Nieuwe privacyregels per 1 januari 2016: meldplicht datalekken Anne Thier Goubitz LLM Consultant @ Privacy Company Oktober 2015
Actualiteit datalekken London clinic leaks HIV status of patients Vier miljoen klanten van Britse provider getroffen door datadiefstal Mobiele apparaten hebben bij driekwart van de bedrijven tot UCLA Health System data breach datalek geleid affects 4.5 million patients t 2
Programma 1. Algemene introductie privacy 2. (Globaal) inzoomen op de nieuwe meldplicht datalekken Pauze 3. Nadere uitleg meldplicht datalekken 4. Procesinrichting implementatie meldplicht datalekken 3
Wat is privacy? Het hebben van geheimen Intimiteit Identiteit Reputatie Autonomie Menselijke waardigheid Het recht om met rust gelaten te worden Het recht om vergeten te worden Controle over de eigen persoonsgegevens Geheimhouding medische gegevens Onaantastbaarheid lichaam, huis, communicatiemiddelen DNA gegevens van familieleden Als noodzakelijke voorwaarde voor de vrijheid van meningsuiting 4
In juridische termen Ht Het recht op bescherming van de persoonlijke levenssfeer Kortweg: privacy Het recht om met rust te worden gelaten Het recht op de bescherming van persoonsgegevens Kortweg: data protectie of gegevensbescherming het recht op eerlijke en transparante verwerking van persoonsgegevens 5
Focus op gegevensbescherming Het verwerken van persoonsgegevens is noodzakelijk voor het functioneren van de moderne maatschappij V.b. Kentekenregistratie Personeels of patientendossier Klantenadministratie Art. 8 EU Handvest voor de grondrechten RL 95/46 EC en binnenkort Algemene Privacy Verordening! NL: Wet bescherming persoonsgegevens Principes waaraan alle verwerkingen moeten voldoen NB1: Safe Harbour programma voldeet niet aan principes NB2: Strafrechtelijke bewaarplichttelecom l providers idem 6
Principes en waarborgen van persoonsgegevensbescherming 1. Eerlijk en transparant 2. Voor een specifiek doel 3. Data minimalisatie 4. Data kwaliteit 5. Bewaarplichten 6. Rechtmatige verwerkingsgrondslag 7. Informatie, toegang, correctie, verwijdering en registratieplichten 8. Beveiliging 9. Strenge regels voor gevoelige informatie 10. Strenge regels voor doorgifte naar derde landen 11. Onafhankelijke toezichthouder 7
Uitleg basisbegrippen en plichten Begrippen (selectie): Reikwijdte wet: Persoonsgegeven Rollen: Betrokkene, verantwoordelijke, bewerker Plichten (selectie): Algemene plichten eerlijke en transparante verwerking Dataminimalisatie en doelbinding Grondslag voor de verwerking Beveiligingsplicht Meldplicht datalekken 8
Persoonsgegevens g elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Omvat elk gegeven (elk type informatie, zowel meningen als feiten, in elk formaat, objectief als subjectief) Betreffende: te relateren aan een persoon Gïd Geïdentificeerd d of identificeerbaar (zonder onevenredige inspanning) Natuurlijk persoon (levende persoon, geen rechtspersoon) Voorbeelden: naam van een patiënt, de inhoud van een medisch dossier, adres, e mailadres, (soms) IP adres etc. 9
Voorbeelden: wel/geen persoonsgegeven? Anne Thier Goubitz Jan de Vries Jan de Vries, postcode 1094 JC 06 15264865 Video opnamen in de wachtkamer Bewoner van kamer 217 Patient X op afdeling verpleging, die ene met krukken Inhoud medisch dossier Aantekening over religie 10
Bijzondere persoonsgegevens Raciale of etnische afkomst Politieke opvattingen godsdienstige g of levensbeschouwelijke overtuiging g Lidmaatschap vakvereniging Gezondheid en seksuele leven Strafrechtelijke gegevens Verbod, tenzij (selectie): Verwerking door hulpverleners voor gezondheidszorg met het oog op een goede behandeling Toestemming betrokkene Door betrokkene uitdrukkelijk openbaar gemaakt (intentie) 11
Rollen/actoren 1. Betrokkene degene om wiens persoonsgegevens het gaat (patiënt, werknemer) 2. Verantwoordelijke de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (hulpverlener of gezondheidsinstelling) 3. Bewerker (subbewerkers) degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen (leverancier, hosting provider, salarisadministratiekantoor) 12
