Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl
Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen Branche kennis!
Meldplicht datalekken Wat? Wie? Waar? Wanneer/hoe?
Wie? De Verantwoordelijke stelt doel en middelen vast van de verwerking van persoonsgegevens (art. 1 sub d Wbp) De Bewerker is degene die de verwerking uitvoert, zonder aan rechtstreeks gezag van de Verantwoordelijke te zijn onderworpen (art. 1 sub e Wbp) De Verantwoordelijke moet toezien op de naleving van de Wet meldplicht datalekken (art. 14 lid 1 Wbp) Dus ook ervoor zorgen dat de bewerker maatregelen treft die nodig zijn om aan de meldplicht voor datalekken te kunnen voldoen (artikel 14, lid 3 sub c Wbp) Bewerker heeft géén wettelijke meldplicht! Maar in veel gevallen is de bewerker wèl de eerste die kennis krijgt van een opgetreden datalek!
Definitie - Wat is een datalek? Inbreuk op de beveiliging van persoonsgegevens (art. 13 Wbp) Onbedoelde of onwettige vernietiging of wijziging van, of niet geautoriseerde toegang tot (verwerkte) persoonsgegevens (Nota naar aanleiding van het nader verslag, p. 4) Dus: niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens = datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden!
Voorbeelden Wat is een datalek? Voorbeelden van datalekken (incidenten): Hack Kwijtgeraakte USB-stick Gestolen laptop Werknemer verschaft een derde inloggegevens bedrijf, tenzij via logbestanden kan worden achterhaald dat niemand persoonsgegevens heeft gebruikt Vernietiging, tenzij recovery via backup
Melden²: CBP (1) Meldplicht nr 1: bij het CBP overantwoordelijke eindverantwoordelijk voor melding! odus: zorgen dat de bewerker u tijdig en adequaat informeert over de datalekken waarvan hij kennis krijgt omelden incident, indien: (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (art. 34a Wbp) odiscussiepunt: wat is ernstig? (reacties n.a.v. richtsnoeren CBP)
Melden²: CBP (2) In ieder geval meldplicht wanneer de gegevens van gevoelige aard zijn: Bijzondere categorieën persoonsgegevens (raciale/etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, etc.) Financiële gegevens Gegevens die kunnen leiden tot stigmatisering of uitsluiting Gebruikersnamen, wachtwoorden en andere inloggegevens Gegevens vatbaar voor misbruik (identiteitsfraude)
Melden²: CBP (3) Restcategorieën: Grote omvang (databanken overheid) Gegevens gebruikt om ingrijpende beslissingen te nemen over betrokkene (hacker die gegevens wijzigt in databank om kredietwaardigheid te bepalen) Keten van instanties (overheden en zorgverleners) Kwetsbare groepen (kinderen, ouderen, digibeten) Hoe en wanneer? Webformulier / fax 2 e werkdag na ontdekking van het incident Melding evt. achteraf wijzigen / aanvullen / intrekken mogelijk!
Melden²: Betrokkene (1) Meldplicht nr 2: aan betrokkene (als er óók meldplicht bij CBP bestaat) De overweging voor melding ook aan betrokkene waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (art. 34a lid 2 Wbp) onrechtmatige publicatie, aantasting eer/goede naam, ID-fraude, discriminatie, financiële schade Als Verantwoordelijke voldoende maatregelen genomen voor gegevensbescherming om melding aan betrokkene toch achterwege te kunnen laten? Maatregelen: Versleuteling Remote wipe (controleren tijdig, uitgevoerd, reconstructie onmogelijk?) Pseudonimisering (voorkomen opnieuw identificeren)
Melden²: Betrokkene (2) Versleuteling: Encryptie moet effectief (=actief op moment incident) en up-to-date zijn Vernietiging gegevens? Alsnog schade voor betrokkene Gebaseerd op standaardalgoritme (normen, geschikt voor future use, rekening houdend met bekende kwetsbaarheden) Veilige implementatie door (externe) deskundige Beveiliging zelf moet niet gelekt zijn
Melden²: Betrokkene (3) Hoe en wanneer? Onverwijld, maar enige tijd voor onderzoek en voorbereiding behoorlijke zorgvuldige melding Betrokkene moet in staat gesteld worden maatregelen te nemen tegen schade Eerste melding om betrokkene in gelegenheid te stellen wachtwoord te veranderen, zonder (nog) volledige details te geven
Melden²: Wat dan? Aan CBP oaard van de inbreuk oinformatiepunt oaanbevolen maatregelen om negatieve gevolgen te voorkomen obeschrijving van vermoedelijke gevolgen ogetroffen maatregelen ter voorkoming van die gevolgen Aan betrokkene Aard van de inbreuk Informatiepunt Aanbevolen maatregelen om negatieve gevolgen te voorkomen Niet gemeld en wel verplicht? Geldboete van de zesde categorie: EUR 810.000 òf 10% jaaromzet Maar pas ná bindende aanwijzing CBP, tenzij Opzettelijke overtreding Ernstig verwijtbare nalatigheid
Praktische consequenties? Onder andere: Bewerkersovereenkomsten nu aanpassen, want bewerker heeft géén wettelijke verplichting om een datalek aan de verantwoordelijke te melden Protocolplicht overzicht van incidenten bewaren (geen openbaarmakingsplicht!) minimaal 1 jaar bewaren / 3 jaar indien gewichtige reden niet-informeren betrokkene Draaiboek maken (organisatorische maatregelen) Privécomputer werknemer in verantwoordelijkheidsdomein werkgever? Uitdiensttredingsprotocol
Belangrijkste lessen Adequate beveiliging Inventariseer welke gegevens ernstige nadelige gevolgen kunnen veroorzaken in geval van een datalek Zorg dat een draaiboek klaarligt wanneer een datalek voorkomt Zorg dat de IT-organisatie bekend is met de meldplicht / stel een DPO aan (vooruitlopend op Privacy Verordening!) Zorg dat alle bewerkers een contractuele meldplicht hebben! Houd een overzicht bij van de geconstateerde incidenten De definitieve versie richtsnoeren CBP verschijnt eind november 2015. Check ook: www.kneppelhout.nl
Vragen? Olaf van Haperen Managing partner / Advocaat + 31 6 17 45 62 99 oh@kneppelhout.nl www.kneppelhout.nl