Meldplicht Datalekken en meldplicht Inbreuken op elektronische systemen

Meldplicht Datalekken en meldplicht Inbreuken op elektronische systemen Met aandacht voor de Europese ontwikkelingen.

Initiatief, bewerking en redactie: Aramis Jeanpierre, Gineke Kuipers en Ruud de Bruijn (eindredactie) Centrum voor Informatiebeveiliging en Privacybescherming, Domeingroep Privacy 20 december 2013 [v0.9]

Het CIP betracht zorgvuldigheid bij het samenstellen van zijn publicaties. Het kan echter voorkomen dat er toch sprake is omissies of onjuistheden. Het is altijd de verantwoordelijkheid van de lezer zelf dit te beoordelen en te corrigeren indien hij zich baseert op of gebruik maakt van een CIP-publicatie. © Centrum voor Informatiebeveiliging en Privacybescherming

Meldplicht datalekken en Meldplicht inbreuken op elektronische systemen Datum

20 december 2013 Versie

0.9 Pagina

2 van 55 Inhoudsopgave Leeswijzer

4

1

5

Inleiding 1.1 1.2 1.3

2

3

4

Doel van dit document Herkomst en status Samenvatting

Bespreking van de wetsvoorstellen

5 5 6 7

2.1 Meldplicht datalekken 2.1.1 Vertrouwen 2.1.2 Reikwijdte 2.1.3 Ongeoorloofde toegang en misbruik 2.1.4 Voorkomen van nodeloze meldingen 2.1.5 Beslismodel meldplicht Wbp 2.1.6 Verhouding verantwoordelijke voor de verwerking en bewerker 2.1.7 Kennisgeving aan betrokkene en aansprakelijkheidsrecht 2.1.8 Verhouding tot meldplicht incidenten Wet op het financieel toezicht 2.1.9 Administratieve lasten en nalevingskosten

7 9 10 10 11 11 12 13 13 14

2.2 Meldplicht inbreuken op elektronische informatiesystemen 2.2.1 Het voorstel in het kort 2.2.2 Vertrouwen, geen sancties 2.2.3 Melding 2.2.4 Meldplichtige partijen 2.2.5 Te melden ICT-inbreuken (DDos is geen inbraak) 2.2.6 Vertrouwelijkheid 2.2.7 Verhouding tot sectorale meldplichten en het wetsvoorstel meldplicht datalekken 2.2.8 Verhouding tot wetsvoorstel meldplicht datalekken 2.2.9 Verhouding tot EU-richtlijnen 2.2.10 Naleving 2.2.11 Administratieve lasten en nalevingskosten

14 14 15 15 15 15 16 16 16 17 17 17

De Europese Privacyverordening

17

3.1 Voortgang 3.1.1 Verhoging van de bestuurlijke boetes 3.1.2 Nieuwe criteria voor de verplichte privacy officer 3.1.3 Bestuurlijke veranderingen

18 18 18 18

3.2 Vervolg 3.2.1 De actuele versie van de AVG 3.2.2 Aanvullende informatie

18 19 19

Wat moet u regelen?

20

4.1 Incidenten 4.1.1 Accountability

20 20

4.2 Wat moet gebeuren? 4.2.1 The human factor 4.2.2 Techniek 4.2.3 Organisatie

20 20 21 21

4.3 De praktijk 4.3.1 Voorkómen van incidenten 4.3.2 Weerbaarheid

22 22 22

© Centrum voor Informatiebeveiliging en Privacybescherming



0.9 Pagina

3 van 55 4.3.3 4.3.4

Organiseren Ingrijpen en afwikkelen

4.4 Ideeën voor implementatie 4.4.1 Beslisboom 4.4.2 Toelichting bij de beslisboom 5

Open eindjes/conclusie

22 23 24 24 25 25

Gebruikte of genoemde informatiebronnen Lijst van afkortingen Colofon

27 28 28

Bijlage 1:

29

Wbp-definities

Bijlage 2: Overzicht huidige en toekomstige meldplichten 1 Inleiding 1.1 2

Huidige meldplichten 2.1 2.2 2.3

3

Telecommunicatiewet - Persoonsgegevens Telecommunicatiewet – Aantasting continuïteit Wet op het financieel toezicht – integere bedrijfsvoering

Toekomstige meldplichten - telecomsector en vertrouwensdiensten 3.1 3.2 3.3

4

Verkort overzicht

AMvB meldplicht inbreuken gekwalificeerde certificaten Meldplicht inbreuken ongekwalificeerde certificaten Verordening elektronische identificatie en vertrouwensdiensten

Toekomstige meldplichten – algemeen 4.1 4.2 4.3 4.4

Aanpassing Wet bescherming persoonsgegevens (meldplicht datalekken) Algemene Verordening Gegevensbescherming Wet melding inbreuken elektronische informatiesystemen (Security Breach Notification) Netwerk- en informatiebeveiligingsrichtlijn

30 30 30 31 31 32 32 33 33 33 33 34 34 35 36 36

Bijlage 3:

Wanneer melden aan het CBP?

37

Bijlage 4:

Doorbraak in ontwikkeling EU privacy Verordening

39

Bijlage 5:

2013 Cost of Data Breach Study: United Kingdom

42

Bijlage 6:

Wetsvoorstel Meldplicht datalekken en artikelsgewijze toelichting

44

Bijlage 7:

Concept wetsvoorstel Melding inbreuken en artikelsgewijze toelichting

52




0.9 Pagina

4 van 55

Leeswijzer Voor een korte globale indruk van de meldplichten-materie kunt u terecht in de samenvatting: paragraaf 1.3. Hoofdstuk 2 gaat gedetailleerd in op de wetsvoorstellen, hoofdzakelijk aan de hand van de Memories van toelichting, plus enkele aanvullende informatie en wat overpeinzingen. Hoofdstuk 3 geeft een korte impressie van de ten tijde van schrijven van deze notitie actuele stand van zaken van het Brusselse EPV-traject, de Europese Privacy Verordening. Overigens zullen wij vanaf nu de afkorting AVG gebruiken: de Algemene Verordening Gegevensbescherming. Deze aanduiding begint algemeen de overhand te krijgen en is 'in sync' met de Engelse aanduiding: GDPR, General Data Protection Regulation. Hoofdstukken 4 en 5 gaan in op de praktische organisatorische aspecten van de aankomende wetsvoorstellen, en de knelpunten en open eindjes die daar nog in zitten. Paragraaf 4.4 bevat tips voor implementatie en een beslisboom voor de bepaling van de meldplichtigheid van een incident. Bijlage 2 verdient een aparte vermelding: er zijn nog meer meldplichten actueel en in aankomst. Een uitgebreide verhandeling, voor wie het allemaal weten wil. Bijlage 4 over de AVG is de moeite waard als update over de stand van zaken in het Europese wetgevingstraject, maar ook omdat daaruit blijkt dat "Datalekken" slechts één van de onderwerpen is waarop dit voorstel zich richt. Dit document wordt geschreven op een moment dat er nog open einden zitten in de wetsontwerpen waarover het hier gaat. De tekst zal door CIP bij gelegenheid worden bijgewerkt met de definitieve uitkomsten van de verschillende parlementaire besluitvormingstrajecten.

 Deze tekst (dec 2013) wordt gepubliceerd als een 0.9 versie om twee redenen. Hoewel leden van de domeingroep Privacy betrokken zijn geweest bij de totstandkoming ervan, heeft de domeingroep als geheel zich er nog niet 'officieel' over uitgesproken. Ook zullen mettertijd nog updates nodig zijn als gevolg van de ontwikkelingen in de nationale en Europese wetgevingstrajecten. - red. 




