Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016
Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
I. Inleiding Wet bescherming persoonsgegevens ( WBP ) gebaseerd op de Europese richtlijn gegevensbescherming Begrip persoonsgegeven Vanaf 1 januari 2016, enkele wijzigingen WBP: - Meldplicht datalekken (art. 34a) - Uitbreiding bestuurlijke boetebevoegdheid (art. 66) - College Bescherming Persoonsgegevens - Autoriteit persoonsgegevens (art. 51)
Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
II. Cijfers hoe vaak en waardoor? Hoe vaak in zorgorganisaties? Datalek in de afgelopen twee jaar: 89% Meer dan vijf datalekken in de afgelopen twee jaar: 45% Waardoor in zorgorganisaties? - Actie van een insider/werknemer: 57% - Criminele aanval: 50% - Fout van een derde: 41% - Gestolen device: 39% - Systeemfout: 29% (Bron: Ponemon rapport, Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data, May 2016)
II. Cijfers - kosten Gemiddelde kosten van een datalek in de zorgsector: 320,- per dossier Gemiddelde kosten van datalekken bij een zorgorganisatie per twee jaar: 1.900.000,- (Bron: Ponemon Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data, May 2016)
Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
III. Recente voorbeelden datalekken in de zorg - buitenland Ziekenhuizen in de Verenigde Staten begin 2016 getroffen door ransomware - Gegevens op slot - In ieder geval éénmaal losgeld betaald om weer toegang te krijgen: 15.000 in bitcoins
III. Recente voorbeelden datalekken in de zorg - Nederland Januari 2016: Vertrouwelijke gegevens van patienten van o.a. twee Nederlandse ziekenhuizen gedownload door fout leverancier Maart 2016: Harde schijf met persoonlijke medische gegevens van ruim 780 kankerpatiënten (199 nog in leven) gestolen uit auto onderzoeker ziekenhuis April 2016: zorggegevens van 1900 inwoners van een gemeente in verkeerde handen Mei 2016: USB stick met vertrouwelijke gegevens van een cliënt van een GGD zoekgeraakt bij verzending per post
Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in Nederland IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
IV. Beveiliging en meldplicht datalekken Beveiligings incident Datalek Te melden datalek
Beveiliging en meldplicht datalekken actoren Verantwoordelijke Bewerker Betrokkene NB bewerkersovereenkomst (art. 14 Wbp)
IV. Beveiliging Art. 13 Wbp: - Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking - Passend beschermingsniveau - Mede gericht op voorkomen onnodige verzameling en verdere verwerking van persoonsgegevens Richtsnoeren beveiliging van persoonsgegevens en zorgspecifieke beveiligingsstandaarden
IV. Beveiliging risicoanalyse en maatregelen Dreiging 1 Preven(eve maatregelen: voorkomen beveiligingsincident Beveiligingsincident 2 Detec(eve maatregelen: signaleren beveiligingsincident 3 Repressieve maatregelen: beperken gevolgen beveiligingsincident Gevolgen 4 Herstelmaatregelen: verhelpen van de gevolgen 5 Correc(eve maatregelen: repareren van de gebleken tekortkomingen in de beveiliging
IV. Beveiliging- beveiligingsincidenten Voorbeelden: - Inbraak door een hacker - Kwijtgeraakte USB stick - Gestolen laptop - Malwarebesmetting - Calamiteit zoals brand in een datacentrum
IV. Meldplicht datalekken - datalek Artikel 34a WBP: inbreuk op de beveiliging (art. 13 WBP) Persoonsgegevens verloren of onrechtmatige verwerking redelijkerwijs niet uit te sluiten Eigen afweging over wel of niet melden; beleidsregels de meldplicht datalekken in de Wet bescherming persoonsgegevens
