Datalekken
Presenta(e Datalekken 9 juni 2016
Voorgeschiedenis 1988:
Wet persoonsregistraties (Wpr)
1995:
Richtlijn 95/46EG beoogt: - bescherming van persoonsgegevens en garantie van vrij verkeer van persoonsgegevens tussen lidstaten
2001:
Wet Bescherming Persoonsgegevens (Wbp) - vervanger van Wpr en uitwerking van richtlijn
01-01-2016: Wet meldplicht datalekken 04-05-2016: Publicatie Europese Algemene Verordening Gegevensbescherming in Publicatieblad EG; overgangsperiode: 2 jaar 25-05-2018: Datum inwerkingtreding/van toepassing Europese Algemene Verordening Gegevensbescherming (AVG)
Presenta(e Datalekken 9 juni 2016
Intensivering wetgeving •
Wbp lange tijd onbekend en onbemind
•
Wbp werd (en wordt) lang niet altijd nageleefd
•
wet hield geen gelijke pas met technologische ontwikkelingen
•
beoogde veiligheidsniveau wordt niet gehaald
•
sancties werden ontoereikend geacht
•
betere naleving noodzakelijk
•
daarom: artikel 34a Wbp en AVG
Presenta(e Datalekken 9 juni 2016
Waarom belangrijk voor particulieren? Datalekken kunnen leiden tot: • (identiteits)fraude • financiële schade • chantage • aantasting eer en goede naam • misbruik van inloggegevens
uw naam, geboortedatum, woonadres en BSN: uw creditcardinformatie en bankgegevens: per scan/kopie van paspoort, rijbewijs, bankrekening: Geen fantasie maar werkelijkheid Bron: rapport antivirusbedrijf Trend Micro 22-09-2015, Follow the data
Presenta(e Datalekken 9 juni 2016
Waarom belangrijk voor bedrijven? Datalekken kunnen leiden tot: • verlies van reputatie • verlies van klanten, toeleveranciers en ketenpartners • verlies van bedrijfsgeheimen • chantage • financiële schade • faillissement (bijv. Diginotar). Hyper-connected wereld, internet of things, industrie 4.0 niet meer vraag óf een bedrijf aangevallen wordt in cyberspace maar wannéér Internet Security Threat Report 2014: NL eerste plaats in Europa en top 5 mondiaal van bedrijven geraakt door een cyberaanval 2015: 23% van de MKB-bedrijven in Nederland gehackt
Presenta(e Datalekken 9 juni 2016
Boetes Wbp: • tot € 820.000,00 of • 10% van de jaaromzet indien passender straf AVG: • tot € 20.000.000,00 of • 4% wereldwijde omzet indien hoger
Presenta(e Datalekken 9 juni 2016
Verwerking pg alleen toegestaan als…
• • • •
betrokkene ondubbelzinnig toestemming verleent noodzakelijk voor uitvoering overeenkomst (of voortraject) noodzakelijk voor nakoming wettelijke plicht of dringend eigen belang betrokkene (dringende noodzaak; leven of dood) gerechtvaardigd belang verantwoordelijke of derde, tenzij belang of fundamentele rechten van betrokkene prevaleert; belangenafweging
geen rechtvaardigingsgrond voor verwerking pg, dan onrechtmatig
Presenta(e Datalekken 9 juni 2016
Verwerking Verwerking van persoonsgegevens: • “elke handeling met betrekking tot persoonsgegevens, waaronder: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen van gegevens” • omvat hele proces, van begin (verzamelen/verkrijgen) tot en met einde (vernietiging) • niet limitatief, ook anonimiseren is verwerking
Presenta(e Datalekken 9 juni 2016
Persoonsgegeven “Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” Geen overleden personen en rechtspersonen; mensen van vlees en bloed. Direct herleidbaar Indirect herleidbaar Mogelijkheid tot herleiding Naam, adres, woonplaats? Telefoonnummer? Kenteken? Camerabeeld? Stemgeluid?
Presenta(e Datalekken 9 juni 2016
Bewerking Rolverdeling en hoedanigheden: A. Verantwoordelijke: degene die doel van en middelen voor verwerking pg vast stelt B.
Bewerker: degene die ten behoeve van de verantwoordelijke pg verwerkt zonder aan diens rechtstreekse gezag onderworpen te zijn
C.
