MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Vergelijkbare documenten
Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Protocol meldplicht datalekken

Sta eens stil bij de Wet Meldplicht Datalekken

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Regeling meldplicht datalekken 2016

Protocol meldplicht datalekken Voor financiële ondernemingen

Protocol datalekken Samenwerkingsverband ROOS VO

De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Procedure meldplicht datalekken

Beleid en procedures meldpunt datalekken

Protocol meldplicht datalekken

WET MELDPLICHT DATALEKKEN FACTSHEET

Procedure Melden beveiligingsincidenten

BLAD GEMEENSCHAPPELIJKE REGELING

Melden van datalekken

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM, IT & PRIVACY.

Besluit van het college van burgemeester en wethouders van de gemeente Beekdaelen houdende regels omtrent AVG Protocol meldplicht datalekken

PROTOCOL MELDPLICHT DATALEKKEN

Protocol Meldplicht Data-lekken

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

KENNISSESSIE IKT DATALEKKEN. 16 februari 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Help een datalek! Wat nu?

FACTSHEET DATALEK. Inleiding

Protocol Meldplicht Datalekken

CVDR. Nr. CVDR409559_1. Protocol meldplicht datalekken. 4 oktober Officiële uitgave van Nuth. Protocol meldplicht datalekken

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp)

Officiële uitgave van het Koninkrijk der Nederlanden sinds De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp)

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

Procedure Meldplicht Datalekken. Versie 1.1 Datum Maart 2016 Specialist Informatiebeveiliging

De beleidsregels bij de meldplicht datalekken: een korte beschouwing

Procedure Melding Datalekken

E. Procedure datalekken

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Protocol meldplicht datalekken

Afdeling Juridische Zaken

Protocol Datalekken Twelve

PROCEDURE MELDPLICHT DATALEKKEN

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Raadsmededeling - Openbaar

Protocol informatiebeveiligingsincidenten en datalekken PCPO Barendrecht en Ridderkerk

PRIVACY & DATALEKKEN

Procedure Meldplicht Datalekken

Procedure melden beveiligingsincidenten en datalekken

PROTOCOL MELDING DATALEKKEN

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Formulier melding datalek

Wet meldplicht datalekken

Protocol Beveiligingsincidenten en datalekken

INHOUD. Datalekken protocol

Datalekken. Presenta(e Datalekken 9 juni 2016

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Calamiteitenplan datalekken Unidis B.V.

Procedure meldplicht datalekken. Versie 1.0 Februari Procedure meldplicht datalekken Intergrip Versie 1.0

Protocol informatiebeveiligingsincidenten en datalekken

Datalekprotocol binnen Reto

Protocol informatiebeveiligingsincidenten en datalekken

Protocol Datalek. Geschiedenis Studenten Vereniging Excalibur

Protocol Meldplicht Datalekken

Impact van de meldplicht datalekken

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

Privacyreglement Interactive Blueprints BV

Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

Gemeente Delft. Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken.

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Privacyreglement Belangenvereniging Ede Noord

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Lunch & Learn Datalekken en Safe Harbor

Memo Procesbeschrijving meldplicht datalekken

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken

LOKO kijkt continu vooruit zodat ICT voor u blijft werken

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Degene op wie een Persoonsgegeven betrekking heeft. Dit kan de bewoner of diens naaste of gemachtigde zijn.

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Meldplichten en datalekken

Privacyreglement Centrum Begeleiding Zorg Utrecht

Bijlage 1: Bewerkersovereenkomst AFAS business consultancy en support

NEEM DE REGIE OVER INFORMATIEBEVEILIGING. ICT Waarborg Gecertificeerd

Procesgang rondom (mogelijke) datalekken in [naam organisatie]. Tekst die tussen [] staat moet door de organisatie zelf nog worden ingevuld.

Protocol informatiebeveiligingsincidenten en datalekken

Meldplicht datalekken. Prof. mr. G-J. (Gerrit-Jan) ZWENNE Leiden 2 februari 2016

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Transcriptie:

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Inleiding Dat bedrijven voorzichtig moeten omgaan met gegevens van personen is niet nieuw. Sinds 1 nuari 2016 is wél nieuw de verplichting om datalekken te melden bij de Autoriteit Persoonsgegevens. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. Wanr persoonsgegevens onvoldoende zijn beschermd kan dit grote gevolgen hebben voor de betrokken persoon, bijvoorbeeld identiteitsfraude, oplichting of andere vormen van misbruik. Ook is nieuw dat de Autoriteit Persoonsgegevens (hoge) boetes kan opleggen aan overtreders van de privacyregels. Met name door de invoering van deze boetebevoegdheid wordt veel aandacht besteed aan de nieuwe regelgeving. Hoe gaat uw onderneming om met persoonsgegevens? Heeft u deze informatie goed beveiligd? En als er sprake is van een lek in de beveiliging, hoe gaat u daarmee om? In dit whitepaper praat ik u graag bij. In dit whitepaper sta ik stil bij de volgende vragen: 1. is de meldplicht datalekken uit de Wbp op mij van toepassing? 2. wanr is er sprake van een datalek? 3. wanr moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? 4. wanr moet het datalek worden gemeld aan de betrokkene? Vraag 1: is de meldplicht datalekken uit de Wbp op mij van toepassing? Om te beoordelen of een datalek moet worden gemeld, is allereerst van belang de vraag of de Wbp op u van toepassing is. Deze vraag wordt beantwoord aan de hand van drie subvragen. Stap a: is er sprake van verwerking van persoonsgegevens? Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare persoon. Enkele voorbeelden zijn: Naam en adresgegevens Burger Service Nummer Gebruikersnamen en wachtwoorden Gegevens over godsdienst, politieke voorkeur of gezondheid Etc. Verwerking van persoonsgegevens kan op vele manieren. Hieronder valt in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, het afschermen, uitwissen of vernietigen van gegevens. Stap b: ben ik de verantwoordelijke? De verantwoordelijke is degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1, sub d, Wbp). Het gaat hierbij om de vraag wie uiteindelijk bepaalt welke verwerking er 2 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

plaatsvindt van welke persoonsgegevens en voor welk doel. Stap c: is de Wbp van toepassing op de verwerking? In de wet worden bepaalde verwerkingen buiten toepassing gelaten. Deze uitsluitingen zijn echter zeer specifiek, bijvoorbeeld indien de gegevens uitsluitend worden gebruikt voor persoonlijke of huishoudelijke doeleinden. Worden deze drie vragen met beantwoord, dan is de meldplicht uit de Wbp op u van toepassing. Vraag 2: is er sprake van een datalek? In deze paragraaf bespreek ik wanr sprake is van een datalek. Stap a: is er sprake van een inbreuk op de beveiliging? Er is sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Hierbij kan worden gedacht aan: het kwijtraken van een USB-stick; diefstal van een laptop; inbraak door een hacker; een malware-besmetting; een calamiteit zoals een brand in een datacentrum. Stap b: zijn bij de inbreuk persoonsgegevens verloren gegaan of kan er redelijkerwijs niet worden uitgesloten dat er persoonsgegevens onrechtmatig zijn verwerkt? Verlies Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan of als onrechtmatige verwerking niet kan worden uitgesloten. Verlies houdt in dat de persoonsgegevens er niet meer zijn en er ook geen (reserve)kopie beschikbaar is. Onrechtmatige verwerking Van onrechtmatige verwerking kan sprake zijn in geval van: aantasting van de persoonsgegevens; onbevoegde kennisneming; wijziging; of verstrekking. Als redelijkerwijs niet kan worden uitgesloten dat sprake kan zijn van onrechtmatige verwerking, dan moet de inbreuk worden beschouwd als een datalek. Worden deze twee vragen met beantwoord, dan is er sprake van een datalek. Vraag 3: moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? Niet elke datalek hoeft te worden gemeld aan de Autoriteit Persoonsgegevens. Een inbreuk hoeft alleen te worden gemeld als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen of ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 3 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Kwalitatief ernstig: bijzondere persoonsgegevens (vb. godsdienst, ras, politieke gezindheid, gezondheid, seksuele leven, strafrechtelijke persoonsgegevens etc.); gegevens over de financiële of economische situatie van de betrokkene (vb. schulden, salaris, betalingsgegevens); gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (vb. gokverslaving, prestaties op school, werk- of relatieproblemen); gebruikersnamen, wachtwoorden en andere inloggegevens; gegevens die kunnen worden misbruikt voor (identiteits)fraude. Kwantitatief ernstig, bijvoorbeeld: veel persoonsgegevens per persoon; gegevens van grote groepen betrokkenen. Als bijlage 1 is een lijst met voorbeelden genoemd van gebeurtenissen die wel onder de meldplicht vallen. De Autoriteit Persoonsgegevens heeft een webformulier beschikbaar gesteld waarmee datalekken kunnen worden gemeld (www.autoriteitpersoonsgegevens.nl). Vraag 4: moet het datalek worden gemeld aan de betrokkene? De betrokkene is degene op wie de persoonsgegevens betrekking hebben. De laatste vraag is of ook de betrokkene moet worden gemeld dat er een datalek is geweest met zijn persoonsgegevens. Hiervoor worden drie aanvullende vragen gesteld. Stap a: biedt de toegepaste cryptografie of andere beschermingsmaatregelen voldoende bescherming? Als er passende technische beschermingsmaatregelen zijn genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor iedereen die geen recht heeft op kennisname, dan hoeft geen melding te worden gedaan. Dit is bijvoorbeeld het geval bij encryptie of hashing. Vragen die bij beoordeling aan de orde komen zijn: zijn de persoonsgegevens blootgesteld aan vernietiging of aantasting? waren alle persoonsgegevens versleuteld op het moment dat de inbreuk plaatsvond? is de versleuteling adequaat? is het restrisico acceptabel? Ook andere technische beschermingsmaatregelen kunnen worden toegepast, bijvoorbeeld remote wiping (op afstand wissen van gegevens). 4 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