0.9 Pagina

5 van 55

1 1.1

Inleiding Doel van dit document

Het CIP wil met dit document: Een statusoverzicht geven van de ontwikkelingen met betrekking tot: - het wetsvoorstel "Meldplicht datalekken"; - het wetsvoorstel "Meldplicht Inbreuken op elektronische systemen"; 1 - het voorstel voor de "Algemene Verordening Gegevensbescherming" (AVG) . De lezer bewust maken van de (aankomende) wetgeving en haar mogelijke gevolgen. Praktische adviezen aandragen over hoe te anticiperen/reageren op de Meldplicht datalekken. 1.2

Herkomst en status

Met het doel informatie-uitwisseling en kennisdeling te bevorderen, wil CIP onder andere 'good practices' ter beschikking stellen. Dit kunnen praktijkvoorbeelden zijn, handreikingen voor beleid, beschrijvingen van de stand van zaken in bepaalde ontwikkelingen, en dergelijke. De herkomst is van oorsprong een reflectie op een onderwerp door mensen in de CIP-kring, maar het kunnen ook notities zijn uit de praktijk van de CIP-organisaties die zonder verder commentaar worden gepubliceerd. De kern is dat de bijdragen altijd zijn gebaseerd op de expertise van de opstellers en deelnemende reviewers en/of het idee dat wat in één organisatie goed werkt, ook voor andere organisaties nuttig zou kunnen zijn. Soms is het resultaat dus de uitkomst van een groepsproces en in andere gevallen wordt iets 'as is' ter kennisneming of overname aangeboden. De CIP-documenten hebben geen ander doel dan kennisoverdracht en reflecteren niet noodzakelijk de opvattingen van alle contribuanten, CIP-deelnemers en/of alle CIP-partijen. Publicatie vindt plaats op zowel de openbare website www.cip-overheid.nl als het besloten www.cip-pleio.nl. CIP-documenten kunnen van tijd tot tijd aanpassingen ondergaan of worden ingetrokken als gevolg van veranderde inzichten. De CIP-redactie streeft binnen haar mogelijkheden naar een zo actueel mogelijke status van de documenten. In de praktijk betekent dit dat enige tijd zal verstrijken voordat wijzigingen kunnen zijn doorgevoerd. Suggesties voor aanpassingen kunnen ook door lezers worden aangedragen en worden altijd in behandeling genomen. Er mag vrijelijk worden verwezen naar CIP-documenten of eruit worden geciteerd. Gebruik van het document of van delen daaruit moet vergezeld zijn van een correcte bronvermelding en is altijd voor eigen risico. Dit CIP-document is een product van de Domeingroep Privacy, een van de vier domeingroepen in CIP-verband. De eerste aanzet is gemaakt door Aramis Jeanpierre, Gineke Kuiper en Ruud de Bruijn, naar aanleiding van de aanvankelijke planning, waarin de Meldplicht datalekken in september 2013 een feit had moeten zijn. Die planning is te ambitieus gebleken, maar het is wel duidelijk dat nationale wetgeving niet lang meer op zich zal laten wachten. Min of meer aansluitend daarop zal de Europese Verordening er nog een schepje bovenop gaan doen. CIP heeft categorieën geformuleerd waarmee reikwijdte, intentie, status en/of draagvlak van CIPpublicaties wordt aangegeven. Deze publicatie valt in categorie 2: "becommentarieerde praktijk: een door meerdere professionals veralgemeniseerde praktijk als handreiking voor hergebruik 2 binnen geïnteresseerde organisaties".

1

Zie de Leeswijzer over AVG ipv EPV.

2

Zie www.cip-overheid.nl: "De totstandkoming en status van CIP-publicaties".




0.9 Pagina

6 van 55

Bij het opstellen van het eerste concept is gebruik gemaakt van twee actuele interne notities over de Meldplicht datalekken van de SVB en UWV, van de hand van Hatice Dogan en Mieke Anema (respectievelijk beleidsjurist SVB en juridisch adviseur UWV en beide lid van de domeingroep Privacy). Tevens is dankbaar gebruik gemaakt van bijdragen van Privacy Management Partners, waaronder een update over de besluitvorming in het AVG-traject. De keuze van de overige toegevoegde artikelen en verwijzingen is gemaakt door de redactie. Tenslotte zijn natuurlijk ook inhoudelijke bijdragen van diverse reviewers verwerkt. 1.3

Samenvatting

Het doel van het wetsvoorstel Meldplicht datalekken is beperking van de schade voor betrokkenen ten gevolge van 'datalekken'. De meldplicht geldt voor de verantwoordelijke voor de verwerking 3 van persoonsgegevens (niet: de bewerker ) en wordt opgenomen in de Wet bescherming persoonsgegevens (Wbp) als een nieuw artikel 34a. De norm bevat een verplichting voor de verantwoordelijke tot kennisgeving aan het College bescherming persoonsgegevens (CBP) én de betrokkenen. De verantwoordelijke verwerker van gegevens in de zin van de Wbp moet het CBP onverwijld in kennis stellen van het datalek, als sprake is van een inbreuk die aan de volgende kenmerken voldoet: 4 er is een inbreuk op de beveiligingsmaatregelen als bedoeld in artikel 13 Wbp waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkenen zijn verbonden. De verantwoordelijke moet ook de betrokkenen, wier gegevens in het geding zijn, in kennis stellen van de inbreuk als: de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen. De kennisgeving aan het CBP en de betrokkenen omvat: de aard van de inbreuk; de instantie(s) waar meer informatie over de inbreuk kan worden verkregen; de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Naast de bovengenoemde verplichtingen omvat de kennisgeving aan het CBP tevens: een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens; de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De verantwoordelijke stelt de betrokkenen in kennis van de mogelijke gevolgen van de inbreuk voor hun persoonlijke levenssfeer en adviseert de betrokkenen over de door hen te nemen maatregelen ter beperking van schade. De wet bepaalt straks expliciet dat een behoorlijke en zorgvuldige informatievoorziening gewaarborgd moet zijn naar de betrokkenen.

3

Zie voor deze en andere begrippen Bijlage 1 op pagina 29.

Verantwoordelijke is verplicht om technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. 4




0.9 Pagina

7 van 55

De verantwoordelijke moet een register bijhouden van inbreuken - ook de inbreuken die hij niet of mogelijk niet bij het CBP hoeft te melden! - en de gegevens over de meldingen bewaren. Bij niet tijdige melding kan het CBP: een aanwijzing geven om alsnog te melden; een boete opleggen. De bedoeling van de wetgeving is duidelijk, maar de feitelijke uitvoering ervan kan nog wel voor problemen en discussies zorgen: niet alle criteria om vast te stellen of er sprake is van een meldplicht zijn 'harde criteria'; de wijze waarop het CBP de handhavingsrol gaat invullen is nog niet duidelijk; hoe de aankomende nationale wetgeving en de invoeringstermijnen zich gaan verhouden tot de - op punten strengere - AVG is eveneens nog onduidelijk. Naast de op stapel staande Meldplicht datalekken is onlangs ook een consultatieronde afgesloten voor een wetsvoorstel Meldplicht inbreuken op elektronische systemen. Onder dat voorstel hoeft er geen sprake te zijn van persoonsgegevens. De Algemene Verordening Gegevensbescherming komt summier ook ter sprake. Summier omdat de daarvoor nog een indrukwekkende serie geschilpunten moet worden uitonderhandeld. Maar enkele dingen staan wel vast: op punten is de AVG strenger dan de nationale wetsvoorstellen; na inwerkingtreding van de AVG wordt deze regeling direct werkend recht en wordt de Wbp ingetrokken; qua timing zit de AVG de (vertraagde) invoering van de nationale wetgeving op de hielen; 5 aanname in het Europarlement wordt medio 2014 verwacht , daarna is er nog wel een invoeringstermijn van 2 jaar. De bijlagen bevatten onder meer de integrale teksten van de Meldplichtvoorstellen en toelichtingen en een overzicht van andere meldplichten. 2

Bespreking van de wetsvoorstellen

In de volgende paragrafen worden de onderhavige wetsvoorstellen kort inhoudelijk behandeld. De informatie over de twee Nederlandse wetsvoorstellen is voor het grootste deel afkomstig uit de bijgeleverde Memories van toelichting. Omdat het - vreemd genoeg - nog lastig is om alle bij elkaar horende stukken op het internet te vinden, zijn de teksten van beide wetsvoorstellen en de artikelsgewijze toelichtingen toegevoegd in Bijlage 6 en Bijlage 7. 2.1

Meldplicht datalekken

In de Memorie van Toelichting (MvT) bij het wetsvoorstel staat in de eerste paragraaf een compacte en strakke samenvatting van het wetsvoorstel. Beetje lastig te lezen, maar wel zeer compleet: "Algemeen - Strekking van het wetsvoorstel In dit wetsvoorstel wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (hierna: Wbp) voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. De verantwoordelijke moet op grond van het voorgestelde artikel 34a van de Wbp bij een inbreuk waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens een melding doen 5

Deze planning staat mogelijk onder druk n.a.v. de NSA-affaire(s).




0.9 Pagina

8 van 55

bij de toezichthouder, het College bescherming persoonsgegevens (hierna: CBP). Daarnaast dient in de meeste gevallen een melding aan de betrokkene te geschieden indien de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als publieke sector. Het nalaten aan deze verplichtingen te voldoen kan worden gesanctioneerd met een bestuurlijke boete, op te leggen door het CBP. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen en als deze zich toch voordoen, de gevolgen ervan voor de betrokkenen zoveel mogelijk te beperken. Met de meldplicht wordt bijgedragen aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens." Einde citaat. Het voorstel heeft niet geleid tot een aparte wet maar tot een uitbreiding van de Wbp met artikel 34a Wbp. De Nederlandse wetgever gaat hiertoe over in het zicht van het verschijnen van een Europese Verordening inzake de verwerking van persoonsgegevens (de Algemene Verordening Gegevensbescherming, AVG) waarin ook een meldplicht datalekken is geformuleerd. De MvT zegt hierover het volgende: "Op 25 januari 2012 heeft de Europese Commissie een voorstel gepresenteerd voor een Algemene verordening gegevensbescherming (COM (2012)11 def). Deze verordening zal richtlijn 95/46/EG vervangen en daarmee ook de Wbp (de richtlijn is in Nederland in de Wbp geïmplementeerd). De artikelen 31 en 32 van de ontwerpverordening bevatten een algemene regeling voor een meldplicht van datalekken aan de toezichthouder respectievelijk de betrokkene. Mede naar aanleiding van het advies van CBP is overwogen of de regeling van dit wetsvoorstel niet volledig moet worden toegesneden op die van de ontwerpverordening. Ook in de zienswijzen van andere organisaties is daarop aangedrongen, zoals VNO/NCW-MKB Nederland en ICT-Office.Daarvan wordt afgezien. De regeling van de meldplicht in de ontwerpverordening geeft in dit stadium nog te veel aanleiding tot vragen over de reikwijdte van de daarin opgenomen verplichtingen en de invulling van de daarbij in acht te nemen voorwaarden. Het is nog te prematuur om ervan uit te gaan dat de Europese wetgever met een redelijke mate van zekerheid regeling overeenkomstig het voorstel zal vaststellen. Naar verwachting zal het bovendien nog geruime tijd duren voor de ontwerpverordening wordt vastgesteld. Toch is het advies van het CBP aanleiding geweest het aanvankelijke voorstel voor artikel 34a van de Wbp tekstueel zo nauw mogelijk te laten aansluiten bij artikel 11.3a van de Telecommunicatiewet dat de implementatie vormt van artikel 4, derde lid, van richtlijn 2002/58/EG. Deze bepaling bevat een specifieke meldplicht voor aanbieders van openbare elektronische communicatiediensten met betrekking tot datalekken, die ook ten grondslag ligt aan de artikelen 31 en 32 van de ontwerpverordening. Naar verwachting zal de verordening niet eerder dan in 2016 in werking treden." De Nederlandse wetgever kiest dus voor een eigen tekst in plaats van exact de tekst over te nemen uit het voorstel van de AVG, aangezien de tekst ervan nog te onzeker is. Wel heeft de wetgever de formulering van het voorstel zo dicht mogelijk laten aansluiten op de tekst van de meldplicht die reeds in de Telecommunicatiewet is opgenomen. Deze wet zich richt tot de aanbieders van openbare elektronische diensten. Overigens zal ook de Telecommunicatiewetbepaling mettertijd vervangen worden door de regeling in de AVG die ook bewerkers in de meldplicht omvat. We lezen verder: de wet adresseert ' verantwoordelijke(n) voor de verwerking van persoonsgegevens'. Het is niet relevant of de verantwoordelijke een natuurlijke persoon of rechtspersoon is. Evenmin is relevant of de verantwoordelijke deel uitmaakt van de publieke of de private sector. De verantwoordelijkheid binnen de gangbare opdrachtgever - opdrachtnemer relatie in geval van inkoop van diensten komt nog ter sprake in paragraaf 2.1.6.




0.9 Pagina

9 van 55

Tot zover is het voorstel op zichzelf helder en is er weinig tot geen ruimte voor interpretatie . Hierna wordt het lastiger: 7 er moet sprake zijn van 'gebleken doorbreking van de getroffen maatregelen ter beveiliging van persoonsgegevens', waarbij bovendien: een 'aanmerkelijke kans op verlies of misbruik' zou kunnen bestaan. met als extraatje dat moet worden ingeschat of deze gebeurtenis 'ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van betrokkene(n)' 6

Dat is nogal wat. Het merendeel van de lezers zal feilloos aanvoelen wat de bedoeling is. Maar tegelijkertijd berust de werking van de wet dus op een reeks van beoordelingen en interpretaties, die op de eerste plaats moeten worden gemaakt door de 'verantwoordelijke' voor de gegevensverwerking. En in veel gevallen zal die het onaangenaam en mogelijk schadelijk vinden om aan de daaruit voortvloeiende meldverplichting(en) te voldoen. Het melden van falende beveiliging is immers nooit leuk en kan naast imagoschade ook commerciële schade met zich meebrengen. Anderzijds is het niet ondenkbaar dat na verloop van tijd het publiek de openbaarheid juist als een positieve kant van een organisatie of bedrijf zal gaan waarderen. Omdat de verantwoordelijken, naast imago- en herstelschade, ook kans lopen op een forse boete 8 (€450 duizend - €100 mln? ), is het te verwachten dat zij in voorkomende gevallen bij alle punten van interpretatie de grenzen van de meldplicht zullen opzoeken en getoetst willen zien. Daarnaast is het niet ondenkbaar dat de financiële schade als gevolg van een datalek een verzekerbaar risico wordt, misschien ook de boete zelf. Het ongewenste effect daarvan zou kunnen zijn dat verantwoordelijken op deze wijze de inspanningen en betrokkenheid, die eigenlijk nodig zijn, simpelweg afkopen. 2.1.1

Vertrouwen

De benaderingswijze van de wetgever is sterk gebaseerd op het publiek belang bij het kunnen vertrouwen op een juiste en veilige verwerking van persoonsgegevens, volgens de normen van de wet: "Wat de Wbp betreft, geldt dat de wetgever door middel van algemeen-abstract geformuleerde normen, een relatief grote mate van vrijheid, en dus ook vertrouwen, geeft aan de bedrijven, instellingen en burgers die onder de reikwijdte van de wet vallen. Bij het geven van vertrouwen hoort echter ook het afleggen van een zekere mate van rekenschap aan samenleving en de kringen van betrokkenen. Wanneer er een reëel risico is voor verlies of onrechtmatige verwerking van persoonsgegevens, of wanneer dat risico zich heeft verwezenlijkt, kan dat vertrouwen in meer of minder ernstige mate worden geschaad. Het is in het belang van zowel de verantwoordelijke als de betrokkene dit vertrouwen zo snel mogelijk te herstellen. Transparantie over de aard van het datalek, de vermoedelijke omvang ervan en aard van de mogelijke schade, de inspanningen die gepleegd worden om de schade te herstellen en raadgevingen aan publiek en klanten om zichzelf zo goed mogelijk in staat te stellen de consequenties voor de eigen belangen te overzien zijn noodzakelijke maatregelen voor behoud en herstel van dat vertrouwen. Dat vertrouwen wordt ondersteund doordat onafhankelijke toezichthouders (CBP c.q. Autoriteit Consument en Markt) in staat worden gesteld zich een Wij gaan voorbij aan het gegeven dat de definitie van een 'persoonsgegeven' nog wel wat interpretatieruimte laat en af en toe ook wordt getoetst bij de rechter. 6

De voorgestelde meldplicht voor datalekken staat in nauw verband met de beveiligingsverplichting van artikel 13 van de Wbp, dat is de verplichting voor de verantwoordelijke om 'passende' technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Ook dit is niet zonder interpretatieruimte. 7

De boetebedragen zijn ten tijde van schrijven van deze passage aan het schuiven, in de voorstellen voor de AVG is nu sprake van max 100 mln of 5% jaaromzet, het Nederlandse wetsvoorstel spreekt nog steeds van €450.000. 8




0.9 Pagina

10 van 55

eigen beeld te vormen van de feiten, een oordeel kunnen geven over de genomen maatregelen, onder omstandigheden vertrouwelijk met de verantwoordelijke kunnen overleggen en zonodig kunnen interveniëren.Als sluitstuk op het geheel wordt het nalaten aan deze verplichting te voldoen gesanctioneerd met een bestuurlijke boete." 2.1.2

Reikwijdte

In het voorstel is pas sprake van een onder de meldplichtbepaling vallend datalek als de technische en organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd en de persoonsgegevens blootgesteld zijn aan een aanmerkelijke kans op verlies of onrechtmatige verwerking. Daarbij hoeft niet noodzakelijkerwijs sprake te zijn van verwijtbaar onvoldoende beveiligingsmaatregelen. De beveiliging kan op orde zijn en niettemin worden teniet gedaan of omzeild. Denk bijvoorbeeld aan een hack van een ICT-systeem dat persoonsgegevens bevat of de diefstal 9 van een laptop of mobiele telefoon uit een afgesloten locker . Verwijtbaar/toerekenbaar tekortschieten kan variëren van een niet adequate en vakkundig toegepaste beveiliging van de bestanden of de gegevens, tot menselijke fouten van ondergeschikten. Denk bijvoorbeeld aan het slordig omgaan met het beheer van wachtwoorden die toegang geven tot informatiebestanden of aan situaties van het per ongeluk verkeerd adresseren van een brief of e-mail die persoonsgegevens bevat, het als oud papier aanbieden van gevoelige stukken, of het zoekraken van een mobiele telefoon of een geheugenstick. De meldplicht geldt alleen dan niet wanneer voorzieningen van algemene aard die niet specifiek zijn gericht op de beveiliging van persoonsgegevens worden aangetast. Als bijvoorbeeld een blikseminslag tot gevolg heeft dat het gebouw afbrandt, waarbij ook persoonsgegevens verloren 10 gaan, zal niet van een inbreuk op de beveiligingsmaatregelen kunnen worden gesproken. Het blijft lastig. Het is immers goed voorstelbaar dat bij een calamiteit persoonsgegevens verloren gaan op een wijze die het mogelijk maakt dat zij toch in verkeerde handen kunnen vallen. De letterlijke wettekst biedt strikt genomen geen grond voor een stellige uitzondering als de MvT hier lijkt te maken. Het zal van geval tot geval beoordeeld moeten worden. Zie ook de volgende twee paragrafen, met name paragraaf 2.1.4. 2.1.3

Ongeoorloofde toegang en misbruik

Het begrip ongeoorloofde toegang snijdt door zowel verwijtbare als onverwijtbare inbreuk heen. Ongeoorloofde toegang kan het gevolg zijn van een hack, diefstal, of verlies van gegevens, maar ook van slordig of opzettelijk foutief handelen van personeel in relatie tot persoonsgegevens. De suggestie om de meldplicht te laten gelden voor elke vorm van ongeoorloofde toegang wordt in dit wetsvoorstel niet gevolgd. De wetgever erkent dat ongeoorloofde toegang kan leiden tot datalekken, die meldplichtig zijn. 'Hacken' is daarvan het meest aansprekende voorbeeld, maar ook de nalatige omgang met wachtwoorden of vergelijkbare voorzieningen in een werkomgeving. In de praktijk zal ongeoorloofde toegang moeilijk te onderscheiden zijn van het oneigenlijke gebruik of misbruik maken van gegevens na op zichzelf geoorloofde toegang. 11

9

Dit en andere voorbeelden hierna zijn afkomstig uit de MvT.

10

Letterlijk citaat uit MvT, paragraaf 3.1 "Inbreuk op beveiligingsmaatregelen".

11

Met name gedaan door Bits of Freedom, tijdens de consultatieronde. © Centrum voor Informatiebeveiliging en Privacybescherming



0.9 Pagina

11 van 55

Er is dan geen sprake van het inbreuk maken op beveiligingsmaatregelen, maar het misbruik maken van vertrouwen. Hoe schadelijk dit ook kan zijn, dat is niet het onderwerp van dit 12 wetsvoorstel. " Het is een dun lijntje: opzettelijk ongeoorloofde toegang verkrijgen, vergelijkbaar met hacken van binnenuit, is meldplichtig. Het opzettelijk ongeoorloofd handelen met persoonsgegevens die op rechtmatige wijze werden verkregen, dus binnen ongeschonden organisatorische en technische beveiligingsmaatregelen, is misbruik (bijvoorbeeld: schending van de doelbinding), maar niet een datalek waarop de meldplicht ziet. 2.1.4

Voorkomen van nodeloze meldingen

De effectiviteit van de meldplicht voor datalekken zal snel aan betekenis verliezen wanneer elk denkbaar datalek in aanmerking komt om te worden gemeld. Een meldplicht zonder enige beperking leidt bovendien tot een nodeloze belasting van bedrijfsleven en overheid. De voorziening in de Wbp houdt volgens de letterlijke tekst in dat de verantwoordelijke niet elke inbreuk op de beveiliging van persoonsgegevens behoeft te melden, maar alleen die inbreuken waarvan 'redelijkerwijs' kan worden aangenomen dat die leiden tot een 'aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens' die door hem worden verwerkt. Dit geldt zowel voor de meldplicht van de verantwoordelijke aan het CBP als aan de betrokkene. De bezorgdheid over verlies van betekenis en nodeloze kosten heeft niettemin tot gevolg dat inbreuken dus niet alleen moeten worden gemeld bij daadwerkelijk verlies of onrechtmatige verwerking van persoonsgegevens, maar ook bij en reëel risico daarop. Hierover meer in de volgende paragraaf. 2.1.5

Beslismodel meldplicht Wbp

In de MvT wordt erop gewezen dat een goede werking van onderstaande beslismodel, meer in het bijzonder: op de punten waarop risicoinschattingen moeten worden gemaakt, een essentiële voorwaarde vormen voor de werking en het succes van het wetsvoorstel. Verderop in dit document komen wij nog op terug de inventarisatie van wat dit allemaal, in combinatie met tijdigheid, voor de implementatie en correcte uitvoering gaat betekenen (paragraaf 4 "Wat moet u regelen?") Bij de vraag of aan de meldplicht moet worden voldaan, kan de verantwoordelijke het volgende 13 beslismodel langslopen . 1

Inbreuk ja/nee?

Is er sprake is van een inbreuk op de getroffen beveiligingsmaatregelen.

2a

Persoonsgegevens?

2b

Aanmerkelijke kans op onrechtmatige verwerking?

Kan redelijkerwijs worden aangenomen dat er een aanmerkelijke kans is op nadelige gevolgen voor de bescherming van de persoonsgegevens? (verlies, aantasting, toegang door onbevoegden)

Die nadelige gevolgen kunnen zich dan vooral voordoen in de vorm van verlies of onrechtmatige verwerking. Tegen die schade wil artikel 13 van de Wbp bescherming bieden. Die laatste stap vergt een beoordeling die zo geobjectiveerd mogelijk moet zijn. De aanmerkelijke kans dat persoonsgegevens zijn blootgesteld aan nadelige gevolgen in de vorm van verlies of onrechtmatige Merk op dat deze redenering ook zou moeten opgaan voor het voorstel Meldplicht inbreuken op elektronische systemen. 12

13

Zie paragraaf 4.4.1 voor een overzichtelijke weergave van de beslisboom.




0.9 Pagina

12 van 55

verwerking moet redelijkerwijs aanwezig zijn. Dat moet naar feitelijke omstandigheden van het geval worden vastgesteld. Het risico zal zich bij een geslaagde aanval van hackers eerder voordoen dan bij fysieke schade aan het gebouw waar zich de ICT-apparatuur bevindt waarmee de verwerking plaatsvindt. Een 'aanmerkelijke kans': niet elk risico rechtvaardigt immers een melding. Of er sprake is van een aanmerkelijke kans is eveneens afhankelijk van de concrete feiten en omstandigheden. De aard van de inbreuk zal doorgaans van belang zijn bij het bepalen van de grootte van het risico. Het is niet goed mogelijk aan te geven of het verlies van een mobiele telefoon, de diefstal van een laptop of het zoekraken van een geheugenstick wel of geen aanleiding geeft een melding te doen. Of die noodzaak aanwezig is, is afhankelijk van de aard van de data die het betreft en het in te schatten vermoedelijke risico dat de betrokkene en de verantwoordelijke lopen ingeval van zoekraken of onrechtmatige verwerking. 3

Zijn ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene redelijkerwijs te voorzien?

Is het aannemelijk dat, wanneer de aanmerkelijke kans op verlies of onrechtmatige verwerking zich verwezenlijkt, daaraan ongunstige gevolgen zijn verbonden voor de persoonlijke levenssfeer van de betrokkene.

Omvang en aard van de verwerking en de aard en combinatie van de betrokken gegevens zijn mede bepalend voor de vraag of de verwezenlijking van het risico ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen kan hebben. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het CBP. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan 14 worden gevergd dat zij een zekere mate van risico aanvaarden. Maar een datalek bij - bijvoorbeeld - de Belastingdienst of de Sociale Verzekeringsbank (SVB) of een commerciële bank of verzekeraar is doorgaans van geheel andere orde. Een datalek bij dergelijke instellingen kan leiden tot financieel nadeel bij de betrokkene of tot de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht. De MvT eindigt de toelichtende paragraaf met de verwachting dat het CBP nog met nadere richtsnoeren voor de uitvoering zal komen ten behoeve van "indirect enig houvast" voor de praktijk. 2.1.6

Verhouding verantwoordelijke voor de verwerking en bewerker

De voorgestelde meldplicht richt zich tot de verantwoordelijke in de zin de van de Wbp, en nadrukkelijk tot niemand anders. Dit blijft zo wanneer een verantwoordelijke zich bedient van een bewerker. Weliswaar zal de bewerker de partij zijn die feitelijk belast is met het ten uitvoer leggen van de passende technische en organisatorische maatregelen ter beveiliging van de verwerkte gegevens, maar de verantwoordelijke heeft en houdt expliciet de zorg voor naleving van deze verplichtingen en is de (enige) partij die meldplichtig is wanneer zich incidenten bij bewerker voordoen die daartoe aanleiding geven. Verantwoordelijke en bewerker, doorgaans in een opdrachtgever-opdrachtnemer relatie, zullen hierover in de bewerkersovereenkomst afspraken moeten maken. Deze afspraken moeten er onder meer toe leiden dat bewerker de verantwoordelijke onmiddellijk - in ieder geval tijdig met het oog op de wettelijke reactietermijn - op de hoogte stelt van incidenten die mogelijk tot melding moeten leiden.

Toch is ook dit een discutabele bewering, afkomstig uit de MvT (par. 3.2.2 "Beslismodel meldplicht Wbp"). Immers, als de administratie bijvoorbeeld ook bankrekeningnummers of vakantieplanningen van leden bevat, dan is het goed denkbaar dat er een (lokale) afzetmarkt voor bestaat… 14




0.9 Pagina

13 van 55

2.1.7

Kennisgeving aan betrokkene en aansprakelijkheidsrecht

Het doen van een kennisgeving van een datalek aan de betrokkene ontheft de verantwoordelijke niet van eventuele burgerrechtelijke aansprakelijkheid voor schade die voortvloeit uit het toerekenbaar niet of niet voldoende naleven van de verplichting neergelegd in artikel 13 van de Wbp. Dit aspect is doorgaans wat onderbelicht gebleven in de beschouwingen over het wetsvoorstel, maar de MvT bevat in dit verband waarschuwingen voor zowel de verantwoordelijke als de betrokkene zelf. "De kennisgeving aan de betrokkene is een uiting van de algemene verplichting tot schadebeperking die deel uitmaakt van het aansprakelijkheidsrecht, met inbegrip van het bijzondere aansprakelijkheidsrecht van de Wbp (art. 49). Verantwoordelijken doen er daarom goed aan dit bij de afweging om wel of geen kennisgeving aan betrokkenen te doen mee te nemen". Hier wordt gerefereerd aan het risico van schadeclaims wanneer geen kennisgevingen worden gedaan aan de betrokkenen met adviezen over hoe zij hun schade zouden kunnen beperken. De schades en daarmee de eventuele claims kunnen dan hoger uitvallen en dan wanneer de verantwoordelijke tijdig de betrokkene had geadviseerd. "Handelt de betrokkene nadat hem een kennisgeving is gedaan niet overeenkomstig de door de verantwoordelijke voorgestelde maatregelen, en vloeit daaruit schade voor hem voort, dan kan onder omstandigheden sprake zijn van eigen schuld van de betrokkene". De keerzijde: als de betrokkene de aanbevelingen van de verantwoordelijke niet in acht neemt, zou hem bij het stellen van schade tegengeworpen kunnen worden dat hij zelf onvoldoende heeft gedaan om de schade te beperken, waardoor hij een deel van de schade mogelijk niet zal kunnen verhalen op de verantwoordelijke. Elders in de stukken wordt duidelijk dat het bij de schadebeperkende maatregelen die de betrokkenen worden geadviseerd te nemen kan gaan om adviezen als : 'wijzig uw wachtwoord' of: 'laat uw creditcard blokkeren'. De wetgever maakt hier ons inziens duidelijk dat de verantwoordelijke, of hij nu gemeld heeft of niet, aangesproken kan worden voor de schade voortvloeiend uit een datalek en dat het ontwijken van de meldplicht en de verplichting om de betrokkenen zo goed mogelijk te informeren in de aangewezen gevallen, hem duur(der) kan komen te staan. 2.1.8

Verhouding tot meldplicht incidenten Wet op het financieel toezicht

De meldplicht voor datalekken is ook van toepassing op de financiële sector, maar: een financiële onderneming wordt niet verplicht om datalekken te melden aan betrokkenen. Dit is in lijn met de bestaande praktijk dat een financiële onderneming incidenten wel moet melden aan de financieel toezichthouder, maar niet aan betrokkene. Openbare kennisgevingen aan betrokkenen zijn in de financiële sector te risicovol om dwingend te worden voorgeschreven. De zorgplicht van de financiële onderneming zal waarborgen dat zij ook zonder dat dit dwingend wordt voorgeschreven haar verantwoordelijkheid jegens haar cliënten in rechtstreeks contact met die cliënten zal nemen (zie ook Bijlage 2: "Overzicht huidige en toekomstige meldplichten").




0.9 Pagina

14 van 55

2.1.9

Administratieve lasten en nalevingskosten

De aanpassing van de Wbp betreft een geheel nieuwe verplichting, in ieder geval voor wat betreft het element van de verwittiging en advisering van de betrokkene. In de MvT wordt niettemin een kosteninschatting gemaakt op basis van gegevens over reeds bestaande meldplichten, met name die voor de Telecommunicatiewet: "Aangenomen wordt dat een melding €16,60 aan nalevingskosten oplevert (een melding aan betrokkenen en het bijhouden van een protocol, elk gewaardeerd op €8,30), en €8,30 aan administratieve lasten (melding aan het CBP). Die bedragen zijn gebaseerd op een uurtarief 15 van €50,= en een last per geval van 10 minuten ." 2.2

Meldplicht inbreuken op elektronische informatiesystemen

De informatie over deze "Wet houdende regels over het melden van een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving (Wet melding inbreuken elektronische informatiesystemen)" is 16 gebaseerd op het concept ontwerp van 16 juli 2013 t.b.v. consultatie . In tegenstelling tot de voorgestelde Wet datalekken die, volgens de planning althans, in september 2013 een feit had moeten zijn, is hier nog een langer traject af te leggen. Overigens net als bij de Wet datalekken zit de Europese wetgeving ook hier de Nederlandse wetgeving op de hielen. Dit wetsvoorstel sluit aan bij de ambitie van de Europese Commissie om EU-breed te komen tot een meldplicht voor overheden en vitale marktpartijen die bijdraagt aan het verhogen van de digitale veiligheid. Maar zoals het er nu naar uit ziet wordt het toch wat verwarrend. De AVG krijgt heeft een meldplicht die ruimer is dan die welke de Wet datalekken/de Wbp voorschrijft, omdat de meldplicht zich ook richt tot de bewerker van persoonsgegevens. Waarschijnlijk is echter deze brede meldplicht niet gelijk te stellen aan de voorgenomen Wet melding inbreuken elektronische informatiesystemen, onder andere omdat deze laatste wet zich niet beperkt tot inbreuken waarbij persoonsgegevens zijn gemoeid. Anders dan in de voorgaande paragraaf bij de bespreking van het voorstel over datalekken, onthouden we ons voorlopig nog van detailcommentaar. Dit heeft alles te maken met de consultatieronde, waarin we geen van de CIP-organisaties in de weg willen zitten bij eventuele reacties op het wetsvoorstel. 2.2.1

Het voorstel in het kort

Dit wetsvoorstel introduceert een meldplicht voor een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen (hierna ook: ICT-inbreuken). Het doel is om het risico van maatschappelijke ontwrichting als gevolg van ICT-inbreuken in te schatten en die ontwrichting te voorkomen of in elk geval zo veel mogelijk te beperken. Deze meldplicht is niet beperkt tot gevallen waarbij persoonsgegevens in het geding zijn. De meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, en alleen als de inbreuk tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken.

Onlangs is becijferd dat een gemiddeld datalek in totaal al gauw 100 tot 150 euro kost per klant of medewerker waarvan gegevens kwijt raken. Bron: Ponemon Institute - 2013 Cost of Data Breach Study, zie bijlage Bijlage 1. 15

16

Einddatum consultatie 17-09-2013; http://www.internetconsultatie.nl/meldplicht_ict_inbreuken




0.9 Pagina

15 van 55

De meldplicht zal ook gelden voor de financiële sector en de overheid zelf. De meldplicht geldt alleen voor bij algemene maatregel van bestuur aan te wijzen aanbieders van daarbij aan te wijzen producten of diensten; De melding moet worden gedaan aan de Minister van Veiligheid en Justitie en wordt behandeld door het Nationaal Cyber Security Centrum (NCSC); Het NCSC kan vervolgens: - inschatten hoe groot de impact is - hulp verlenen aan de getroffen aanbieder; - andere vitale aanbieders waarschuwen. Hulp door het NCSC aan de getroffen organisatie behelst het bieden van handelingsperspectief door het geven van advies en informatie en het coördineren van de inzet van andere (overheids)organisaties of daar waar noodzakelijk het bieden van technische ondersteuning om de gevolgen van een inbreuk te beperken. 2.2.2

Vertrouwen, geen sancties

Om de drempel laag te houden kent de voorgestelde meldplicht niet de mogelijkheid van sanctionering en is de meldplicht primair gericht op het bieden van hulp. Het is van belang dat de meldingen in vertrouwen gedaan kunnen worden om kwetsbaarheden te beperken dan wel in de toekomst te vermijden. 2.2.3

Melding

Hoewel meldingen qua aard per vitale sector kunnen verschillen, worden in ieder geval de volgende elementen verwacht: Inzicht te geven in de aard en omvang van de ICT-inbreuk; Een specificatie van het soort getroffen systemen; Het tijdstip van aanvang van de betrokken ICT-inbreuk; De reeds getroffen maatregelen en de te verwachten hersteltijd; Contactgegevens. 2.2.4

Meldplichtige partijen

De meldplicht betreft aanbieders van vitale producten of diensten binnen de sectoren: elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport (mainports Rotterdam en Schiphol). Denk daarbij aan aanbieders zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen, banken, het Havenbedrijf Rotterdam, de NV Luchthaven Schiphol en Luchtverkeersleiding Nederland. Het gaat om onderdelen van de vitale infrastructuur waarbij een inbreuk direct of indirect (cascade-effect) tot maatschappelijke ontwrichting kan leiden. De aanbieders en hun concrete producten en diensten waarvoor de meldplicht gaat gelden, zullen worden aangewezen bij algemene maatregel van bestuur. 2.2.5

Te melden ICT-inbreuken (DDos is geen inbraak)

De meldplicht in dit wetsvoorstel ziet alleen op een daadwerkelijke inbreuk op de veiligheid en op een daadwerkelijk verlies van integriteit van een elektronisch informatiesysteem. Verstoringen waarbij geen sprake is van een dergelijke ICT-inbreuk, zoals DDosaanvallen, vallen daar niet onder. Partijen hebben natuurlijk wel altijd de mogelijkheid om ernstige verstoringen van de bereikbaarheid vrijwillig aan het NCSC te melden.




0.9 Pagina

16 van 55

De aan te wijzen organisaties in de vitale sectoren zijn niet verplicht om élke ICT-inbreuk aan het NCSC te melden. De verplichting alleen als "de inbreuk tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid van het aangewezen product of de aangewezen dienst in belangrijke mate wordt of kan worden onderbroken". 2.2.6

Vertrouwelijkheid

In de artikelsgewijze toelichting bij artikel 6 lezen wij: "Het belang van het voorkomen of beperken van maatschappelijke ontwrichting neemt met zich mee dat verstrekte gegevens ook gebruikt mogen worden als basis voor advies en informatie aan andere aangewezen aanbieders als bedoeld in artikel 2, aan door de minister aangewezen CERT's en aan het publiek". Soms zal de voorlichting alleen effectief kunnen zijn als de aanbieder of het product of de dienst concreet wordt aangeduid, bijvoorbeeld om het publiek te waarschuwen dat een bepaald product of een bepaalde dienst tot nader order beter niet gebruikt kan worden. "Tenzij de staatsveiligheid in het geding is, mogen de verstrekte gegevens ook als basis voor publieksvoorlichting worden gebruikt. Daarbij zal het veelal niet nodig zijn om gegevens te verstrekken die herleid kunnen worden tot afzonderlijke aanbieders of afzonderlijke producten en diensten, bijvoorbeeld als het publiek gewaarschuwd moet worden voor de risico's van een door internetcriminelen gehanteerde werkwijze.(…) De beslissing om dergelijke voorlichting te geven, vergt een belangenafweging. Zo zal het belang van het publiek om op de hoogte te zijn niet altijd opwegen tegen het belang van de betrokken aanbieder. Denkbaar is ook dat de bekendmaking de maatschappelijke schade juist vergroot in plaats van voorkomt of beperkt. Het NCSC zal zo mogelijk de betrokken toezichthouder betrekken bij deze belangenafweging". 2.2.7