Betrokkene: degene van wie de pg verwerkt worden (natuurlijk persoon)
Presenta(e Datalekken 9 juni 2016
Bijzondere persoonsgegevens
Verboden om bijzondere pg te bewerken, tenzij uitdrukkelijke toestemming of wettelijke uitzondering Bijzondere pg: godsdienst, ras, levensovertuiging, politieke gezindheid, gezondheid, seksuele voorkeur, lidmaatschap vakvereniging, strafrechtelijke gegevens of pg over onrechtmatig of hinderlijk gedrag
Presenta(e Datalekken 9 juni 2016
Beveiliging (art. 13 Wbp)
• verantwoordelijke heeft beveiligingsplicht voor pg • dient passende technische en organisatorische maatregelen ten uitvoer te leggen om pg te beschermen tegen verlies of onrechtmatige verwerking • maatregelen garanderen passend beveiligingsniveau mede gericht op voorkoming onnodige verzameling en verdere verwerking pg • technische maatregelen • organisatorische maatregelen
Presenta(e Datalekken 9 juni 2016
Uitbesteding en bewerkersovereenkomst Verantwoordelijke kan verwerking van pg uitbesteden aan derde. Bijvoorbeeld: - externe personeels- en salarisadministratie; - cloudopslag - arbodienst - klantenservice - externe ICT-dienstverlener De grote onbekende: de bewerkersovereenkomst Bij uitbesteding verwerking bewerkersovereenkomst wettelijk vereist (art. 14 Wbp) - doeleinden verwerking - verplichtingen bewerker - doorgifte van pg - meldplicht - beveiliging
Presenta(e Datalekken 9 juni 2016
Datalekken Wat is een datalek? Artikel 34a, lid 1 Wbp “De verantwoordelijke stelt de Autoriteit Persoonsgegevens onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstig nadelige gevolgen dan wel ernstig nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Artikel 34a, lid 2 Wbp “De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ernstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Artikel 34a, lid 6 Wbp “Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.
Presenta(e Datalekken 9 juni 2016
Soorten datalekken 1. Opzettelijke datalekken bewuste omzeiling van beveiligingsmaatregelen door hackers of eigen personeel, zoals door middel van: •
uitbuiten kwetsbaarheden in: - informatiesystemen (bekende veiligheidslekken in niet ge-update software, zwakke wachtwoorden) - webservers (SQL-injection) - menselijk gedrag (phishing, social engineering) - diefstal van niet beveiligde laptops, servers, tablets, mobieltjes, etc. - kopiëren, meenemen of aan derden verstrekken van vertrouwelijke gegevens
Presenta(e Datalekken 9 juni 2016
Soorten datalekken 2. Onopzettelijke datalekken •
niet doelbewust veroorzaakt, fout ligt in de mens of techniek
Voorbeelden: - verlies niet beveiligde laptop, server, tablet, telefoon of USB-stick - verzenden van gegevens via onbeveiligde mail - rechtstreekse toegang tot onbeveiligde gegevens op servers of desktops of laptops of in dossierkasten - versturen pg aan verkeerde ontvanger - bericht aan meerdere ontvangers in cc in plaats van in bcc - crash van hard disk waardoor gegevens verloren raken
Presenta(e Datalekken 9 juni 2016
Oorzaken datalekken Bron: Ponemon Institute 2015
Menselijk falen 25%
Moedwillig 46%
Technisch falen 29%
Presenta(e Datalekken 9 juni 2016
Melden aan AP? Zijn er gevoelige persoonsgegevens gelekt?
| V
ja
__________ nee
| ∨
Leidt het datalek tot ja (aanzienlijke kans op) ernstig −−−−> nadelige gevolgen voor bescherming pg?