IV. Meldplicht datalekken melding AP (Aanzienlijke kans op) erns>ge nadelige gevolgen voor de bescherming van persoonsgegevens Persoonsgegevens van gevoelige aard gelekt? Bijzondere gegevens (o.a. betreffende gezondheid) Financiële of economische gegevens Risico op s>gma>sering of uitslui>ng Gebruikersnamen, wachtwoorden, logingegevens Risico op iden>teitsfraude Bijzondere wekelijk bepaalde geheimhoudingsplicht en beroepsgeheim DNA gegevens Leiden aard en omvang van de inbreuk tot (een aanzienlijke kans op) erns>ge nadelige gevolgen? Omvang verwerkingen Ingrijpende beslissingen obv de persoonsgegevens Persoonsgegevens die binnen ketens worden gedeeld. NB Gegevens kwetsbare groepen
IV. Meldplicht datalekken melding AP Door wie? - De verantwoordelijke Wanneer? - Onverwijld - In beginsel binnen 72 uur - Vanaf moment van ontdekking (door verantwoordelijke of bewerker!) Hoe? - Online formulier op website AP Wat? - Aard inbreuk, info contactgegevens, hoe te handelen - Beschrijving gevolgen en de getroffen en te treffen maatregelen
IV. Meldplicht datalekken melding betrokkene Waarschijnlijk onguns>ge gevolgen voor diens persoonlijke levenssfeer Persoonsgegevens van gevoelige aard, uitgangspunt: ook melden aan betrokkenen In overige gevallen een (aparte) afweging maken Niet vereist bij: - Cryptografie met voldoende bescherming (onbegrijpelijk of ontoegankelijk) - Andere technische maatregelen met voldoende bescherming (onbegrijpelijk of ontoegankelijk) - Zwaarwegende redenen (niet cumulatief)
IV. Meldplicht datalekken melding betrokkene Door wie? - De verantwoordelijke Wanneer? - Onverwijld - Vanaf moment van ontdekking (door verantwoordelijke of bewerker!) Hoe? - Behoorlijke en zorgvuldige informatievoorziening gewaarborgd - Vormvrij, indien mogelijk individueel Wat? - Aard inbreuk, info contactgegevens, hoe te handelen
IV. Meldplicht datalekken na de melding Door de AP: - Ontvangstbevestiging - Opname in (niet openbaar) register - Inhoudelijke afhandeling - Mogelijk onderzoek en handhaving Door de verantwoordelijke: - Vastleggen van feiten en gegevens omtrent de melding, incl. tekst van de kennisgeving aan de betrokkene
Onderwerpen I. Inleiding II. Cijfers datalekken III. Voorbeelden datalekken IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
V. Bestuurlijke boetebevoegdheid - Art. 66 WBP Maximum 820.000,- (of 10% jaaromzet) onder meer voor: - Schending meldplicht - Schending hoofdbeginselen Wbp - Schending verbod mbt bijzondere persoonsgegevens Doorgaans eerst bindende aanwijzing tenzij opzet of ernstig verwijtbare nalatigheid
V. Bestuurlijke boetebevoegdheid vervolg Boetebeleidsregels Basisboete: bandbreedte in drie subcategorieën, verhoging of verlaging adhv relevante factoren Boeteverhogende en boeteverlagende omstandigheden
Onderwerpen I. Inleiding II. Cijfers datalekken III. Voorbeelden datalekken IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
VI. Toekomstige ontwikkelingen, algemene verordening gegevensbescherming Meer rechten voor betrokkenen Meer verplichtingen voor verantwoordelijken en bewerkers Meer bevoegdheden voor toezichthouders, incl. hogere boetes
Onderwerpen I. Inleiding II. Cijfers datalekken III. Voorbeelden datalekken IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
VII. Tips Inventariseer welke persoonsgegevens verwerkt worden en of uw organisatie verantwoordelijke of bewerker is Check wie er betrokken zijn bij de verwerking van de gegevens Maak de medewerkers van de organisatie bewust Controleer de bewerkersovereenkomsten
VII. Tips - vervolg Stel een datalekprotocol op Stel een datalekteam samen Inventariseer of een cybersecurityverzekering gewenst is Zorg dat je beveiligingsbeleid up to date is en aan de vereisten voldoet Hou een lijst bij van beveiligingsincidenten Controleer periodiek
Vragen? Juliette Citteur 020-5207515 juliette.citteur@zippromeijer.com www.zippromeijercitteur.com