Lunch & Learn Datalekken en Safe Harbor
Peter Kager, juridisch adviseur ICTRecht 18 februari 2016
[email protected] 020 – 663 1941
Programma § Introductie § Wet bescherming persoonsgegevens § Datalekken § Melden aan de AP § Melden aan betrokkene § Pauze
§ Bewerkersovereenkomst § Safe Harbor § Administratie § Voorbeelden § Sancties § Maatregelen § Afsluiting
Privacy
Persoonsgegevens ‘’Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene")’’
Persoonsgegevens • Direct herleidbaar • Indirect herleidbaar • Mogelijkheid tot herleiding
Persoonsgegevens
Verwerking Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
Grondslagen § Toestemming § Uitvoering overeenkomst § Wettelijke plicht § Vitale belangen betrokkenen § Uitvoering overheidstaak § Gerechtvaardigd eigen belang § (Wetenschappelijk en statistisch onderzoek)
Terminologie en rollen Betrokkene (“data subject”) Bepaalt doel en middelen van verwerking
Verwerkt uitsluitend in opdracht van verantwoordelijke
Verantwoordelijke (‘controller’)
Bewerker (“processor”)
Toepasselijkheid meldplicht Niet van toepassing als: § Wet op het financieel toezicht van toepassing is; § Wbp niet van toepassing is (persoonlijk of huishoudelijke doeleinden). Deels van toepassing als: § Telecommunicatiewet van toepassing is.
Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen?
Datalek
Melden aan AP Melden aan betrokkene
Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen?
Datalek
Melden aan AP Melden aan betrokkene
Voorbeelden van beveiligingsincidenten § Een kwijtgeraakte USB-stick; § een gestolen laptop; § een inbraak door een hacker; § verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; § een malware-besmetting; § een calamiteit zoals een brand in een datacentrum.
Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen?
Datalek
Melden aan AP Melden aan betrokkene
Datalek? § Verlies: • Verlies houdt in dat niemand de persoonsgegevens meer heeft; • Dat wil zeggen dat er ook geen complete en actuele reservekopie van de persoonsgegevens meer is.
§ Onrechtmatige verwerking:
• Aantasting van persoonsgegevens (blokkeren/versleutelen); • Onbevoegde kennisneming; • Wijziging van persoonsgegevens; • Verstrekking van persoonsgegevens; • Ook als het niet uitgesloten kan worden!
Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen?
Datalek
Melden aan AP Melden aan betrokkene
Melden aan AP Gegevens van gevoelige aard: § Bijzondere persoonsgegevens; § Gegevens over financiële of economische situatie betrokkene; § Gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, werkprestaties, relatieproblemen); § Gebruikersnamen, wachtwoorden en andere inloggegevens; § Gegevens die kunnen worden misbruikt voor (identiteits)fraude (biometrische gegevens, BSN, kopie ID-bewijs).
Aard en omvang van de inbreuk: § Databases met persoonsgegevens van grote groepen mensen; § Mate van gebruik van persoonsgegevens; § Overheidsverwerkingen; § Verlies NAW-gegevens in specifieke gevallen.
Tijdsdruk
Tijdsdruk § Een datalek dient onverwijld aan de Autoriteit Persoonsgegevens gemeld te worden; § Dat wil zeggen dat u na ontdekking nog enige tijd mag nemen om het lek te onderzoeken om onnodige meldingen te voorkomen; § Termijn start op het moment dat uzelf, of een bewerker, op de hoogte raakt van een beveiligingsincident dat mogelijk een datalek is.
72 uur
Tijdsdruk § Als nog niet alles binnen 72 uur duidelijk is, doet u de melding met de gegevens waar u op dat moment over beschikt; § De melding kan op een later moment aangepast worden; § Overschrijding van de 72 uur vereist motivering.
Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten?
Datalek
2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen?
Melden aan AP Melden aan betrokkene
Geen meldplicht Een melding aan de betrokkenen is niet nodig als verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.
Encryptie Kenmerkend voor encryptie is dat het omkeerbaar is. Met de juiste encryptiesleutel kun je de encrypte informatie terugkrijgen.
