Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van persoonsgegevens. De wetswijziging in de Wet Bescherming Persoonsgegevens is op 1 januari 2016 in werking getreden. Deze verandering in de wetgeving heeft gevolgen voor het bedrijfsleven. Voorbereiding is van groot belang. De veranderingen die zijn aangebracht omvatten een meldplicht voor datalekken en een verhoging van de boetebevoegdheid van de toezichthouder. In dit artikel zetten we de kernpunten van de wijzigingen voor u op een rij. Het is belangrijk dat bedrijven zich realiseren dat dit niet alleen een ICTaangelegenheid is. Deze nieuwe wetgeving heeft gevolgen voor de accountancy (goedkeuring van de jaarstukken), de aansprakelijkheid (bewerkersovereenkomsten), HR (Security Awareness, veilig en verantwoordelijk gedrag van medewerkers met ICT middelen en bedrijfsinformatie), de compliance (hoge boetebevoegdheid van toezichthouder), de marketing & communicatie (Hoe gaan we een datalek communiceren naar buiten?) en de reputatie (ivm de meldplicht voor datalekken) van iedere organisatie. Meldplicht Datalekken (Artikel 34A WBP) Het kan gebeuren dat gegevens van bedrijven toegankelijk worden voor mensen die geen recht hebben op kennisname van die gegevens. (Datalek) De oorzaak van een dergelijk datalek zou bijvoorbeeld kunnen zijn: Inbreuk op de beveiliging Hackersaanval waarbij persoonsgegevens zijn gestolen Verlies/diefstal van een laptop of smartphone waarop persoonsgegevens staan Geen adequate beveiliging van persoonsgegevens Onveilige omgang met ICT middelen en persoonsgegevens door medewerkers De Meldplicht Datalekken verplicht bedrijven en organisaties om een datalek onverwijld te melden bij de toezichthouder en in sommige situaties ook bij alle betrokkenen waarover de data is gelekt. Een meldplicht voor datalekken is niet nieuw. Het bestaat al langer voor de overheid en voor kritische infractructuur (bijv. energiebedrijven). Telecom-bedrijven en financiële instellingen hebben ook al langer een meldplicht voor datalekken vanuit specifieke wetgeving waaraan zij moeten voldoen (Telecommunicatie-wet en de wet op het financieel toezicht). 1
De letterlijke tekst in de nieuwe wetgeving (art. 34A lid 1) zegt dat het gaat om een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Deze inbreuken dienen onverwijld te worden gemeld aan de toezichthouder. Vervolgens zegt Artikel 34A lid 2 dat de alle betrokkenen ook in kennis gesteld moeten worden indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Melding aan alle betrokkenen volgens lid 2 is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. (Bijvoorbeeld door middel van encryption) De melding aan de toezichthouder omvat een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De kennisgeving aan de toezichthouder en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Boetebevoegdheid van de toezichthouder (Artikel 66 WBP) Een belangrijke verandering in de wetgeving is de verhoging van de boetebevoegdheid van de toezichthouder. De toezichthouder kan nu bestuurlijke boetes opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dit is een boete van materieel belang: 820.000 Euro. De toezichthouder legt geen bestuurlijke boete op dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Deze bindende aanwijzing is niet van toepassing indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. Naamsverandering van de toezichthouder De toezichthouder (College Bescherming Persoonsgegevens) zal een naamsverandering krijgen. De toezichthouder zal in het maatschappelijk verkeer worden aangeduid als: Autoriteit persoonsgegevens. 2
