Datalekken: preventie & privacy Platform voor Informatiebeveiliging 25 april 2013
Mirjam Elferink
Onderwerpen 1. Inleiding 2. Casus datalek 3. Huidige en toekomstige wetgeving datalek meldplichten 4. Casus “preventie” 5. Wat betekent dit alles voor mijn organisatie?
Datalekken in het nieuws • Ziekenhuis lekt gegevens 500.000 patiënten • Betalingsverkeer Global Payments getroffen door datalek • Rabobank lekt duizenden ondernemersrapporten • Ernstig data-lek ontdekt in KPN-modems • Groot datalek bij Belgische vervoerder NMBS
Datalekken: “(…) veiligheidsinbreuken die leiden tot het verlies, ongewild vrijkomen, diefstal of misbruik van persoonsgegevens” (MvT, p. 23)
Datalek-overzichten: - Zwartboek (Bits of Freedom) - Lektober (Webwereld)
CASUS: datalek NMBS Persoonlijke gegevens van ca. 1,5 miljoen reizigers op straat. NAW-gegevens en e-mailadressen van mensen die inlichtingen hadden gevraagd of tickets hadden gekocht • Lek sinds mei 2012 • Lek in december 2012 ontdekt • Lek door menselijke fout!
Datalek NMBS – Fout werknemer • Werknemer moest twee lijsten van klanten van NMBS Europe samenbrengen en nieuwe lijst opslaan. • Werknemer werkte niet via interne systeem, maar via het online systeem dat verbonden is met de website • Werknemer drukt op verkeerde knop! Niet bestanden leeg gemaakt op onbeschermde server achter gelaten. • Gegevens o.a. via Google te vinden
Gevolgen: • Bekendheid van het lek in de markt reputatieschade NMBS • De Privacycommissie heeft 2.600 meldingen, vragen of klachten ontvangen. • NMBS heeft in strijd gehandeld met privacywetgeving • Aansprakelijkheidsclaims betrokkenen en NMBS?
Wat moet NL bedrijf doen?
Melden datalek bij inbreuk Privacy Huidig: Telecommunicatiewet per 5 juni 2012 (‘smalle’ meldplicht)
Toekomstige wetgeving: - Voorstel tot wijziging Wet bescherming persoonsgegevens (‘brede meldplicht’) - Voorstel Europese verordening (‘brede’ meldplicht)
‘Smalle’ meldplicht Tw: voor wie? ->
->: - Aanbieders telefonie - Internet Service Providers Niet: Banken, Webwinkels,Webhosters,Overheid.
Wat houdt de meldplicht in? • Onverwijlde’ melding doen van inbreuk beveiliging met gevolgen voor persoonsgegevens Bij OPTA • Ook onverwijlde melding, indien dit waarschijnlijk leidt tot nadelige gevolgen Bij betrokkene
Niet melden: Boete: max. € 450.000.
Toekomstige wetgeving Wetsvoorstel tot wijziging Wbp • Breder toepassingsbereik: “verantwoordelijken” melden bij CBP en betrokkene; • Nalaten melding: bestuurlijke boete: max. € 200.000,=
Europese Verordening Gegevensbescherming • Verwachting: van toepassing omstreeks 2016 ? • Boetes: tot 1 miljoen Euro/2% wereldwijde jaaromzet (!)
Melden datalek bij groot beveiligingsincident Toekomstige Europese wetgeving: Cybersecurity – richtlijnen
Doel: tegengaan cybercrime, waaronder datalekken
Melden datalek bij groot beveiligingsincident Voor wie? voor overheid, operatoren van kritieke infrastructuur in bepaalde sectoren (ook financiële dienstverlening) en belangrijke internetbedrijven Wat? schaal van het probleem, datum en tijd incident, aard incident en de reactie van het bedrijf op het incident EU: beter eerlijk en open zijn over lek dan lek wegmoffelen vb. Diginotar
Preventie van datalekken: wat had NMBS op voorhand kunnen doen? • •
Monitoren werknemers? Mag dat zomaar?
