De Meldplicht Datalekken mr. N. Falot 8 oktober 2015
Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy en cybersecurity vraagstukken in grote organisaties Winnaar HP-IAPP Privacy Innovation Award 2013 voor online platform www.privacychecker.eu
Even voorstellen mr. Nathalie Falot Juridisch Adviseur Gespecialiseerd in privacy & data-bescherming en de juridische aspecten van cybersecurity voor grote organisaties
Waarom een meldplicht voor datalekken?
Datalekken in de media
Toename in datalekken - In de eerste helft van 2015 vonden wereldwijd 888 datalekken* plaats, waarbij 246 records werden aangetast. - Dit is een toename van 10% ten opzichte van de eerste helft van 2014 - In 53% van de datalek was sprake van identiteitsdiefstal Bron: http://www.breachlevelindex.com
Privacy en de bescherming van persoonsgegevens
Juridisch kader Artikel 10 Grondwet: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. En: De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens Wat willen we gaan doen? Hebben we een grondslag? Hoe gaan we zorgvuldig om met de gegevens? Gerechtvaardigd doel Materiële eisen Wbp
Artikel 13 Wbp Artikel 13 De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
De meldplicht datalekken: 1 januari 2016 Artikel 34a Wbp (nieuw) een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.
Is de meldplicht datalekken van toepassing? 1. U verwerkt persoonsgegevens 2. U bent verantwoordelijke voor deze verwerking 3. U bent niet uitgezonderd van de Wet bescherming persoonsgegevens (Wbp) 4. Er is sprake van een datalek in de zin van de Wbp
Een datalek in de zin van de Wbp
Bron: Cbp Conceptrichtsnoeren meldplicht datalekken
Voorbeelden van datalekken (Cbp conceptrichtsnoeren) Onder een datalek valt niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. een kwijtgeraakte USB-stick; een gestolen laptop; een inbraak door een hacker; verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; een malware-besmetting; een calamiteit zoals een brand in een datacentrum. Cbp: Conceptrichtsnoeren meldplicht datalekken
Moet het datalek gemeld worden?
Niet ieder datalek moet worden gemeld Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? Melding: uiterlijk op de tweede werkdag na de ontdekking van het incident Bron: Cbp Conceptrichtsnoeren meldplicht datalekken
Melding doen aan betrokkene? Bron: Cbp Conceptrichtsnoeren meldplicht datalekken
Wat zijn de risico s? Onderzoek met bindend advies Boetebevoegdheid van 20.250 810.000 of 10% van de jaaromzet Maar ook privaatrechtelijke of strafrechtelijke aansprakelijkheid voor bestuur en/of beroepsaansprakelijkheid!
Hoe kunt u zich hierop voorbereiden?
Bereid u voor op de meldplicht Zorg voor adequate beveiliging, zowel technisch als organisatorisch Cbp richtsnoeren: beveiliging van persoonsgegevens Zorg dat u op de hoogte bent van potentiele datalekken Richt procedures in om snel een potentieel datalek te onderzoeken en te melden Incident response Maak afspraken met uw bewerker
Incident Response & Responsible Disclosure Incident Response Wat te doen bij een datalek? Zorg (naast de technische aspecten) minimaal voor: - een plan waarin interne afstemming bij een datalek is vastgelegd (welke personen van welke afdelingen moeten worden betrokken?) - duidelijke informatievoorziening voor medewerkers, klantenservice en persvoorlichting.
Privacy & Security: Plan van Aanpak Plan Do Check Act Bedrijfsprocessen Bepalen stand van zaken Formuleren privacy & security beleid IT organisatie Bedrijfscultuur Monitoring Handhaving Aanpassen Reageren
Wat doet Europa? Algemene Verordening Gegevensbescherming
Europese Verordening Gegevensbescherming In een notendop: Documentatie en accountability eisen: - Verplicht privacybeleid - Verplicht securitybeleid Verplichte data protection impact assessments Data protection by design én by default Privacy Officer/ Functionaris Gegevensbescherming (?) Meldplicht datalekken (NL loopt vooruit op de Verordening)
Aankomend: Verordening gegevensbescherming Niet hebben van een duidelijk privacybeleid = tot 1M of 2% van de jaaromzet Niet hebben van afspraken bij samenwerking = tot 500K of 1% van de jaaromzet Geen beveiligingsbeleid = tot 1M of 2% van de jaaromzet Geen beleid voor privacy by design & privacy by default = tot 1M of 2% van de jaaromzet Niet doen van Privacy Impact Assessments = tot 1M of 2% van de jaaromzet Niet melden van datalekken = tot 500k of 1% van de jaaromzet Gebaseerd op het Commissie-voorstel. Parlement wil boetes tot 100 miljoen of 5% van globale jaaromzet
Waar staat de Verordening? General Approach agreed on 15-6-2015 Start Trialogue: June 25, 2015
Privacychecker.eu
Contactgegevens Contact mr. Nathalie Falot + 31 6 31766087 falot@considerati.com Considerati Algemeen: info@considerati.com + 31 20 737 0069