De Autoriteit Persoonsgegevens en de Meldplicht datalekken Alex Commandeur 18 mei 2016
Inhoud Autoriteit Persoonsgegevens Meldplicht datalekken: Wat is een datalek? Wanneer melden? Stand van zaken Autoriteit Persoonsgegevens 2
Autoriteit Persoonsgegevens Toezichthouder en wetgevingsadviseur College bescherming persoonsgegevens > Autoriteit Persoonsgegevens Prioriteringscriteria Mix van instrumentenlast onder dwangsom - handhavingscommunicatie Internationale samenwerking met Europese toezichthouders (onder meer Artikel 29 Werkgroep) en wereldwijd (conferenties, GPEN, bilaterale contacten) Autoriteit Persoonsgegevens 3
Meldplicht datalekken: Wat is een datalek? Beveiligingsincident Er heeft zich een beveiligingsincident voorgedaan Datalek Het incident heeft betrekking op persoonsgegevens De gegevens zijn verloren gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten Autoriteit Persoonsgegevens 4
Wanneer melden aan de Autoriteit Persoonsgegevens? Zijn er persoonsgegevens van gevoelige aard gelekt? Leiden de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen? Er is geen sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. U hoeft het datalek niet te melden aan het CBP. Er is sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. U moet het datalek melden aan het CBP. Autoriteit Persoonsgegevens 5
Wanneer melden aan betrokkenen? U moet het datalek melden aan het CBP op grond van de meldplicht datalekken uit de Wbp. Valt het informeren van de betrokkene onder mijn zorgplicht als financiële onderneming? De verplichting uit de Wbp om de betrokkene te informeren is niet van toepassing. Het informeren van de betrokkenen valt onder uw zorgplicht als financiële onderneming. Bieden de technische beschermingsmaatregelen die ik heb genomen voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten? Zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene? Zijn er zwaarwegende redenen om de melding aan de betrokkene achterwege te laten? U kunt de kennisgeving aan de betrokkene achterwege laten. Het CBP kan, indien het van oordeel is dat de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van u verlangen dat u alsnog een kennisgeving doet. U moet het datalek melden aan de betrokkene. Autoriteit Persoonsgegevens 6
Voorkomen als het kan De kans op beveiligingsincidenten beperken door Toepassen richtlijnen voor veilig(er) ontwikkelen en beheren Alert zijn op kwetsbaarheden Continu verbeteren beveiliging (PDCAcyclus) De kans op datalekken beperken door Niet meer persoonsgegevens verwerken dan noodzakelijk Persoonsgegevens niet langer te bewaren dan noodzakelijk De gevolgen beperken door Technische beschermingsmaatregelen zoals encryptie Autoriteit Persoonsgegevens 7
melden als het moet Goed omgaan met beveiligingsincidenten Goed incidentbeheer Zorg dat u tijdig wordt geïnformeerd over incidenten bij bewerkers Wees alert op signalen uit de buitenwereld Goed omgaan met datalekken Kijk wat er mis kan gaan met welke persoonsgegevens Maak een rampenplan: wie doet wat? Wie beoordeelt het datalek en doet de melding? Hoe gaat u de betrokkenen informeren? Goed omgaan met de gevolgen Tref maatregelen om de schade te beperken en herhaling te voorkomen Zorg dat u de betrokkenen tijdig en adequaat informeert Autoriteit Persoonsgegevens 8
Eerste ervaringen met de meldplicht datalekken Tot op heden 1600 meldingen Ruim 130.000 verantwoordelijken Veel meldingen over onversleutelde gegevensdragers Veel meldingen over organisatorische fouten Beveiliging medische gegevens online Cryptoware / ransomware Autoriteit Persoonsgegevens 9
Sancties Als sprake is van een overtreding van de Wet bescherming persoonsgegevens die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. Voor niet-melden van een datalek: maximaal 500.000 euro Voor overige overtreding Wbp: maximaal 820.000 euro Autoriteit Persoonsgegevens 10
Dank voor uw aandacht. Vragen?