NB sectorspecifieke regels Oa O.a. Wet geneeskundige behandelingsovereenkomst Wet op de beroepen in de individuele gezondheidszorg Relevant: verschillende rollen en plichten Verantwoordelijkheden kunnen afwijken van hulpverlenersbegrip (wie moet melden?) Geheimhouding relevant voor de meldplicht (wanneer moet je melden?) 13
Beveiligingsplicht g Passende technische & organisatorische maatregelen Tegen verlies & onrechtmatige verwerking Richtsnoeren beveiliging (verkrijgbaar via CBP website) Proportionaliteitstoets (evenredigheid, niet absoluut) Afweging risico s (aard gegevens, type verwerking) Meenemen: stand v.d. techniek & kosten NB: Boetes! 14
(Globaal) inzoomen op de nieuwe meldplicht datalekken Uitvloeisel van het regeerakkoord en druk vanuit Europa Gericht op: (primair) verantwoordelijken in de zin van Wbp Niet alleen internet gerelateerde informatiebeveiliging, ook klassieke ICT en papieren bestanden Meldplicht bij College Bescherming Persoonsgegevens (vanaf 1 1 2016 Autoriteit Persoonsgegevens) Meldplicht l jegens betrokkenen Bestuurlijke boete als punitieve sanctie 810.000 Euro / 10% van de jaaromzet Versneld door DigiNotar en KPN Hack Waarom is het moeilijk/waar zitten de knelpunten? Definitie van inbreuk op de beveiliging en datalekken is niet altijd logisch en internationaal afwijkend (security breach) Het wetsvoorstel werkt met veel open normen ( vermoed nadelige gevolgen voor de persoonlijke levenssfeer, inbreuken op de beveiliging, onverwijld, etc) Onverwijld betekent binnen 2 werkdagen en dat is gezien de aard van de informatie die geleverd dient te worden erg kort 15
Meldplichten Brede meldplicht datalekken Art. 34a Wbp, per 1 1 2016 Melden bij Autoriteit Persoonsgegevens Meldplicht Telecomwet Art. 11.3a Tw, sinds 2012 Melden bij Autoriteit Consument en Markt (ACM) Wet melding inbreuken elektronische informatiesystemen (wetsvoorstel) Meldplicht voor certificaat dienstverleners Producten of diensten die van zodanig belang zijn voor samenleving dat onderbreking beschikbaarheidbetrouwbaarheid leidt tot ernstige maatschappelijke gevolgen (vitale infrastructuren) Besluit elektronische handtekeningen, 2013 Melden bij NCSC Advies RvS 08 2015, wacht op 1e en 2e kamer Melden bij ACM Goed opdrachtnemerschap Wanprestatie Onrechtmatige daad Art. 7:401 Burgerlijk Wetboek (BW) Art. 6:74 BW Art. 6:162 BW (zorgvuldigheid) Strafrecht Aantasting van computersystemen die levensgevaar Melden bij politie kunnen veroorzaken, art. 161 sexies Sr Wet financieel toezicht: integriteitsmeldingen bankwezen Contract Omvat veel meer dan alleen datalekken Geheimhouding Treffen beveiligingsmaatregelen Melden beveiligingsincidenten Melden bij klanten / leveranciers / partners Melden bij Nederlandse Bank Melden bij contractspartner Let op: internationaal bedrijf? Dan mogelijk ook meldplichten onder buitenlands recht! 16
Inhoud meldplicht datalekken Mldliht Meldplicht aan ht het CBP: De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13 die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens Mldliht Meldplicht aan de betrokkenen: De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Documentatieplicht: ti Alle datalekken, ookniet gemelde datalekken 17
Invulling begrippen Wat is een datalek? Wanneer is er een meldingswaardig datalek?? De recent gepubliceerde richtsnoeren geven enige aanknopingspunten 18
Pauze 19
Nadere uitleg meldplicht datalekken Datalek: inbreuk op de beveiliging, bedoeld in artikel 13 Ruim! Alle soorten beveiligingsincidenten: i i id vb. verloren USBstick, gestolen laptop, inbraak hacker, verzending e mail in CC, malware besmetting, brand in datacentrum. Persoonsgegevens zijn blootgesteld aan verlies: Kwijtraken of vernietigen persoonsgegevens zonder back up of onrechtmatige verwerking van persoonsgegevens: Aantasting, Onbevoegde kennisname, Wijziging gof Verstrekking van persoonsgegevens 20