Casus: “preventie” Uw werknemer mailt naar uw cliënt (zakelijke e-mails):
"(..) I can tell you it is impossible to work with pigs, and that is what I am facing now!” en ook
“(..) Das wissen wir auch night was da los ist, es ist hier ein komplett chaos.(..)”.
Casus: “preventie” Gevolg: Reputatieschade U komt via controle deze zakelijke e-mails tegen. • • • •
Mag u zomaar monitoren? En wat kunt u tegen de werknemer doen? Ontbinding arbeidsovereenkomst? En wat kunt u doen ter preventie?
Casus: “preventie” Echte zaak Redenen bedrijf monitoren zakelijke e-mail: • Gerechtvaardigd doel • Verdenkingen betrokkenheid meerdere werknemers bij de malversaties van de werknemer Dus: controle e-mailberichten noodzakelijk.
Casus: “preventie” Maar wat vindt de rechter? Kantonrechter Rb Rotterdam 21 september 2011 Monitoren zakelijke e-mail: • werknemer mag verwachten dat werkgever, eerder dan bij privéberichten, inhoud van zakelijke e-mailberichten bekijkt; • inbreuk privacy werknemer gerechtvaardigd en proportioneel geen ander middel om de correspondentie te controleren; • e-mails als bewijs meegewogen voor bepalen dringende reden ontslag.
Preventie Mag ik werknemers monitoren? Inzage in Gmail-account wellicht onrechtmatig (Hof Den Bosch) • Hangt af van ICT-protocol • op welke wijze en op welk moment toegang tot G-mail account?
Preventie Mag ik werknemers monitoren? • Inkijken e-mails mag niet zonder instemming OR (kantonrechter Rb Amsterdam); • Inbreuk op privacy werknemer onder omstandigheden gerechtvaardigd (Kantonrechter Rb Rotterdam); • Beschadigende uitingen werknemer voor bedrijf; • Controle zakelijke berichten.
Preventie Mag ik werknemers monitoren? • Art. 10 Gw: bescherming persoonlijke levenssfeer • Art. 13 GW: recht op vertrouwelijke communicatie • Art. 7:611 BW goed werkgeverschap, goed werknemerschap • waarborgen privacy • dus: belangenafweging! • Gerechtvaardigde doelen • Wettelijke rechtvaardigingsgrond
Wat betekent dit voor mijn organisatie? • Zorg voor de inrichting van processen en richtlijnen over hoe te handelen als zich een datalek voordoet: maak een datalek draaiboek!
• Zorg dat uw beveiliging op orde is, zowel technisch als ook organisatorisch • Versleutel uw data • Regel aspecten rondom beveiliging, datalekken en privacy vóóraf in een overeenkomst
Wat betekent dit voor mijn organisatie? melden binnen 24 uur na lek ! Aan OPTA en betrokkenen: • Aard van de inbreuk; • Instantie waar meer info verkregen kan worden; • Aanbevolen maatregelen ter beperking negatieve gevolgen; Aan OPTA:
• Gevolgen inbreuk op persoonsgegevens; • Aanbevolen maatregelen om inbreuk aan te pakken.
Wat betekent dit voor mijn organisatie? • Risico bij niets doen: verantwoordelijke aansprakelijk. Gevolg: boetes, reputatieschade en claims • Denk ook aan opnemen van aansprakelijkheidsbeperkingen in de overeenkomst!
***
Preventie To do: ICT protocol: duidelijk regelen wat werknemers wel en niet mogen met uw ICT-voorzieningen bijv. op social media
HARTELIJK DANK VOOR UW AANDACHT! Vragen?
[email protected]
mr. dr. Mirjam H. Elferink Advocaat
PANTHEON 25 POSTBUS 109 7500 AC ENSCHEDE TELEFOON +31 (0)53 - 480 47 22 FAX +31 (0)53 - 480 43 00
[email protected] www.kienhuishoving.nl
