbp Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.
Soorten datalekken 1. Opzettelijke datalekken bewuste omzeiling van beveiligingsmaatregelen door hackers of eigen personeel, zoals door middel van: uitbuiten kwetsbaarheden in: - informatiesystemen (bekende veiligheidslekken in niet ge-update software, zwakke wachtwoorden) - webservers (SQL-injection) - menselijk gedrag (phishing, social engineering) - diefstal van niet beveiligde laptops, servers, tablets, mobieltjes, etc. - kopiëren, meenemen of aan derden verstrekken van vertrouwelijke gegevens
Soorten datalekken 2. Onopzettelijke datalekken niet doelbewust veroorzaakt, fout ligt in de mens of techniek Voorbeelden: - verlies niet beveiligde laptop, server, tablet, telefoon of USB-stick - verzenden van gegevens via onbeveiligde mail - rechtstreekse toegang tot onbeveiligde gegevens op servers of desktops of laptops of in dossierkasten - versturen pg aan verkeerde ontvanger - bericht aan meerdere ontvangers in cc in plaats van in bcc - crash van hard disk waardoor gegevens verloren raken
Oorzaken datalekken Bron: Ponemon Institute 2015 Menselijk falen 25% Moedwillig 46% Technisch falen 29%
Melden aan AP? Zijn er gevoelige persoonsgegevens gelekt? ja V nee Leidt het datalek tot (aanzienlijke kans op) ernstig nadelige gevolgen voor bescherming pg? ja > Je moet het datalek melden bij de AP V nee Je hoeft het datalek niet te melden bij de AP
Gevoelige persoonsgegevens zijn: Gevoelige persoonsgegevens godsdienst, ras, levensovertuiging, politieke gezindheid, gezondheid, seksuele voorkeur, lidmaatschap vakvereniging, strafrechtelijke gegevens of pg over onrechtmatig of hinderlijk gedrag Gegevens financiële en of economische situatie zoals: salaris, betalingsgegevens of (problematische) schulden Gegevens die kunnen leiden tot uitsluiting zoals: gokverslaving, school- werkprestaties, relatieproblemen Gebruikersnamen, wachtwoorden, andere inloggegevens Gegevens die kunnen leiden tot misbruik zoals: (identiteits)fraude, biometrische gegevens, kopieën ID en BSN Gegevens uit DNA-banken, met bijzondere wettelijk bepaalde geheimhoudingsplicht, beroepsgeheim ex artikel 9 lid 4 Wbp
Datalek op grond van Wbp? Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als: 1. er pg in het geding zijn 2. pg blootgesteld zijn aan verlies of onrechtmatige verwerking (zekerheid of mogelijkheid) Geen datalek als: verlies of onrechtmatige verwerking pg kan worden uitgesloten Voorbeelden: per ongeluk gewiste database kan vanuit een complete en actuele back up weer opgebouwd worden. Geen verlies van pg. Logingegevens vallen in verkeerde handen maar na sluiting account en raadpleging logbestanden blijkt dat geen sprake is van onrechtmatige toegang tot pg. Geen schending van vertrouwelijkheid/ onrechtmatige verwerking
(Aanzienlijke kans op) ernstig nadelige gevolgen? Hamvraag: leiden aard en omvang van het datalek tot (een aanzienlijke kans op) ernstig nadelige gevolgen? Gevoelige gegevens: ja Grote aantallen betrokkenen of veel gegevens per betrokkene: ja ook bij datalek één persoon bestaat kans op ernstig nadelige gevolgen kwetsbare groepen malware, ransomeware en cryptoware datalek verondersteld
Melden aan betrokkenen? Waren de gegevens goed versleuteld of geanonimiseerd? V Heeft het datalek (waarschijnlijk) nadelige gevolgen voor de betrokkenen? V Heb je zwaarwegende redenen om het lek (nog) niet te melden? V nee ja nee Je moet het datalek melden aan de betrokkenen ja nee > Ja Je hoeft het datalek niet te melden aan betrokkenen
Melding aan de betrokkenen? goed genoeg versleuteld? op moment van inbreuk adequaat - toekomst vast - aantoonbaar juist toegepast - sleutel niet gelekt restrisco acceptabel zwaarwegende redenen om niet te melden: Voorbeelden AP: 1. kinderen die psychische hulp gezocht hebben buiten medeweten ouders 2. beursonderneming tijdens overname 3. niet willen frustreren onderzoek naar datalek
Europese Privacy Verordening (AVG) Belangrijkste veranderingen: 1. Verantwoordingsplicht verantwoordelijke moet aantonen dat gegevensverwerking: - rechtmatig, behoorlijk, transparant - doelgebonden - minimaal - juist - passend beveiligd tegen verlies/ onrechtmatige verwerking 2. Register van verwerkingsactiviteiten > 250 werknemers: V+B registratieplicht < 250 werknemers: niet, tenzij risico voor betrokkenen stelselmatige verwerking bijzondere pg
3. Burgers meer controle over pg: data portabiliteit right to be forgotten rectificatie, wissen, beperking pg 4. Meldplicht datalek: ook binnen 72 uur 5. Beveiliging: verantwoordelijke en bewerker dienen passende technische en organisatorische beveiligingsmaatregelen te nemen om op risico afgestemd beveiligingsniveau te waarborgen, waaronder - pseudonimisering en versleuteling pg - permanente beschikbaarheid vertrouwelijkheid en integriteit pg - vermogen beschikbaarheid/ toegang pg tijdig herstellen - procedure testen, beoordelen en evalueren beveiligingsmaatregelen
VRAGEN?