Stap b: zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene? Het kan hierbij gaan om schade van materiële of immateriële schade. Bij dit laatste wordt gedacht aan: onrechtmatige publicatie; aantasting in eer en goede naam; identiteitsfraude; discriminatie, etc. Als er persoonsgegevens van gevoelige aard zijn gelekt, dat zal meestal niet alleen moeten worden gemeld bij de Autoriteit Persoonsgegevens, maar ook bij de betrokkene. Stap c: zijn er zwaarwegende redenen om de melding aan de betrokkene achterwege te laten? Zwaarwegende redenen die maken dat het noodzakelijk is om melding achterwege te laten kunnen bijvoorbeeld zijn: in verband met bescherming betrokkene (bijv. hulpvragen die kinderen buiten medeweten van ouders hebben gedaan); in verband met rechten en vrijheden verantwoordelijke (bijv. tijdens de overname van een onderneming). Aan de hand van deze stappen beoordeelt u of het datalek ook aan de betrokkene moet worden gemeld (bijlage 2). is het van belang om de beveiliging goed te organiseren. Hierbij gaat het niet alleen om de beveiliging van bijvoorbeeld het kantoorpand en de (fysieke) dossiers en informatie, maar ook om de beveiliging van de ICT-middelen. Ook dient u de medewerkers goed te instrueren, het is gebleken dat de meeste datalekken het gevolg zijn van (bewuste of onbewuste) handelingen van persol. Tot slot de tip: wees voorbereid. Zorg dat u en uw medewerkers weten wat er te doen staat bij een gebrek in de beveiliging, bijvoorbeeld in de vorm van een protocol. Een korte samenvatting: hoe beoordeelt u wat te doen bij een datalek? Vraag 1: is de meldplicht datalekken uit de Wbp op mij van toepassing? Vraag 2: is er sprake van een datalek? Vraag 3: moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens? Vraag 4: moet het datalek worden gemeld aan de betrokkene? Conclusie De regelgeving met betrekking tot de bescherming van privacy is niet eenvoudig. Indien u werkt met persoonsgegevens, dan Mr. drs. R. (Rianne) Eringa 0412-649109 info@zandvoort-legal.nl 5 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

Advocaten team Over Van Zandvoort Legal We zijn uw advocaat, juridisch adviseur, business coach en mediator. We hebben een uitgebreid track record in juridische zaken en zullen onze toga nooit verloochenen. Dáár ligt immers onze basis. Maar boven alles zijn we ondernemer. Zo voelen we ons, zo denken we, zo handelen we. En dat merkt u. We spreken duidelijke taal, geven heldere adviezen en treden adequaat op. U wilt immers verder, het liefst zo snel mogelijk. Wordt u geconfronteerd met een acuut juridisch probleem? Dan pakken we dat daadkrachtig op. Maar nog liever kijken we hoe we problemen kunnen voorkómen. Dat bespaart u namelijk veel tijd, geld en energie. Contactgegevens Van Zandvoort Legal Bram van den Berghstraat 22 5348 JT te Oss Website: www.zandvoort-legal.nl Telefoon: 0412-649 109 E-mail: info@zandvoort-legal.nl 6 Meldplicht datalekken, weet u wat u moet doen? Van Zandvoort Legal

Bijlage 1: voorbeelden van gebeurtenissen Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens Intern wordt binnen een ziekenhuis gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens zijn ingezien door onbevoegden; Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien; Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens; Een bedrijf krijgt te maken met een hack waarbij klantgegevens en wachtwoorden zijn ontvreemd; Een overheidsdatabase met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Een envelop met creditcardbetalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden.

Bijlage 2: stappenplan beoordeling datalek Is er sprake van een inbreuk op de beveiliging? (1) Dit is geen datalek Zijn bij de inbreuk persoonsgegevens verloren gegaan? (2) Kan er redelijkerw ijs uitgesloten w orden dat er persoonsgegevens onrechtmatig zijn verwerkt (3) Dit is geen datalek Dit is een datalek Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van Het datalek moet gemeld w orden aan de AP Het datalek hoeft niet gemeld te w orden aan de AP Biedt de toegepaste cryptografie voldoende bescherming? (5) Het datalek hoeft niet aan de betrokkene gemeld te w orden. Bieden de andere technische beschermingsmaatregelen Zal het datalek w aarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de Zijn er zw aarwegende redenen om de melding aan de betrokkene Het datalek met aan de betrokkene

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback