Protect what you value.
Actuele privacyregels
Oplossingenbrochure
www.mcafee.com/nl
Actuele privacyregels Openbare en particuliere organisaties overal ter wereld erkennen de noodzaak van een effectieve bescherming van persoonsgegevens. De hoeveelheid elektronisch opgeslagen persoonsgegevens wordt steeds groter, net als de zorgen over de beveiliging van deze gegevens. De verwachting van privacy is bijna universeel en de wetgeving ter bescherming van deze privacy is volop in ontwikkeling. Hierna vindt u een overzicht van wetten uit verschillende landen. Deze wetten zijn ingevoerd om richtlijnen te bieden voor de wijze waarop persoonlijke gegevens kunnen worden opgeslagen en uitgewisseld zonder de privacy in gevaar te brengen.
Amerikaanse wetten en bepalingen inzake bekendmaking van beveiligingslekken De Amerikaanse federale regering heeft nog geen bekendmakingswetten voor beveiligingslekken aangenomen, maar in de meeste Amerikaanse staten zijn dergelijke wetten al sinds 2002 van kracht. Deze wetten zijn opgesteld als reactie op het groeiende aantal beveiligingslekken in klantendatabases met persoonsgegevens. Op dit moment hebben 43 staten*, het District of Columbia en Puerto Rico wetgeving ingevoerd die bedrijven verplicht personen in te lichten over beveiligingslekken waarbij persoonsgegevens in verkeerde handen zijn terechtgekomen. De Californische wet op de bescherming van persoonsgegevens, California SB 1386, (ook wel de Consumer Data Protection Act genoemd) heeft model gestaan voor gelijksoortige wetten in andere staten. California SB 1386 verplicht "overheidsinstellingen, personen of bedrijven die zaken doen in Californië en in het bezit zijn van of een gebruiksrecht hebben op gecomputeriseerde informatie met inbegrip van persoonsgegevens, als bedoeld in de wet, elke inbreuk op deze gegevens, als bedoeld in de wet, op voorgeschreven wijze bekend te maken aan elke inwoner van Californië wiens niet-versleutelde persoonsgegevens in handen van een onbevoegd persoon zijn gevallen, of redelijkerwijs kunnen zijn gevallen." Tot de persoonsgegevens behoren Social Securitynummers (burgerservicenummers), rijbewijsnummers, bankrekeningnummers, creditkaartnummers, betaalkaartnummers en beveiligingscodes of wachtwoorden voor toegang tot financiële rekeningen. De meeste van de ingevoerde staatswetten en in behandeling zijnde wetsvoorstellen hebben het volgende gemeen: • Persoonsgegevens: persoonsgegevens worden meestal gedefinieerd als bestaande uit de naam van een persoon (of zijn/haar voorletter en achternaam) in combinatie met een identificerend gegevenselement, zoals een burgerservicenummer, rijbewijsnummer, nummer van een legitimatiebewijs, bankrekeningnummer of creditcardnummer met toegangscode of wachtwoord, geboortedatum of biometrische gegevens. •
• Procedures voor kennisgeving: personen van wie persoonsgegevens in gevaar zijn gebracht, moeten hiervan in kennis worden gesteld. • Tijdlijnen voor kennisgeving: de meeste wetten vereisen eenvoudig kennisgeving binnen een redelijke tijd, hoewel sommige wetten specifieke tijdlijnen hanteren.
Encryptie en Safe Harbor De kennisgevingsvereisten voor beveiligingslekken variëren van staat tot staat, maar alle wetsvoorstellen bieden een Safe Harbor-mogelijkheid voor versleutelde gegevens. Door encryptie te gebruiken voor de beveiliging van persoonsgegevens, kunnen organisaties voorkomen dat ze worden onderworpen aan de vereisten voor openbare kennisgeving indien persoonsgegevens zijn verloren, gestolen of in handen van een onbevoegd persoon zijn gevallen. Organisaties moeten over het algemeen beveiligingslekken in die gevallen nog wel melden bij justitie.
Gegevensbescherming in de Europese Unie In de Europese Unie (EU) wordt de verwachting van privacy over het algemeen als een "fundamenteel mensenrecht" beschouwd. De bescherming van de privacy van personen en de omgang met persoonsgegevens van Europese burgers worden zeer serieus genomen. In de EU verstaat men onder "persoonsgegevens" alle gegevens die betrekking hebben op een identificeerbaar persoon. De EU heeft een overkoepelende Privacyrichtlijn (94/46/ EG) opgesteld ter bescherming van de persoonsgegevens van elke Europese burger. Deze richtlijn schrijft voor hoe organisaties die met EU-burgers zaken doen of EU-burgers in dienst hebben, met hun gegevens moeten omgaan. De Privacyrichtlijn omvat regelgeving waarin wordt geprobeerd een evenwicht te vinden tussen een hoge mate van bescherming van de privacy van personen en de vrije beweging van persoonlijke gegevens binnen de EU. De richtlijn stelt scherpe grenzen aan het verzamelen en gebruiken van persoonlijke gegevens. Elke lidstaat moet een onafhankelijk nationaal orgaan oprichten dat verantwoordelijk is voor de
Vereisten voor kennisgeving: elke persoon of elk bedrijf (en meestal ook elke overheidsinstelling) die/ dat in het bezit is van, een gebruiksrecht heeft op of verantwoordelijk is voor persoonsgegevens en redelijkerwijs kan vermoeden dat een onbevoegd persoon toegang tot deze gegevens heeft gehad, moet de betrokken inwoners van de staat hiervan in kennis stellen.
*Arizona, Arkansas, Californië, Colorado, Connecticut, Delaware, Florida, Georgia, Hawaï, Idaho, Illinois, Indiana, Iowa, Kansas, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New York, North Carolina, North Dakota, Ohio, Oklahoma, Oregon, Pennsylvania, Rhode Island, South Carolina, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin en Wyoming
2
Oplossingenbrochure
bescherming van deze gegevens. In een ander artikel van de richtlijn worden lidstaten dringend verzocht nauwkeurig de voorwaarden te bepalen waaronder het verwerken van deze gegevens als rechtmatig wordt beschouwd.
www.mcafee.com/nl
• voor specifieke, expliciete en legitieme doeleinden worden verzameld
De voornaamste straffen op overtredingen van de Australische Privacy Act bestaan uit boetes. In sommige gevallen kunnen gevangenisstraffen worden opgelegd, bijvoorbeeld voor het niet bijwonen van een door de Privacy Commissioner gehouden vergadering door een persoon die de Privacy Act heeft overtreden; het niet bijwonen van een hoorzitting voor de Privacy Commissioner; het niet verstrekken van een verklaring wanneer dat is vereist; het verstrekken van onjuiste informatie; en het niet verstrekken van informatie.
• nauwkeurig, relevant en niet excessief zijn in verhouding tot het doel waarvoor ze worden verzameld
Gegevensbeschermingswetgeving in Canada
Persoonsgegevens moeten krachtens de Privacyrichtlijn: • eerlijk en conform de wet worden verwerkt
• in een vorm worden opgeslagen die identificatie van betrokkene niet langer toestaat dan nodig is
Safe Harbor voor Amerikaanse organisaties die persoonsgegevens uit de EU ontvangen De VS en de EU willen beide de privacy van hun burgers beschermen, maar ze passen elk een andere benadering toe. Om deze verschillen te overbruggen en het voor Amerikaanse organisaties eenvoudiger te maken om zich te houden aan de Privacyrichtlijn van de EU, heeft het Amerikaanse ministerie van Economische Zaken in overleg met de Europese Commissie een Safe Harbor-raamwerk opgesteld. Safe Harbor is een vrijwillig programma dat onder toezicht van de Amerikaanse Federal Trade Commission (FTC) staat. Organisaties die gebruik willen maken van de Safe Harbor-voordelen, moeten eenmaal per jaar aan het Amerikaanse ministerie van Economische Zaken verklaren dat ze ermee instemmen zich aan de vereisten van Safe Harbor te houden (zelfcertificering). Deze vereisten omvatten elementen als bekendmaking, keuze, toegang en handhaving. Organisaties moeten in hun gepubliceerde privacybeleidsverklaring tevens aangeven dat ze de Safe Harbor-principes naleven. Het Amerikaanse ministerie van Economische zaken houdt een lijst bij van alle organisatie die zelfcertificeringsbrieven indienen. Deze lijst en de zelfcertificeringsbrieven zijn openbaar toegankelijk.
Gegevensbeschermingswetgeving in Australië Australië heeft in 1988 een Privacy Act aangenomen. In deze privacywet zijn National Privacy Principles (NPP's, nationale privacybeginselen) vastgelegd die overeenkomen met die van de Europese Privacyrichtlijn. De privacybeginselen van de Australische Privacy Act zijn van toepassing op: • Overheidsdiensten van het Gemenebest en het Australisch Hoofdstedelijk Territorium • Kredietregistratiebureaus • Alle organisaties in de particuliere sector met een jaaromzet van meer dan 3 miljoen dollar • Zorgleveranciers • Handelaren in persoonsgegevens • Contractanten van de Australische regering, voor zover hun activiteiten het doel van het contract dienen
Op 1 januari 2001 is in Canada de Personal Information Protection and Electronic Documents Act (PIPEDA, wet op de beveiliging van persoonsgegevens en elektronische documenten) van kracht geworden. Deze wet is van toepassing op overheidsbedrijven, zoals luchtvaartmaatschappijen, banken en omroeporganisaties. Vanaf 1 januari 2004 is deze wet ook van toepassing op alle andere organisaties. De rechten die een persoon aan PIPEDA kan ontlenen, komen overeen met die van de Privacyrichtlijn van de EU. PIPEDA geeft de rechter specifieke "rechtsmiddelen", "als aanvulling op eventuele andere rechtsmiddelen". Het gaat om de volgende rechtsmiddelen: • een organisatie opdracht geven haar werkwijze te corrigeren • een organisatie opdracht geven een kennisgeving te publiceren van elke actie die is genomen of voorgesteld om haar werkwijze te corrigeren • schadevergoeding toewijzen aan de eiser "met inbegrip van schadevergoeding voor de mogelijke vernedering die de eiser heeft ondergaan"
Gegevensbeschermingswetgeving in Japan Japan's Personal Information Protection Act (PIPA, wet op de bescherming van persoonsgegevens) is op 1 april 2005 van kracht geworden. Persoonlijke informatie of persoonsgegevens worden in deze wet gedefinieerd als informatie over een levende persoon op grond waarvan de identiteit van die persoon kan worden achterhaald. Dit kunnen de naam, de geboortedatum of andere gegevens van een persoon zijn. Informatie over buitenlanders, hetzij inwoners of niet-inwoners, wordt ook als persoonlijke informatie beschouwd. PIPA is van toepassing op Personal Information Handlers (PIH's). Dit zijn bedrijven of mensen die om zaken te doen in Japan ten minste één keer per halfjaar gebruik maken van een database die persoonsgegevens van meer dan 5000 personen bevat. Een buitenlands bedrijf dat filialen bezit in Japan kan worden gedefinieerd als een PIH. Een buitenlands bedrijf dat geen filialen bezit in Japan is geen PIH. Een PIH moet zich aan een aantal beperkingen houden met betrekking tot de omgang met persoonsgegevens. Deze beperkingen komen overeen met de beperkingen in de Privacyrichtlijn van de EU.
3
Oplossingenbrochure
Indien bepalingen van PIPA worden overtreden, kan het ministerie dat of de overheidsinstelling die verantwoordelijk is voor de betreffende sector de PIH adviseren de overtreding te staken. Als de PIH niet reageert en het bedrijf op het punt staat belangrijke rechten van het individu te schenden, kan het ministerie de PIH opdracht geven de overtreding te staken. Als de PIH niet reageert, kan de verantwoordelijke leidinggevende of werknemer van de PIH een gevangenisstraf of een boete krijgen opgelegd.
Gegevensbeschermingswetgeving in andere landen Azië en Oceanië Hongkong Verordening persoonsgegevens (Privacy), 1996 Nieuw-Zeeland Privacywet, 1993 Taiwan Wet op de bescherming van gecomputeriseerde persoonsgegevens, 1995 Zuid-Korea Wet op de bevordering van het gebruik van informatie-, communicatienetwerk- en gegevensbescherming, 2005
Midden- en Zuid-Amerika Argentinië Bescherming persoonsgegevens (wet 25.326), 2000 Bermuda Wet op elektronische transacties, 1999 Chili Wet op de bescherming van het privéleven (nr. 19628), 1999 Paraguay Gegevensbeschermingswet, 2001
Europa, Midden-Oosten en Afrika België (EU-lid) Wet van 8 december 1992 op de privacybescherming met betrekking tot de verwerking van persoonsgegevens, zoals gewijzigd door de wet van 11 december 1998, waarbij richtlijn 95/46/EC werd geïmplementeerd Bulgarije (EU-lid) Wet op de bescherming van persoonsgegevens, 2002 Cyprus (EU-lid) Verwerking van persoonsgegevens (bescherming van het individu) wet 138(1), 2001 Denemarken (EU-lid) Wet 429 inzake de verwerking van persoonsgegevens, 2000 Duitsland (EU-lid) Federale gegevensbeschermingswet (Bundesdatenschutzgesetz of BDSG), 2001
www.mcafee.com/nl
Estland (EU-lid) Wet op de bescherming van persoonsgegevens, 2003 Finland (EU-lid) Wet op de persoonsgegevens (wet 523), 1999 Frankrijk (EU-lid) Wet 2004-801 van 6 augustus 2004 ter wijziging van wet 78-17 van 6 januari 1978 inzake de bescherming van geregistreerde personen met betrekking tot de verwerking van persoonsgegevens Griekenland (EU-lid) Wet 2472/1997 inzake de bescherming van personen betreffende de verwerking van persoonsgegevens, zoals gewijzigd door wet 2819/2000 en wet 2915/2000 Hongarije (EU-lid) Wet LXIII van 1992 inzake de bescherming van persoonsgegevens en bekendmaking van gegevens van algemeen belang, gewijzigd door de parlementaire wet nr. XLVIII, 2003 Ierland (EU-lid) Gegevensbeschermingswet, 1988 (gewijzigd 2003) IJsland Wet op de bescherming en verwerking van persoonsgegevens (nr. 77), 2000 Israël Wet op de privacybescherming, 1981 Italië (EU-lid) Wet op de bescherming van Italiaanse persoonsgegevens (wetsbesluit nr. 196), 2003 Letland (EU-lid) Wet op de bescherming van persoonsgegevens, 2000 Liechtenstein Gegevensbeschermingswet, 2002 Litouwen (EU-lid) Wet op de juridische bescherming van persoonsgegevens, 1996 (gewijzigd in 2000 en 2003) Luxemburg (EU-lid) Wet van 2 augustus 2002 inzake de bescherming van personen met betrekking tot de verwerking van persoonsgegevens Malta (EU-lid) Gegevensbeschermingswet, 2001 Nederland (EU-lid) Wet Bescherming Persoonsgegevens (WBP), 2000 Noorwegen Wet op de persoonsgegevens, 2000 Oostenrijk (EU-lid) Federale wet inzake de bescherming van persoonsgegevens (Datenschutzgesetz of DSG), 2000
4
Oplossingenbrochure
Polen (EU-lid) Wet op de persoonlijke bescherming van gegevens, 1997 (gewijzigd 2004) Portugal (EU-lid) Wet op de bescherming van persoonsgegevens, 1998 Republiek Zuid-Afrika Wet op de bevordering van toegang tot informatie, 2000
www.mcafee.com/nl
de PCI Security Standards Council, moeten zich houden aan de PCI DSS. Tot deze bedrijven behoren: • Visa • MasterCard • Diners Club • American Express
Roemenië (EU-lid) Wet nr. 677/2001 inzake de bescherming van personen betreffende de verwerking van persoonsgegevens en de vrije circulatie van dergelijke gegevens
• Discover
Rusland Wet van de Russische Federatie inzake informatie, informatisering en informatiebescherming, 1995
• Lidbanken (voor Visa en American Express)
Slowakije (EU-lid) Wet op de bescherming van persoonsgegevens, 2002 (gewijzigd 2005) Slovenië (EU-lid) Wet op de bescherming van persoonsgegevens, 1999 Spanje (EU-lid) Organieke wet 15/1999 inzake de bescherming van persoonsgegevens Tsjechië (EU-lid) Wet 101 op de bescherming van persoonsgegevens en de wijziging van sommige gerelateerde wetten, 2000
• Merchants • Andere gegevensverwerkers
Het niet naleven van de PCI DSS kan leiden tot strenge straffen: • niet-naleving kan een boete tot 25.000 dollar per incident tot gevolg hebben, indien de gegevens van de kaarthouder nog niet zijn gecompromitteerd • niet-naleving kan een boete tot 100.000 dollar per incident tot gevolg hebben, indien de gegevens van de kaarthouder wel zijn gecompromitteerd • verlies van bevoegdheid om creditcardbetalingen te verwerken
Zweden (EU-lid) Wet op de persoonsgegevens, 1998
De Amerikaanse staten Minnesota en Texas hebben wetten aangenomen die zijn gebaseerd op de belangrijkste vereisten van de PCI DSS. Andere staten overwegen momenteel vergelijkbare wetgeving in te voeren. Ook wanneer er geen wetten zijn aangenomen wordt in geen enkele Amerikaanse staat "onbekendheid met de wet" als verweer geaccepteerd.
Zwitserland Federale wet op de gegevensbescherming, 1993
Conclusie
Verenigd Koninkrijk (EU-lid) Gegevensbeschermingswet, 1998
PCI DSS: een industrienorm met een wereldwijd bereik De in de vorige paragrafen beschreven internationale wetten zijn gericht op de algemene bescherming van persoonsgegevens. Door de toenemende fraude met creditcards heeft de betaalkaartenindustrie een eigen set vereisten voor de gegevensbeveiliging opgesteld. De Payment Card Industry Data Security Standard (PCI DSS) is oorspronkelijk ontwikkeld als richtlijn om organisaties die creditcardbetalingen verwerken te helpen bij de preventie van creditcardfraude, cracking en andere beveiligingsdreigingen. Deze norm is ontwikkeld door de PCI Security Standards Council, opgericht door American Express, Discover Financial Services, JCB International, MasterCard Worldwide en Visa Inc. Tegenwoordig is de PCI DSS meer dan alleen maar een richtlijn. Elk bedrijf dat zaken doet met behulp van creditcards en bedrijven die behoren tot of zaken doen met
Er zijn miljarden dollars besteed aan het implementeren van systemen die de naleving van wetgeving moeten waarborgen. De meeste organisaties hebben echter een ernstige tekortkoming: ze kunnen deze naleving niet bewijzen. Naast het beveiligen van gegevens moeten organisaties immers ook kunnen bewijzen dat hun gegevens zijn beschermd. Organisaties moeten - als onderdeel van een financiële controle of als verzoek tot inzage van stukken - onweerlegbaar kunnen bewijzen dat hun informatie beschermd is (wie, wat, waar, wanneer en hoe), op straffe van geldboetes, wettelijke aansprakelijkheid, merkschade, verlies van klantvertrouwen, enzovoort. Bij het kiezen van de juiste oplossingen voor uw organisatie moet u er rekening mee houden dat bewijs een belangrijk en onmisbaar stukje van de compliancepuzzel vormt. Let er daarom op dat u met de gekozen oplossingen snel en resoluut kunt bewijzen dat uw gegevens correct zijn beschermd.
5
Oplossingenbrochure
McAfee Ireland Ltd. 11 Eastgate Avenue Eastgate Business Park Little Island, Cork Ireland
www.mcafee.com/nl
© 2008 McAfee, Inc. Niets uit dit document mag worden gereproduceerd zonder de uitdrukkelijke schriftelijke toestemming van McAfee, Inc. De informatie in dit document is alleen bedoeld voor educatieve doeleinden en als service voor de klanten van McAfee. De informatie in dit document kan zonder voorafgaande kennisgeving worden gewijzigd en wordt geleverd "zoals deze is", zonder garanties met betrekking tot de nauwkeurigheid of toepasbaarheid van de informatie op een specifieke situatie of omstandigheid. McAfee, Avert en Avert Labs zijn handelsmerken of
+353 (21) 467 2000
gedeponeerde handelsmerken van McAfee, Inc. in de Verenigde Staten en andere landen. Alle
www.mcafee.com
andere namen en merken kunnen eigendom van anderen zijn.
6