Meldplicht datalekken eHealth Best Practice Day Juliette Citteur 18 mei 2016
Onderwerpen
I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
I. Inleiding
Wet bescherming persoonsgegevens (“WBP”) gebaseerd op de Europese richtlijn gegevensbescherming Begrip persoonsgegeven Vanaf 1 januari 2016, enkele wijzigingen WBP:
- Meldplicht datalekken (art. 34a) - Uitbreiding bestuurlijke boetebevoegdheid (art. 66) - College Bescherming Persoonsgegevens - Autoriteit
persoonsgegevens (art. 51)
Onderwerpen
I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
II. Cijfers – hoe vaak en waardoor?
Hoe vaak in zorgorganisaties? Datalek in de afgelopen twee jaar: 89% Meer dan vijf datalekken in de afgelopen twee jaar: 45%
Waardoor in zorgorganisaties? - - - - -
Actie van een insider/werknemer: 57% Criminele aanval: 50% Fout van een derde: 41% Gestolen device: 39% Systeemfout: 29%
(Bron: Ponemon rapport, Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data, May 2016)
II. Cijfers - kosten Gemiddelde kosten van een datalek in de zorgsector: € 320,- per dossier
Gemiddelde kosten van datalekken bij een zorgorganisatie per twee jaar: €1.900.000,-
(Bron: Ponemon Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data,
May 2016)
Onderwerpen
I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
III. Recente voorbeelden datalekken in de zorg -
buitenland
Ziekenhuizen in de Verenigde Staten begin 2016 getroffen door ransomware - Gegevens op slot - In ieder geval éénmaal losgeld betaald om weer toegang te krijgen: € 15.000 in bitcoins
III. Recente voorbeelden datalekken in de zorg -
Nederland Januari 2016: Vertrouwelijke gegevens van patienten van o.a. twee Nederlandse ziekenhuizen gedownload door fout leverancier
Maart 2016: Harde schijf met persoonlijke medische gegevens van ruim 780 kankerpatiënten (199 nog in leven) gestolen uit auto onderzoeker ziekenhuis
April 2016: zorggegevens van 1900 inwoners van een gemeente in verkeerde handen
Mei 2016: USB stick met vertrouwelijke gegevens van een cliënt van een GGD zoekgeraakt bij verzending per post
Onderwerpen
I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in Nederland IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
IV. Beveiliging en meldplicht datalekken Beveiligings incident
Datalek
Te melden datalek
Beveiliging en meldplicht datalekken – actoren Verantwoordelijke Bewerker Betrokkene NB bewerkersovereenkomst (art. 14 Wbp)
IV. Beveiliging Art. 13 Wbp: - Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking - Passend beschermingsniveau - Mede gericht op voorkomen onnodige verzameling en verdere verwerking van persoonsgegevens
Richtsnoeren beveiliging van persoonsgegevens en zorgspecifieke beveiligingsstandaarden
IV. Beveiliging – risicoanalyse en maatregelen Dreiging 1 Preven(eve maatregelen: voorkomen beveiligingsincident
Beveiligingsincident
2 Detec(eve maatregelen: signaleren beveiligingsincident
3 Repressieve maatregelen: beperken gevolgen beveiligingsincident
Gevolgen
4 Herstelmaatregelen: verhelpen van de gevolgen
5 Correc(eve maatregelen: repareren van de gebleken tekortkomingen in de beveiliging
IV. Beveiliging- beveiligingsincidenten
Voorbeelden:
- - - - -
Inbraak door een hacker Kwijtgeraakte USB stick Gestolen laptop Malwarebesmetting Calamiteit zoals brand in een datacentrum
IV. Meldplicht datalekken - datalek Artikel 34a WBP: “inbreuk op de beveiliging” (art. 13 WBP)
Persoonsgegevens verloren of onrechtmatige verwerking redelijkerwijs niet uit te sluiten
Eigen afweging over wel of niet melden; beleidsregels de meldplicht datalekken in de Wet bescherming persoonsgegevens
IV. Meldplicht datalekken – melding AP
(Aanzienlijke kans op) erns>ge nadelige gevolgen voor de bescherming van persoonsgegevens Leiden aard en omvang van de Persoonsgegevens van gevoelige inbreuk tot (een aanzienlijke kans aard gelekt? op) erns>ge nadelige gevolgen?
• • • • • • •
| | Bijzondere gegevens (o.a. betreffende gezondheid) • Omvang verwerkingen Financiële of economische gegevens • Ingrijpende beslissingen obv de Risico op s>gma>sering of uitslui>ng persoonsgegevens Gebruikersnamen, wachtwoorden, logingegevens • Persoonsgegevens die binnen Risico op iden>teitsfraude ketens worden gedeeld. Bijzondere weKelijk bepaalde geheimhoudingsplicht en beroepsgeheim NB Gegevens kwetsbare groepen DNA gegevens
IV. Meldplicht datalekken – melding AP
Door wie? - De verantwoordelijke Wanneer? - Onverwijld - In beginsel binnen 72 uur - Vanaf moment van ontdekking (door verantwoordelijke of bewerker!)
Hoe? - Online formulier op website AP
Wat? - Aard inbreuk, info contactgegevens, hoe te handelen - Beschrijving gevolgen en de getroffen en te treffen maatregelen
IV. Meldplicht datalekken – melding betrokkene Waarschijnlijk onguns>ge gevolgen voor diens persoonlijke levenssfeer
Persoonsgegevens van gevoelige aard, uitgangspunt: ook melden aan betrokkenen
In overige gevallen een (aparte) afweging maken
Niet vereist bij: - Cryptografie met voldoende bescherming (onbegrijpelijk of ontoegankelijk) - Andere technische maatregelen met voldoende bescherming (onbegrijpelijk of ontoegankelijk) - Zwaarwegende redenen (niet cumulatief)
IV. Meldplicht datalekken – melding betrokkene
Door wie ? - De verantwoordelijke Wanneer? - Onverwijld - Vanaf moment van ontdekking (door verantwoordelijke of bewerker!)
Hoe? - Behoorlijke en zorgvuldige informatievoorziening gewaarborgd - Vormvrij, indien mogelijk individueel
Wat? - Aard inbreuk, info contactgegevens, hoe te handelen
IV. Meldplicht datalekken – na de melding - - - -
Door de AP: Ontvangstbevestiging Opname in (niet openbaar) register Inhoudelijke afhandeling Mogelijk onderzoek en handhaving
Door de verantwoordelijke: - Vastleggen van feiten en gegevens omtrent de melding, incl. tekst van de kennisgeving aan de betrokkene
Onderwerpen
I. Inleiding II. Cijfers datalekken III. Voorbeelden datalekken IV. Beveiliging en meldplicht datalekken V. Bestuurlijke boetebevoegdheid VI. Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
V.
Bestuurlijke boetebevoegdheid - Art. 66 WBP
Maximum € 820.000,- (of 10% jaaromzet) onder meer voor: - Schending meldplicht - Schending hoofdbeginselen Wbp - Schending verbod mbt bijzondere persoonsgegevens
Doorgaans eerst bindende aanwijzing tenzij opzet of ernstig verwijtbare nalatigheid
V. Bestuurlijke boetebevoegdheid – vervolg
Boetebeleidsregels
Basisboete: bandbreedte in drie subcategorieën, verhoging of verlaging adhv relevante factoren
Boeteverhogende en boeteverlagende omstandigheden
Onderwerpen
I. II. III. IV. V. VI.
Inleiding Cijfers datalekken Voorbeelden datalekken Beveiliging en meldplicht datalekken Bestuurlijke boetebevoegdheid Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
VI. Toekomstige ontwikkelingen, algemene verordening gegevensbescherming
Meer rechten voor betrokkenen Meer verplichtingen voor verantwoordelijken en bewerkers
Meer bevoegdheden voor toezichthouders, incl. hogere boetes
Onderwerpen
I. II. III. IV. V. VI.
Inleiding Cijfers datalekken Voorbeelden datalekken Beveiliging en meldplicht datalekken Bestuurlijke boetebevoegdheid Toekomstige ontwikkelingen; algemene verordening gegevensbescherming VII. Tips
VII. Tips Inventariseer welke persoonsgegevens verwerkt worden en of uw organisatie verantwoordelijke of bewerker is
Check wie er betrokken zijn bij de verwerking van de gegevens Maak de medewerkers van de organisatie bewust Controleer de bewerkersovereenkomsten
VII. Tips - vervolg
Stel een datalekprotocol op
Stel een datalekteam samen Inventariseer of een cybersecurityverzekering gewenst is Zorg dat je beveiligingsbeleid up to date is en aan de vereisten voldoet
Hou een lijst bij van beveiligingsincidenten
Controleer periodiek
Vragen? Juliette Citteur 020-5207515
[email protected] www.zippromeijercitteur.com