Nadere uitleg meldplicht datalekken Melden aan de toezichthouder: aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens ens Waarschijnlijk spelen de volgende factoren een rol (o.b.v. concept richtsnoeren CBP) 21
Meldingswaardig datalek: Gevoelige persoonsgegevens Bijzondere persoonsgegevens Financiële gegevens Gegevens die kunnen leiden tot stigmatisering of uitsluiting Inloggegevens Risico i (identiteits) it )fraude Gegevens uit DNA-databanken Andere factoren Omvangrijke verwerkingen zoals bij de overheid (ketens) Gegevens onderworpen aan geheimhouding Veel persoonsgegevens Ingrijpende beslissingen worden genomen met gegevens Kwetsbare groepen (kinderen, in blijf van mijn lijf huis, gehandicapten, ouderen) Niet-ethische hack 22
Melden aande betrokkene: waarschijnlijk ongunstige gevolgen voor diens persoonlijke levenssfeer. Waarschijnlijk zelfde criteria als de melding aan het CBP Tenzij: passende p technische, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. (goede encryptie) NB: wel melden aan het CBP! 23
Onverwijld melden Waarschijnlijk twee werkdagen (48 uur) na ontdekken datalek Kritiek: Soms te lang (inloggegevens gelekt op vrijdag, dinsdag pas melden) Vaak te kort (onderzoek naar de bron van het datalek, identificeren alle betrokkenen) Pro forma melding doen? Gevolgd door aanvullende melding of intrekking melding. 24
Documentatieplicht Alle datalekken documenteren Gemelde en niet gemelde datalekken Waarschijnlijk j ook motivatie waarom niet gemeld Waarschijnlijk bewaartermijn 1-3 jaar 25
Risico s organisaties Boetes: max. 810.000 Euro / 10% van de jaaromzet van het voorgaand boekjaar afhankelijk van wat hoger uitvalt. Concept boetebeleidsregels CBP: overtreding van de meldplicht datalekken (art. 34a Wbp): boete bandbreedte categorie II: 120.000 500.000 Euro rekening houden met: aard, duur, omvang overtreding, verwijtbaarheid, id financiële omstandigheden eerder zelfde overtreding begaan, onderzoek belemmeren goede medewerking verlenen, overtreding zelf beëindigen Eerst bindende aanwijzing, tenzij overtreding opzettelijk is gepleegd of het gevolg gis van ernstig verwijtbare nalatigheid (structurele non compliance) ) 26
Let op bewerkers Vb. Leveranciers, Cloud service providers, backups Controleer lopende bewerkersovereenkomsten Clausule over het melden van datalekken (art 34a Wbp) Bewerker in ander (EU) land? Hoe zorg je ervoor dat je alle (relevante) incidenten te horen krijgt? En tijdig? En voldoende informatie? Ook nieuwe ontwikkelingen datalek? 27
Handhaven andere Wbp plichten door CBP Mogelijk blijkt uit het onderzoek naar datalek dat er andere overtredingen zijn van de verplichtingen in de Wet bescherming persoonsgegevens Ook boetes op overtreding vele andere bestaande normen: O.a. eerlijke en transparante verwerking (informeren betrokkene) Verwerkingsgrondslag (o.a. toestemming of ovk) Adequate beveiliging Doorgifte (v.b. opslag) derde landen volgens strenge regels 28
Procesinrichting implementatie meldplicht 1. Rollen vaststellen 2. Onderscheiden fasen datalek 3. Aandachtspunten Uitvoering Proces 29
De 3 rollen Er zijn (ten minste) drie rollen voor het succesvol afhandelen van een datalek (deze kunnen samenvallen): 1. ONTDEKKER Degene die het datalek op het spoor komt en het proces in werking moet stellen. 2. MELDER Degene die verantwoordelijk is voor het melden van het datalek bij de toezichthouder. 3. TECHNICUS Degene die de oorzaak van het datalek kan vinden en kan (laten) repareren. 30
De 6 fasen In het leven van een datalek zijn 6 fasen te onderscheiden (deze kunnen overlappen): 1. Ontdekking 2. Inventarisatie 3. Beoordeling 4. Reparatie 5. Melding 6. Documentatie 31