Verhouding tot sectorale meldplichten en het wetsvoorstel meldplicht datalekken

Voor enkele sectoren geldt voor ICT-inbreuken al een verplichting tot melding aan de sectorale 17 toezichthouder . Maar ook als een reeds moet worden gemeld bij een ander overheidsorgaan, is het cruciaal dat de inbreuk óók onverwijld en rechtstreeks aan het NCSC wordt gemeld, om vertraging in het daar waar nodig bieden van hulp zo veel mogelijk te beperken en om het delen van informatie over de kwetsbaarheid met andere mogelijk getroffenen te bespoedigen. De voorgestelde meldplicht sluit aan op het bestaande stelsel van sectorale meldplichten en treedt niet in de thans geldende sectorale bevoegdheden. Daarmee laat de voorgestelde meldplicht ook de bestaande crisisbeheersingsstructuren onverlet. 2.2.8

Verhouding tot wetsvoorstel meldplicht datalekken

Bij een inbreuk op de veiligheid of een verlies van integriteit hoeven niet noodzakelijkerwijs ook persoonsgegevens in het geding te zijn. Daarbij valt te denken aan geautomatiseerde proces18 controlesystemen ten behoeve van het aansturen van fysieke processen . Niettemin kan het zich voordoen dat een ICT-inbreuk onder beide meldplichten valt. In dat geval moet de inbreuk derhalve zowel bij het NCSC als bij het CBP worden gemeld.

17

Zie bijlage Bijlage 2: Overzicht huidige en toekomstige meldplichten.

Het kan ook omgekeerd: Persoonsgegevens worden (digitaal) gestolen, maar deze gegevens zijn versleuteld: vrijgesteld derhalve van melding als datalek, niettemin een inbreuk. 18




0.9 Pagina

17 van 55

2.2.9

Verhouding tot EU-richtlijnen

Een belangrijke recente internationale ontwikkeling op het terrein van cybersecurity is de in februari gepubliceerde Europese Cyber Security Strategie (JOIN(2013) 1 final, Kamerstukken II 2012/13, 22 112, nr. 1588) alsmede het (ook in deze strategie genoemde) ontwerp van een Netwerk-en Informatiebeveiligingsrichtlijn (hierna te noemen: NIB-richtlijn, COM(2013) 48, Kamerstukken II 2012/13, 22 112, nr. 1588, en Kamerstukken II 2012/13, 33 602, nr. 1). De Europese onderhandelingen over het ontwerp van deze NIB-richtlijn zijn inmiddels begonnen. De ontwerp-richtlijn zet in op het toegenomen belang van samenwerking binnen de Europese Unie op het terrein van informatiebeveiliging en ziet op het opbouwen van nationale capaciteiten, de coördinatie bij grensoverschrijdende inbreuken, en publiek-private samenwerking. 2.2.10 Naleving Het NCSC gaat geen toezicht houden op de naleving van de meldplicht en krijgt ook geen handhavingsbevoegdheden. De motivatie: "De doelgroep is beperkt tot de rijksoverheid en de vitale aanbieders in de randvoorwaardelijke sectoren. Het nut en de noodzaak van het delen van vertrouwelijke gegevens met betrekking tot ICT-inbreuken die ernstige gevolgen hebben of kunnen krijgen, wordt hier breed gedragen". 2.2.11 Administratieve lasten en nalevingskosten Evenals bij de Meldplicht datalekken wordt ook hier een indicatie ontleend aan de praktijk vanuit de Telecommunicatiewet. De totale administratieve lasten van die meldplicht zijn geraamd op circa €277.000 per jaar, uitgaande van 10 meldingen per aanbieder per jaar en van 486 aanbieders. Als we dit zelf even rechtlijnig doorrekenen, dan kost het een gemiddelde meldplichtige €570 per 19 jaar . 3

De Europese Privacyverordening

De Algemene Verordening Gegevensbescherming (AVG) is in bovenstaande al herhaaldelijk ter sprake gekomen. Gezien de stand van zaken in het Europese besluitvormingstraject en de stevige lijst amendementen die nog voorligt kunnen we op heel wat punten nog niet met trefzekerheid melden wat de uitkomst zal worden. Maar enkele dingen staan wel vast: op punten is de AVG zowel ruimer van toepassing als strenger qua sancties mogelijkheden dan de nationale wetsvoorstellen; richt zich ook op de bewerker van persoonsgegevens (i.t.t. alleen de verantwoordelijke); 'onze' Wbp wordt overruled door de AVG zonder de mogelijkheid tot inmenging van het Nederlandse parlement; de AVG kent andere criteria voor de aanstelling van de functionaris voor de gegevensbescherming; wanneer de (vertraagde) invoering van de nationale wetgeving een feit zal zijn, is niet duidelijk. In het Europarlement wordt bevestiging van de AVG medio 2014 (misschien pas medio 2015) verwacht, daarna is er nog wel een invoeringstermijn van 2 jaar.

Onlangs is becijferd dat een gemiddeld datalek in totaal al gauw 100 tot 150 euro kost per klant of medewerker waarvan gegevens kwijt raken (Ponemon Institute - 2013 Cost of Data Breach Study, zie Bijlage 5). 19




0.9 Pagina

18 van 55

Of de AVG qua reikwijdte vergelijkbaar zal zijn met het wetsvoorstel Meldplicht inbreuken op elektronische systemen is nog open, evenals of dit wetsvoorstel überhaupt nog in behandeling komt als de AVG eerder al is aangenomen. 3.1

Voortgang

Op 21 oktober 2013 heeft het Europees Parlement overeenstemming bereikt over de nieuwe EUprivacywet - de Algemene Verordening Gegevensbescherming (AVG) - die de Wet Bescherming Persoonsgegevens gaat vervangen. De overeenstemming betreft nog niet de eindtekst maar de versie die wordt afgestemd met de Raad van Ministers. In het Brusselse wetgevingsproces is dat een grote stap voorwaarts. Naar verwachting wordt het goedkeuringsproces medio 2014 afgerond. Uit oogpunt van good governance springen de in de volgende paragrafen besproken aanpassingen het meest in het oog. 3.1.1

Verhoging van de bestuurlijke boetes

Het Europarlement vindt de boetes die de Europese Commissie had voorgesteld in het oorspronkelijke wetsvoorstel, te laag. Ook ingegeven door de actuele discussie over de verstrekking van data aan de Amerikaanse inlichtingen- en veiligheidsdiensten, heeft het Europarlement de maximale boetes opgehoogd naar 100 miljoen Euro of 5% van de wereldwijde jaaromzet – net welk bedrag het hoogste is. 3.1.2

Nieuwe criteria voor de verplichte privacy officer

Alle organisaties in de publieke sector en alle bedrijven die gegevens verwerken (of laten verwerken) van 5.000 personen of meer, moeten een privacy officer aanwijzen. Privacy officers worden in de huidige Nederlandse wetgeving al aanbevolen (art. 62-64 Wbp). De door het parlement aangepaste wettekst verduidelijkt aan welke criteria een privacy officer moet voldoen, zijn positionering en de aanstellingstermijn (herbenoembaar na vier jaar bij aanwijzing van een werknemer of twee jaar bij aanwijzing van een externe privacy officer). In het wetsvoorstel AVG uit 2012 was de ondergrens voor bedrijven nog afhankelijk van de bedrijfsgrootte (250 werknemers of meer). Nu dus van de omvang van de gegevensbestanden. 3.1.3

Bestuurlijke veranderingen

Besturen worden door de EU nog nadrukkelijker opgedragen om pro-actief privacybeleid te voeren, waarin de privacy officer hen bijstaat door middel van onafhankelijk advies en monitoring. Binnen een bestuur moet een bestuurslid worden aangewezen als portefeuillehouder. Belangrijk is dat verantwoordelijke besturen steeds in de gaten houden dat oplossingen goed worden gedocumenteerd. Het College Bescherming Persoonsgegevens, dat straks de boetes kan opleggen, kan die documentatie op ieder moment opvragen. Om er zeker van te zijn dat besturen ook daadwerkelijk in staat zijn om de opgevraagde documentatie te verstrekken, dienen auditors het bestaan van de rekenschapsdocumentatie te verifiëren. 3.2

Vervolg

Het heeft er lange tijd naar uitgezien dat de AVG medio 2014 kan worden aangenomen. De commotie over het gedrag van de Amerikaanse NSA zou roet in het eten kunnen gooien, vanwege een op zichzelf wat bizarre gedachtenkronkel: als de NSA, al dan niet met toestemming van de betrokken overheden, gegevens aftapt, is er dan sprake van een datalek? Moet dat gemeld worden? Kunnen daarvoor boetes worden uitgedeeld? Het lijkt er even op dat wetgeving ter verdere bescherming van de privacy moet worden uitgesteld omdat er op grote schaal schendingen plaatsvinden.