|
Je moet het datalek melden bij de AP
nee
V
Je hoeft het datalek niet te melden bij de AP
Presenta(e Datalekken 9 juni 2016
Gevoelige persoonsgegevens Gevoelige persoonsgegevens zijn: godsdienst, ras, levensovertuiging, politieke gezindheid, gezondheid, seksuele voorkeur, lidmaatschap vakvereniging, strafrechtelijke gegevens of pg over onrechtmatig of hinderlijk gedrag Gegevens financiële en of economische situatie zoals: • salaris, betalingsgegevens of (problematische) schulden Gegevens die kunnen leiden tot uitsluiting zoals: • gokverslaving, school- werkprestaties, relatieproblemen Gebruikersnamen, wachtwoorden, andere inloggegevens Gegevens die kunnen leiden tot misbruik zoals: • (identiteits)fraude, biometrische gegevens, kopieën ID en BSN Gegevens uit DNA-banken, met bijzondere wettelijk bepaalde geheimhoudingsplicht, beroepsgeheim ex artikel 9 lid 4 Wbp
Presenta(e Datalekken 9 juni 2016
Datalek op grond van Wbp? Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als: 1. er pg in het geding zijn 2. pg blootgesteld zijn aan verlies of onrechtmatige verwerking (zekerheid of mogelijkheid) Geen datalek als: verlies of onrechtmatige verwerking pg kan worden uitgesloten Voorbeelden: per ongeluk gewiste database kan vanuit een complete en actuele back up weer opgebouwd worden. Geen verlies van pg. Logingegevens vallen in verkeerde handen maar na sluiting account en raadpleging logbestanden blijkt dat geen sprake is van onrechtmatige toegang tot pg. Geen schending van vertrouwelijkheid/ onrechtmatige verwerking
Presenta(e Datalekken 9 juni 2016
(Aanzienlijke kans op) ernstig nadelige gevolgen? Hamvraag: leiden aard en omvang van het datalek tot (een aanzienlijke kans op) ernstig nadelige gevolgen? Gevoelige gegevens: ja Grote aantallen betrokkenen of veel gegevens per betrokkene: ja • ook bij datalek één persoon bestaat kans op ernstig nadelige gevolgen • kwetsbare groepen • malware, ransomeware en cryptoware datalek verondersteld
Presenta(e Datalekken 9 juni 2016
Melden aan betrokkenen? Waren de gegevens goed versleuteld of geanonimiseerd?
| V
__________ | ∨
nee
Heeft het datalek (waarschijnlijk) nadelige gevolgen voor de betrokkenen?
|
ja
nee −−−−>
Je hoeft het datalek niet te melden aan betrokkenen
ja
V
Heb je zwaarwegende redenen om het lek (nog) niet te melden?
|
∧
| Ja −−−−−−−−−−
nee
V
Je moet het datalek melden aan de betrokkenen
Presenta(e Datalekken 9 juni 2016
Melding aan de betrokkenen? goed genoeg versleuteld? • op moment van inbreuk • adequaat - toekomst vast - aantoonbaar juist toegepast - sleutel niet gelekt • restrisco acceptabel zwaarwegende redenen om niet te melden: Voorbeelden AP: 1. kinderen die psychische hulp gezocht hebben buiten medeweten ouders 2. beursonderneming tijdens overname 3. niet willen frustreren onderzoek naar datalek
Presenta(e Datalekken 9 juni 2016
Europese Privacy Verordening (AVG) Belangrijkste veranderingen: 1. Verantwoordingsplicht verantwoordelijke moet aantonen dat gegevensverwerking: - rechtmatig, behoorlijk, transparant - doelgebonden - minimaal - juist - passend beveiligd tegen verlies/ onrechtmatige verwerking 2. Register van verwerkingsactiviteiten > 250 werknemers: V+B registratieplicht < 250 werknemers: niet, tenzij risico voor betrokkenen stelselmatige verwerking bijzondere pg
Presenta(e Datalekken 9 juni 2016
3. Burgers meer controle over pg: • data portabiliteit • right to be forgotten • rectificatie, wissen, beperking pg 4. Meldplicht datalek: • ook binnen 72 uur 5. Beveiliging: • verantwoordelijke en bewerker dienen passende technische en organisatorische beveiligingsmaatregelen te nemen om op risico afgestemd beveiligingsniveau te waarborgen, waaronder - pseudonimisering en versleuteling pg - permanente beschikbaarheid vertrouwelijkheid en integriteit pg - vermogen beschikbaarheid/ toegang pg tijdig herstellen - procedure testen, beoordelen en evalueren beveiligingsmaatregelen
Presenta(e Datalekken 9 juni 2016
VRAGEN?
Presenta(e Datalekken 9 juni 2016