1. Ontdekking datalek Herkennen datalek: privacy awareness ontdekkers! Datalek komt binnen: v.b eigen waarneming, klacht, als security breach Zo veel mogelijk informatie vergaren (voor de melder) Omschrijving datalek: wat is er gebeurd? Details! Wat is de oorzaak? Wanneer plaatsgevonden? Welke (typen) persoonsgegevens? Hoe veel betrokkenen? Soort betrokkenen Zijn er contactgegevens van de betrokkenen? identificatie! Eigen contactgegevens ontdekker 32
2. Inventarisatie datalek De melder moet inventariseren: 1. Zelf: Wat zijn de privacygevolgen voor de betrokkene? Wordt de betrokkene geïnformeerd? Inhoud melding bepalen Zijn er ook betrokkenen in andere landen? (mogelijk daar ook melden) 2. Nodig van de ontdekker: Zie hiervoor: o.a. informatie over het datalek, aantal en soort betrokkenen, soort persoonsgegevens. 3. Nodig van de technicus: Techn. en organisatorische maatregelen om datalek te verhelpen/voorkomen Inschatting maken van onbegrijpelijkheid id gegevens voor onbevoegden 33
3. Beoordeling datalek Melder beoordeelt of het datalek meldingswaardig is. Meldingswaardig t.a.v. toezichthouder en betrokkene NB: vooraf bepalen/ inschatten Checklist: Gevoelige persoonsgegevens g (v.b.medisch, religie) Andere factoren zoals gevoelige verwerkingen (vb. Gegevens onder geheimhouding, kwetsbare groep betrokkenen, veel betrokkenen) Niet de betrokkenen informeren als onbegrijpelijk gemaakt voor onbevoegden (goede encryptie) 34
4. Reparatie datalek Taak voor technicus. Tip voor melder: vraag voorrang! Na achterhalen oorzaak datalek: Repareren en voorkomen: Incidenteel: alleen schade indivuele betrokkene beperken Structureel: voor alle mogelijke betrokkenen schade beperken NB: weet welke technici verantwoordelijk zijn voor welke systemen en databases. 35
5. Melden datalek Melder meldt wanneer alle benodigde informatie beschikbaar is Meldenaande toezichthouder Melden aan betrokkenen (maak standaardinformatie) Onverwijld 48 uur is niet altijd dhaalbaar Tijdige principemelding/ pro formamelding gevolgd door vervolgmelding ldi of intrekking Verlate complete melding NB: vermeld dat probleem opgelost wordt! 36
Crisiscommunicatie T Mobile CEO on Experian's Data Breach I ve always said that part of being the Un carrier means telling it like it is. Whether it s good news or bad, I m going to be direct, transparent and honest. We have been notified by Experian, a vendor that processes our credit applications, that they have experienced a data breach. The investigation is ongoing, but what we know right now is that the hacker acquired the records of approximately 15 million people, including new applicants requiring a credit check for service or device financing from September 1, 2013 through September 16, 2015. These records include information such as name, address and birthdate as well as encrypted fields with Social Security number and ID number (such as driver s license or passport number), and additional information used in T Mobile s own credit assessment. Experian has determined that this encryption may have been compromised. We are working with Experian to take protective steps for all of these consumers as quickly as possible. Obviously I am incredibly angry about this data breach and we will institute a thorough review of our relationship with Experian, but right now my top concern and first focus is assisting any and all consumers affected. I take our customer and prospective customer privacy VERY seriously. This is no small issue for us. I do want to assure our customers that neither T Mobile s systems nor network were part of this intrusion and this did not involve any py payment card numbers or bank account information. Experian has assured us that they have taken aggressive steps to improve the protection of their system and of our data. Anyone concerned that they may have been impacted by Experian s data breach can sign up for two years of FREE credit monitoring and identity resolution services at www.protectmyid.com/securityincident. Additionally, Experian issued a press release that you can read here, and you can view their Q&A at Experian.com/T MobileFacts. T Mobile s team is also here and ready to help you in any way we can. We have posted our own Q&A here to keep you as informed as possible throughout this issue. At T Mobile, privacy and security is of utmost importance, so I will stay very close to this issue and I will do everything possible to continue to earn your trust every day. 37