Voorbereiding op deze nieuwe wetgeving De wijziging in de wetgeving heeft gevolgen voor bedrijven die persoonsgegevens verwerken. Bedrijven dienen zich voor te bereiden op mogelijke calamiteiten waarvan een melding gemaakt moet worden aan de toezichthouder. Sebyde heeft een programma ontwikkeld waarmee bedrijven ondersteund worden bij de voorbereiding op de nieuwe wetgeving. Het is een modulair programma bestaande uit 5 duidelijke stappen. Het programma bestaat uit de volgende stappen: 1. RI&E (Hoe staan we er voor?) De eerste stap is een nulmeting. Bij deze Privacy RI&E (Risico Inventarisatie & Evaluatie) brengen we in kaart welke gegevensverwerkingen er in de organisatie worden gedaan en hoe de verantwoordelijkheden liggen en welke systemen en applicaties betrokken zijn bij deze gegevensverwerkingen. De praktische uitvoering van deze stap bestaat uit het invullen van een RI&E vragenlijst en een aantal interview-sessies met de betrokken personen / afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functionaris Gegevensbescherming). Waar nodig zal een beoordeling van de bedrijfsjurist gevraagd worden met betrekking tot overige wetgeving waaraan het bedrijf moet voldoen. De praktische uitvoering van de RI&E begint met het invullen van de RI&E checklist. Deze checklist is vrijblijvend aan te vragen via www.sebyde.nl/rie-privacy 3
Nadat u de checklist heeft ingevuld kunt u deze opsturen aan Sebyde. De ingevulde Checklist zal dan worden geëvalueerd door onze ICT architect en onze FG (Functionaris Gegevensbescherming). Voor deze evaluatie brengen we een bedrag in rekening van 495 Euro. U ontvangt hiervoor een rapport met in grote lijnen onze bevindingen en de aandachtspunten op het gebied van de privacywetgeving. Aan de hand van de ingevulde checklist hebben we een goed idee van de grootte en complexiteit van uw organisatie. We kunnen u dan een gepaste offerte sturen voor het uitvoeren van de complete RI&E, waarbij we alle gegevensverwerkingen in kaart zullen brengen en de privacy van uw organisatie zullen doorlichten. De praktische uitvoering bestaat uit 1 of meerdere gesprekken met of vragenlijsten voor de betrokken personen / afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functionaris Gegevensbescherming). 2. Analyse (Wat en waar zijn de risico s?) De tweede stap van het Privacy Impact Programma is om te bepalen aan welke risico s de informatie die in stap 1 is verkregen blootstaat. Behalve verschillende security testen op netwerk, systemen en de applicaties wordt in deze stap ook de zachte kant van de security meegenomen. 3. Maatregel (Wat kunnen we doen?) Stap drie is de bepaling welke maatregelen er genomen kunnen / moeten worden om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te minimaliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën: Mens, Processen (organisatie), Techniek 4. Aanpak (Aan de slag!) In deze stap documenteren we alle bevindingen en aanbevelingen en maken we een plan van aanpak voor de door te voeren maatregelen, verdeeld in de eerder genoemde categorieën Mens, Organisatie en Techniek. 5. Check (Is de aanpak succesvol?) Het is van groot belang dat het effect van de genomen maatregelen periodiek gecontroleerd en gemeten wordt. Er kan bijvoorbeeld gekeken worden naar de weerbaarheid van de medewerkers in de organisatie en aan de hand van het resultaat kunnen verbeterpunten worden aangebracht. Sebyde maakt graag een offerte voor het uitvoeren van een Privacy RI&E (stap 1) bij u in de organisatie. Neem hierover gerust contact op via onderstaande contactgegevens. 4
Sebyde en Sebyde Academy Sebyde en de Sebyde Academy helpt bedrijven bij het vergroten van het bewustzijn op het gebied van security en het verlagen van het aantal security incidenten. Dit doen we door middel van security onderzoeken op netwerken en applicatiesoftware. Vanuit onze Sebyde Academy bieden we training, workshops en presentaties die mensen stimuleren en motiveren naar veilig gedrag. Het Sebyde Internet Weerbaarheid programma helpt bedrijven naar duurzaam veilig gedrag. Bewuste en gemotiveerde medewerkers vergroot de cyber-weerbaarheid van uw organisatie en verlaagt het aantal security incidenten. Sebyde Academy helpt bij de introductie van een Security Awareness programma. Tijdens onze speciale management workshop maken we samen met u de speerpunten, verwachtingen en doelstellingen van een dergelijk programma helder. Contact gegevens Sebyde en Sebyde Academy Sebyde BV Legerland 56 1541 NG Koog aan de Zaan Telefoon: 06-53233269 Email: (algemeen) info@sebyde.nl Website Sebyde BV: Website Sebyde Academy: LinkedIn: Twitter: Facebook: www.sebyde.nl www.sebydeacademy.nl www.linkedin.com/company/sebyde-bv www.twitter.com/sebydebv www.facebook.com/sebydebv 5