Hashing Hashing bewerkt de informatie zodat er een unieke hashcode ontstaat. Hashing wordt bijvoorbeeld gebruikt voor de opslag van wachtwoorden. Let op dat de gebruikte hashfunctie niet gemakkelijk achterhaald kan worden.
Adequaat De gebruikte technieken moeten passend en adequaat zijn. Een encryptietechniek kan nu nog als ‘veilig’ te boek staan, maar over een half jaar bijvoorbeeld gekraakt zijn. Dan zullen uw technieken aangepast moeten worden.
Adequaat Een versleuteling is adequaat als: § Encryptie volgens een veilig standaardalgoritme is uitgevoerd en onbevoegden geen toegang hebben tot decryptiesleutel; § De hashfunctie waarmee de gegevens zijn gehashed niet gecompromitteerd is.
Remote wipe Alleen adequaat als: § De wipe tijdig in gang wordt gezet waardoor onbevoegde kennisname onmogelijk is; § Het apparaat nog intact is waardoor remote wipe mogelijk is; § Er een backup van de gewiste persoonsgegevens is.
Restrisico § Waterdichte beveiliging is onmogelijk. § Weeg mee wat de gevolgen voor betrokkenen kunnen zijn bij het doorbreken van beveiliging.
Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen?
Datalek
Melden aan AP Melden aan betrokkene
Ongunstige gevolgen § Persoonsgegevens van gevoelige aard; § Onrechtmatige publicatie; § Aantasting in eer en goede naam; § (identiteits)fraude; § Discriminatie; § Financiële schade.
Let op: ook versleutelde data kan worden vernietigd of aangetast en daardoor ongunstige gevolgen voor de betrokkene hebben. Dus ook in dat geval moet de betrokkene daarover ingelicht worden.
Zwaarwegende belangen § Een melding aan de betrokkene kan achterwege blijven als daarvoor zwaarwegende belangen aanwezig zijn (veiligheid van de staat, opsporingsdoeleinden). § Zwaarwegende belangen van de betrokkenen kunnen het achterwege laten van een melding ook rechtvaardigen. § De verantwoordelijke kan ook een zwaarwegend belang hebben. Denk bijvoorbeeld aan een datalek tijdens een overnameproces van een beursgenoteerde onderneming.
PAUZE
Terminologie en rollen Betrokkene (“data subject”) Bepaalt doel en middelen van verwerking
Verwerkt uitsluitend in opdracht van verantwoordelijke
Bewerkersovereenkomst
Verantwoordelijke (‘controller’)
Bewerker (“processor”)
Wie doet de melding? § Verantwoordelijke is verantwoordelijk voor het doen van de melding tenzij anders afgesproken; § Bewerker is verantwoordelijk voor het doen van een melding bij de verantwoordelijke; § Bewerker is verantwoordelijk voor het doen van een melding indien het ziet op data waar hij verantwoordelijk voor is.
Bewerker De bewerker zal in veel gevallen eerder kennis krijgen van een lek dan verantwoordelijke. U kunt overeen komen dat bewerker eerste melding aan AP doet. Het moet voor de bewerker wel duidelijk zijn in welke situaties hij dat moet doen.
Bewerkersovereenkomst § Contract § Onderlinge rolverdeling vastleggen qBewerker handelt uitsluitend in opdracht qOnderwerp, doel en duur van de verwerking qBewerker neemt gepaste beveiligingsmaatregelen qInschakelen subbewerkers alleen met aparte toestemming qWissen/terugleveren van gegevens einde gegevensverwerkingsdienst qVerantwoordelijke mag audit uitvoeren bij bewerker
Bewerkersovereenkomst Afspraken over datalekken: § Gaat de bewerker over alle incidenten rapporteren? § Verstrekt de bewerker alle informatie die nodig is voor een melding aan de AP? § Hoe informeert de bewerker over incidenten? § Gebeurt dit tijdig? § Gaat de bewerker zelf meldingen doen aan de AP?
Welke risico’s loop ik als bewerker als de bewerkersovereenkomst ontbreekt?
“Hij dient niet alleen de instructies van de verantwoordelijke op te volgen maar is eveneens zelfstandig aansprakelijk voor de naleving van de beginselen met betrekking tot de verwerking van persoonsgegevens die zijn opgenomen in hoofdstuk 1 en 2 van de Wbp.”
De keten, een tijdsprobleem? § Hoe gaat u met 72 uur om in de keten? § Sub-bewerker dient een melding te doen bij de bewerker; § Na ontdekking verantwoordelijke óf bewerker; § Sub-bewerker valt buiten deze keten?
Sub-bewerkersovereenkomst § Ook sluiten met de sub-bewerker; § Doorzetten afspraken tussen verantwoordelijkebewerker; § Ook als het om weinig gegevens gaat, of het inschakelen van een zzp-er.
Betrokkene (“data subject”)
Verantwoor -delijke (‘controller’)
Bewerker (“processor”)
Sub-bewerker
Wat als ik gebruik maak van een bewerker in het buitenland?
“…wanneer de bewerker gevestigd is in een andere lidstaat van de EU, [de verantwoordelijke] er zorg voor moet dragen dat de bewerker het recht van die lidstaat nakomt. Het 'recht van die lidstaat' heeft betrekking op de lokale verplichtingen op het gebied van informatiebeveiliging.”
Doorgifte aan derde landen
Doorgifte aan derde landen § Noorwegen § Liechtenstein § Ijsland § Zwitersland § Canada § Andorra § Argentinië § VS (voor gegevens van luchtvaartpassagiers)
§ Guernesey § Het Eiland Man § De Faeröereilanden § Jersey § Australië (voor gegevens van luchtvaartpassagiers) § Israël § Nieuw-Zeeland § Uruguay
Doorgifte aan derde landen 1. Als EC bepaald heeft dat land adequate privacybescherming heeft 2. Als verantwoordelijke adequate safeguards heeft genomen • Binding corporate rules • Safe Harbor • Contract conform standaardclausules toezichthouder
3. 4. 5. 6. 7.
Met toestemming betrokkene na adequate uitleg Bij noodzaak onder uitvoering contract Bij belangrijk algemeen belang Bij brengen of aanvechten van juridische claims Bij beschermen vitaal belang betrokkene
Safe Harbor
Begin van het einde
“Facebook Ierland stuurt mijn gegevens door naar Facebookservers in de VS. Daar zijn ze niet veilig!”
Begin van het einde “Kunnen wij niets aan doen. De Commissie heeft gezegd dat Safe Harbor veilig is.”
• • • •
NSA kijkt mee; Meer dan nodig is om nationale veiligheid te waarborgen; Geen gerechtelijke beroepsmogelijkheden; Dus geen passende maatregelen ter bescherming persoonsgegevens.
(Einde van) Safe Harbor § Besluit EU: VS is safe § HvJ EU 9 oktober 2015: VS is absoluut niet safe § Persoonsgegevens exporteren naar VS mag alleen • Met aparte toestemming • Bij gebruik modelcontracten • Indien organisatie ontvangend land (VS) als Safe Harbor aangemerkt
§ Begin 2016 nieuw verdrag?
Modelcontract de oplossing?
DEAL!
• Wij houden ons nu echt aan Europese regels; • Wij gaan niet meer onbeperkt datagraaien; • Onze bedrijven reageren gedegen op Europese klachten; • Wij stellen een ombudsman aan.
Bewaren van de melding “De verantwoordelijke houdt een overzicht bij van iedere inbreuk..” § Lering trekken uit het datalek; § Antwoord geven op vragen van betrokkenen; § Alsnog melden aan betrokkenen, wanneer dit in eerste instantie niet nodig was. Het overzicht hoeft niet openbaar te zijn!
Bewaren van de melding § Drie jaar informatie over de melding bewaren indien technische maatregelen adequaat zijn. § Een jaar informatie over de melding bewaren indien datalek waarschijnlijk ongunstige gevolgen voor betrokkenen heeft. § Wat bewaar je? • • • • •
Moment van ontdekking Moment van melding Genomen maatregelen Informatie verstrekt aan betrokkenen Preventiemaatregelen
Is dit een datalek? Een werknemer geeft aan een leverancier een gebruikersnaam en wachtwoord die per abuis toegang geven tot alle klantgegevens van alle klanten van het bedrijf. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de leverancier geen toegang meer heeft. Daarna onderzoekt het bedrijf of de leverancier daadwerkelijk toegang heeft gezocht tot de klantgegevens. Uit de logbestanden blijkt dat er geen toegang is gezocht tot gegevens.
Is dit een datalek? Een werknemer geeft aan een leverancier een gebruikersnaam en wachtwoord die per abuis toegang geven tot alle klantgegevens van alle klanten van het bedrijf. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de leverancier geen toegang meer heeft. Daarna onderzoekt het bedrijf of de leverancier daadwerkelijk toegang heeft gezocht tot de klantgegevens. De logbestanden kunnen geen uitsluitsel geven.
Is dit een datalek? Een werknemer geeft aan een leverancier een gebruikersnaam en wachtwoord die per abuis toegang geven tot alle klantgegevens van alle klanten van het bedrijf. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de leverancier geen toegang meer heeft. Daarna onderzoekt het bedrijf of de leverancier daadwerkelijk toegang heeft gezocht tot de klantgegevens. Uit de logbestanden blijkt dat enkel toegang is gezocht tot gegevens van klanten aan wie deze leverancier technische ondersteuning moest leveren.
Is dit een datalek? Een werknemer geeft aan een leverancier een gebruikersnaam en wachtwoord die per abuis toegang geven tot alle klantgegevens van alle klanten van het bedrijf. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de leverancier geen toegang meer heeft. Daarna onderzoekt het bedrijf of de leverancier daadwerkelijk toegang heeft gezocht tot de klantgegevens. De logbestanden laten zien dat diverse klantrecords zijn gewist. Er is geen backup.
Moet dit datalek gemeld worden? Voetbalvereniging FC Bal op ‘t Dak houdt haar ledenadministratie bij via een online softwarepakket. De ledenadministratie bevat namen, adressen, geboortedata en telefoonnummers van leden. Op een avond wordt de voorzitter van de voetbalvereniging gebeld door de aanbieder van het softwarepakket. Door een fout in de inlogmodule hebben kwaadwillende zichzelf toegang verschaft tot de ledenadministratie van FC Bal op ‘t Dak. De aanbieder constateerde dit en heeft het lek onmiddellijk gedicht. De gegevens van de spelers van het eerste elftal zijn verloren gegaan.
Moet dit datalek gemeld worden? Voetbalvereniging FC Bal op ‘t Dak houdt haar ledenadministratie bij via een online softwarepakket. De ledenadministratie bevat namen, adressen, geboortedata en telefoonnummers van leden. Daarnaast bevat de administratie een lijst van leden die te laat zijn met het betalen van hun contributie. Op een avond wordt de voorzitter van de voetbalvereniging gebeld door de aanbieder van het softwarepakket. Door een fout in de inlogmodule hebben kwaadwillenden zichzelf toegang verschaft tot de ledenadministratie van FC Bal op ‘t Dak. De aanbieder constateerde dit en heeft het lek onmiddellijk gedicht. De gegevens van de spelers van het eerste elftal zijn verloren gegaan.
Sancties § Elke onrechtmatige verwerking van persoonsgegevens § Nederlandse wet • Per 1 januari 2016 van kracht • Boete tot €820.000 per overtreding of 10% van de jaaromzet • Boete tot €500.000 voor het niet melden van een datalek of niet op orde hebben van beveiliging • Pas op te leggen nadat bindende aanwijzing niet is opgevolgd, tenzij opzettelijk of grof nalatig is gehandeld
Sancties § De AP kijkt bij het bepalen van de boete naar: • De aard en omvang van de overtreding; • De duur van de overtreding; • De impact van de overtreding; • Verwijtbaarheid; • Omstandigheden waaronder overtreding is gepleegd en financiële omstandigheden van de overtreder.
Sancties § Boete kan verhoogd worden als: • Dezelfde overtreding eerder is begaan; • De overtreder het onderzoek tegenwerkt.
§ Boete kan verlaagd worden als: • De overtreder meewerkt met AP; • De overtreder de overtreding zelf heeft beëindigd voor of bij eerste melding van AP; • De overtreder de betrokken personen zelf schadeloos heeft gesteld.
Calamiteitenplan § Wie vangt meldingen op? § Welke informatie is nodig? § Wie beslist over ernst? § Wie beslist over melding bij toezichthouder? § Hoe wordt dit alles vastgelegd?
Responsible disclosure
Responsible disclosure 1)Organisatie stelt meldpunt in; 2)Meldpunt bevestigt ontvangst en leidt intern door; 3)Organisatie en melder overleggen over afhandeling; 4)Termijn voor publicatie wordt samen afgesproken (60 dagen als vuistregel);
5)Organisatie houdt melder op de hoogte van voortgang; 6)Afspraken worden gemaakt over persbericht en credits; 7)Organisatie kan beloning geven, hoeft niet; 8)Organisatie belooft af te zien van juridische stappen tegen melders die de leidraad volgen.
Beveiligingsincident 1. Zijn er persoonsgegevens verloren gegaan of is onrechtmatige verwerking niet uit te sluiten? 2. Gaat het om gegevens van gevoelige aard of is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming? 3. Geen adequate versleuteling of ongunstige gevolgen voor betrokkenen?
Datalek
Melden aan AP Melden aan betrokkene
Wat te doen tegen datalekken? 1. Maak beleid over interne doorgifte datalekken en besluitproces melding toezichthouder 2. Werk beleid uit tot concrete procedures en toets de uitvoering 3. Dwing bij leveranciers van tools garanties af over datalekken Ø Verhoog hun aansprakelijkheid voor bugs die datalekken veroorzaken Ø Laat ze opdraaien voor de kosten van een security audit.
4. Herzie bewerkersovereenkomsten ten aanzien van datalekken 5. Publiceer responsible disclosure procedure 6. Audit jezelf
Waarom nieuwe wetgeving? § Van papier naar digitaal § Verschillen in Europese lidstaten § Meer mogelijkheden om onopvallend en meer gegevens te verzamelen § Rechten betrokkenen moeten uitgeoefend kunnen worden § Meer datalekken § Lage boetes
Tijdlijn Privacyverordening 25 januari 2012: Commissie publiceert voorstel
Voorjaar 2012: LIBE commissie laat zich adviseren
Voorjaar 2013: adviescommissies stemmen over voorstel
15 juni 2015: Algemene benadering van de Raad
12 maart 2014: Parlement neemt LIBE tekst over
21 oktober 2013: LIBE commissie reviseert voorstel
Winter 2015: Codecisie/tripartiet overleg
2016: Publicatie in Official Journal
2018: Volledig van kracht op alle verwerkingen in EU
Richtlijn vs Verordening Richtlijn § Instructie aan lidstaten § Om te zetten in wetgeving § Nationale afwijkingen mag tenzij volledige harmonisatie Verordening § Rechtstreekse werking § In alle lidstaten direct verbindend § Geen nationale afwijkingen tenzij in Verordening toegestaan
Datalekken en de verordening § Inbreuk in verband met persoonsgegevens die leidt tot vernietiging, verlies, aanpassing of ongeautoriseerde toegang of openbaarmaking; § Melden bij toezichthouder tenzij het onwaarschijnlijk is dat het een risico inhoudt voor de rechten en vrijheden van personen; § Melden aan betrokkenen indien hoog risico rechten en vrijheden van personen; § Niet melden aan betrokkenen indien:
• Gegevens onleesbaar/onbegrijpelijk zijn gemaakt; • Maatregelen zijn genomen om risico’s te voorkomen; • Het melden onevenredig veel inspanning kost. Publieke melding volstaat in dat geval.
Vragen?