Tips crisiscommunicatie Tijdstip communiceren 100% betrouwbare, juiste en begrijpelijke informatie Officieel persmoment Reden opgeven Niet: Daar kan ik geen mededeling over doen Leg uit waarom je iets niet kunt vertellen (onderzoek) Begrip wekken Uitleggen waarom je a,b,c, gaat doen Als iets een standaardprocedure is, zegdat dan 38
6. Documenteren Melder moet documenteren Alle informatie uit voorafgaande stappen Alleinformatie van melding zelf Afschrift melding bij toezichthouder en kopie melding aan betrokkenen. 39
Aandachtspunten Uitvoering Goede administratie voeren (NB: (m)eerdere datalekken) Maak standaardinformatie Proces Geef datalekken een dossiernummer Reguleer de interne melding Maak rollen en verantwoordelijkheden inzichtelijk (NB: bewerkers!) Inventariseer: Wie je nodig hebt om het proces op orde te krijgen (stakeholders) Welke interne informatieprocessen moeten worden ingericht Welke informatie intern gecommuniceerd moet worden Welke informatie extern gecommuniceerd moet worden 40
Aandachtspunten 2 Controleer bewerkersovereenkomsten: (NB: verantwoordelijke is verantwoordelijk!) - Clausule melden (juiste) datalekken aanwezig? - Wie meldt? - Wordt alles gemeld? - Informatieverstrekking afspreken - Ook recht ander land nakomen, eventueel dubbel melden - Eventueel boetes doorberekenen aan bewerker 41
Casus Reporter information Reporter: KroR Phone No: +31612345678 Reporter s department/unit: Customer service call center Network ID: KroR Reporter E mail: anne.thier@privacycompany.eu Technical cp: a.thier@thauris.nl Report Event type: Data Disclosure Took place between: 24 07 2015 00:00 27 07 2015 00:00 Date discovered: 27 07 2015 00:00 Aff. dep/unit 1: Sales Description of incident: Mr. J van den Broek's account 31612345678 has been mixed with the account of a Mr. J. van Der Broek's 31623456789. 345 Due to this these people p have had access to each others financial and personal data. Description of damage: Breach of confidentiality of personal and financial data of customers Level of Importance: Very important 42
Overzicht Vanaf wanneer? 1 januari 2016 Wat te doen? Stel het CBP (straks Autoriteit persoonsgegevens) onverwijld in kennis bij een inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Stel betrokkene in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Houd een overzicht bij van ernstige inbreuken met daarin feiten en gegevens omtrent de aard van de inbreuk en de tekst van de kennisgeving aan de betrokkene. Wat is de inhoud van de melding aan het CBP? Wat is de inhoud van de melding aan de betrokkene(n)? Wat kan het CBP doen? De aard van de inbreuk. De instanties waar meer informatie over de inbreuk kan worden verkregen. Aanbevolen maatregelen om de negatieve gevolgen g van de inbreuk te beperken. Een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens. De maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. Melding aan de betrokkene hoeft niet als er passende organisatorische en technische maatregelen zijn genomen waardoor de verkregen gegevens onbegrijpelijk of ontoegankelijk zijn (encryptie, anonimisering enz.). Let op! De Autoriteit persoonsgegevens kan alsnog melding gelasten! Bindende aanwijzingen geven (dit zijn juridisch bindende beschikkingen). Zelfstandige last opleggen (bijvoorbeeld melding gelasten), deze zelfstandige last kan niet worden beschouwd als een bestuurlijke sanctie. Boetes uitdelen (zie de uitwerking hiervan in het document factsheet aankomende boetebevoegheid Autoriteit Persoonsgegevens op www.privacycompany.eu). 43
Vragen? 44