De Meldplicht Datalekken mr. N. Falot 8 oktober 2015
Over Considerati
• Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken • Uitgebreide ervaring met privacy en cybersecurity vraagstukken in grote organisaties • Winnaar HP-IAPP Privacy Innovation Award 2013 voor online platform ‘www.privacychecker.eu’
Even voorstellen…
mr. Nathalie Falot Juridisch Adviseur
Gespecialiseerd in privacy & data-bescherming en de juridische aspecten van cybersecurity voor grote organisaties
Waarom een meldplicht voor datalekken?
Datalekken in de media
Toename in datalekken
- - -
In de eerste helft van 2015 vonden wereldwijd 888 datalekken* plaats, waarbij 246 records werden aangetast. Dit is een toename van 10% ten opzichte van de eerste helft van 2014 In 53% van de datalek was sprake van identiteitsdiefstal
Bron: http://www.breachlevelindex.com
Privacy en de bescherming van persoonsgegevens
Juridisch kader
Artikel 10 Grondwet: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. En: De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens
Hebben we een grondslag?
Wat willen we gaan doen?
Gerechtvaardigd doel
Hoe gaan we zorgvuldig om met de gegevens?
Materiële eisen Wbp
Artikel 13 Wbp
Artikel 13 De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
De meldplicht datalekken: 1 januari 2016
Artikel 34a Wbp (nieuw) “een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.”
Is de meldplicht datalekken van toepassing?
1. U verwerkt persoonsgegevens 2. U bent verantwoordelijke voor deze verwerking 3. U bent niet uitgezonderd van de Wet bescherming persoonsgegevens (Wbp) 4. Er is sprake van een datalek in de zin van de Wbp
Een datalek in de zin van de Wbp
Bron: Cbp Conceptrichtsnoeren meldplicht datalekken
Voorbeelden van datalekken (Cbp conceptrichtsnoeren)
Onder een datalek valt niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. • • • • • • •
een kwijtgeraakte USB-stick; een gestolen laptop; een inbraak door een hacker; verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; een malware-besmetting; een calamiteit zoals een brand in een datacentrum.
Cbp: Conceptrichtsnoeren meldplicht datalekken
Moet het datalek gemeld worden?
Niet ieder datalek moet worden gemeld
Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? Melding: uiterlijk op de tweede werkdag na de ontdekking van het incident
Bron: Cbp Conceptrichtsnoeren meldplicht datalekken
Melding doen aan betrokkene?
Bron: Cbp Conceptrichtsnoeren meldplicht datalekken
Wat zijn de risico’s?
• •
Onderzoek met bindend advies Boetebevoegdheid van €20.250 – €810.000 of 10% van de jaaromzet
Maar ook privaatrechtelijke of strafrechtelijke aansprakelijkheid voor bestuur en/of beroepsaansprakelijkheid!
Hoe kunt u zich hierop voorbereiden?
Bereid u voor op de meldplicht
•
Zorg voor adequate beveiliging, zowel technisch als organisatorisch •
Cbp richtsnoeren: beveiliging van persoonsgegevens
•
Zorg dat u op de hoogte bent van potentiele datalekken
•
Richt procedures in om snel een potentieel datalek te onderzoeken en te melden •
•
Incident response
Maak afspraken met uw bewerker
Incident Response & Responsible Disclosure
Incident Response Wat te doen bij een datalek? Zorg (naast de technische aspecten) minimaal voor: - -
een plan waarin interne afstemming bij een datalek is vastgelegd (welke personen van welke afdelingen moeten worden betrokken?) duidelijke informatievoorziening voor medewerkers, klantenservice en persvoorlichting.
Privacy & Security: Plan van Aanpak
Plan
Do
Check
Act
Bedrijfsprocessen Bepalen stand van zaken
Formuleren privacy & security beleid
Monitoring
Aanpassen
Handhaving
Reageren
IT organisatie
Bedrijfscultuur
Wat doet Europa? Algemene Verordening Gegevensbescherming
Europese Verordening Gegevensbescherming
In een notendop: •
Documentatie en accountability eisen: - Verplicht privacybeleid - Verplicht securitybeleid
•
Verplichte data protection impact assessments
•
Data protection by design én by default
•
Privacy Officer/ Functionaris Gegevensbescherming (?)
•
Meldplicht datalekken (NL loopt vooruit op de Verordening)
Aankomend: Verordening gegevensbescherming •
Niet hebben van een duidelijk privacybeleid = tot 1M of 2% van de jaaromzet
•
Niet hebben van afspraken bij samenwerking = tot 500K of 1% van de jaaromzet
•
Geen beveiligingsbeleid = tot 1M of 2% van de jaaromzet
•
Geen beleid voor privacy by design & privacy by default = tot 1M of 2% van de jaaromzet
•
Niet doen van Privacy Impact Assessments = tot 1M of 2% van de jaaromzet
•
Niet melden van datalekken = tot 500k of 1% van de jaaromzet
Gebaseerd op het Commissie-voorstel. Parlement wil boetes tot 100 miljoen of 5% van globale jaaromzet
Waar staat de Verordening?
General Approach agreed on 15-6-2015
Start Trialogue: June 25, 2015
Privacychecker.eu
Contactgegevens
Contact mr. Nathalie Falot + 31 6 31766087
[email protected] Considerati Algemeen:
[email protected] + 31 20 737 0069