0.9 Pagina

19 van 55

Als evenwel de AVG medio 2014 inderdaad wordt aangenomen, dan betekent dit dat het College Bescherming Persoonsgegevens medio 2016 op de nieuwe wet toezicht moet houden. Het CBP heeft aangegeven afstand te bewaren van organisaties die in een goede privacy officer hebben voorzien. Want ook een privacy officer is wettelijk toezichthouder. Een en ander neemt niet weg dat de tijd begint te dringen. Want er is een zekere organisatie'maturity' voor nodig om de nieuwe wetgeving met vertrouwen tegemoet te kunnen treden. Op andere punten zien de nog hangende AVG-voorstellen er op hoofdlijnen nog als volgt uit: Er moet een transparant en eenvoudig toegankelijk privacybeleid worden opgesteld, waarin ook de rechten van de betrokkene zijn opgenomen. De maximale hoogte van de administratieve sanctie die het CBP kan opleggen in geval van bepaalde nalatigheden wordt verhoogd tot €100.000.000,- of 5% van de jaarlijkse omzet. De voor verwerking verantwoordelijke moet kunnen aantonen dat hij toestemming van de betrokkene heeft voor de verwerking van zijn gegevens. Er komt een meldplicht voor datalekken. De betrokkene krijgt een recht tot rectificatie of uitwissing van zijn gegevens. Gevoelige verwerkingsactiviteiten moeten eerst aan een privacyeffectbeoordeling (PIA) worden onderworpen. Nieuwe gegevensverwerkingssystemen worden onderworpen aan technische en organisatorische maatregelen die privacyverhogend zijn (privacy by design). 3.2.1

De actuele versie van de AVG

Voluit heet het AVG-concept dat nu voorligt: INOFFICIAL CONSOLIDATED VERSION AFTER LIBE COMMITTEE VOTE PROVIDED BY THE RAPPORTEUR - 22 October 2013, REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - (Text with EEA relevance) THE EUROPEAN PARLIAMENT AND THE COUNCIL Gegeven de nog onvoltooide Brusselse procesgang is nog géén bijlage opgenomen met de teksten 20 van de AVG. Bijlage 4 "Doorbraak in ontwikkeling EU privacy Verordening", een artikel van Deloitte, geeft een uitgebreide update en bespreking van de actuele stand van zaken (oktober 2013), vanuit het perspectief van (MKB) bedrijven. 3.2.2

Aanvullende informatie

In Bijlage 2, Bijlage 3 en Bijlage 5 vindt u aanvullende informatie bij de Meldplichtwet(en). Een bijzonder uitgebreid en gedegen bespreking vindt u achter deze link, een artikel van Advocatenbureau Houthoff Buruma (Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma). Hoewel uit 2013 is het niet op alle punten meer actueel, maar het bevat een historisch perspectief en behandelt de thematiek breed en zeer juridisch. Om redenen van copyright is van dit artikel slechts de link ernaartoe opgenomen: http://www.houthoff.com/uploads/tx_hhpublications/De_concept_privacyverordening.pdf

20

Collega CIP-organisatie Privacy Management Partners heeft de laatste gepubliceerde versie op de site staan:

http://www.pmpartners.nl/files/020%20Downloads/DPR-Regulation-inofficial-consolidated-LIBE.pdf




0.9 Pagina

20 van 55

4

Wat moet u regelen?

Het is gemakkelijk opgeschreven: hou incidenten bij, evalueer ze en handel zonodig. Dit lijkt business-as-usual voor organisaties die al jarenlang informatiebeveiliging moeten praktiseren volgens internationale standaarden. Toch vermoeden we dat veel van deze organisaties niet in staat zullen zijn van de ene dag op de andere aan de Meldplicht datalekken te voldoen. 4.1

Incidenten

Als iemand een niet-encrypte laptop of smartphone met bedrijfsgegevens in de trein laat liggen en dat meteen aan de organisatie meldt, dan kan er meestal redelijk snel worden vastgesteld of er rekening moet worden gehouden met een meldplichtig datalek. Ook de evaluatie (wat is er kwijt en wie betreft het) is mogelijk betrekkelijk eenvoudig. Maar dit is een ideaal 'model-datalek'. Voor hetzelfde geld wordt op enig moment bij toeval duidelijk dat er vermoedelijk al jarenlang ongemerkt wordt rondgekeken in de bedrijfsgegevens als gevolg van een zeer goed verborgen gehouden hack, of soft- of netware die ondermaats is opgeleverd of ondeugdelijk is geïmplementeerd. Krijg dan het plaatje nog maar eens compleet. Beide uiteinden van dit incidentenspectrum en de varianten die daartussenin liggen kunnen nooit worden uitgesloten en zullen zich vroeger of later en bij herhaling voordoen. Verwijtbaarheid aan dergelijke incidenten op zich zal vanuit de wetgeving en de handhaving ervan niet snel aan de orde zijn. Maar wat wel moet worden beantwoord is de vraag wat de organisatie eraan doet om: de frequentie van dergelijke incidenten zo laag mogelijk te houden; de ontdekkingskans zo groot mogelijk te maken; de afwikkeling van een incident zo effectief en efficiënt mogelijk te doen zijn; verbeteringen aan te brengen om de kans op herhaling te verkleinen. Een efficiënte afwikkeling van een incident zorgt in ieder geval voor: bescherming van de data (stop het lek); bescherming van de getroffen personen (voorkom schade zoveel als mogelijk); vaak zéér onderschat: communicatie. Zo transparant mogelijk en naar iedereen die (vermoedelijk) betrokken is. 4.1.1

Accountability

Beoordeling op al deze aspecten per incident en op 'over all' performance van de organisatie op deze punten zullen naar verwachting een grote rol spelen bij de handhaving van de nieuwe wetgeving en de vaststelling van de hoogte van de eventuele boete. 4.2

Wat moet gebeuren?

Uit het lijstje in paragraaf 4.1 wordt al in grote trekken duidelijk wat er moet worden ingeregeld. De feitelijke implementatie zal per organisatie verschillen als gevolg van organisatie-complexiteit en keuzes naar aanleiding van risico-inschattingen. Maar in algemene termen valt te denken aan onderstaande maatregelen. 4.2.1

The human factor

Zorg voor een optimaal beveiligingsbewustzijn binnen de organisatie en borg dat door voortdurende herhaling en bijstelling. Binnen de nauwere context van 'datalek-incidenten' betekent dat een scherp en gedeeld begrip van wanneer iets een 'incident' is en waarom het van belang is een incidenten te voorkomen en, als zij zich voordoen, te herkennen.




0.9 Pagina

21 van 55

Bedenk ook dat incidenten zich in allerlei vormen kunnen voordoen en ook bijna overal in de organisatie kunnen voorkomen. Het is niet alleen de deur die openstaat of paperassen die 's avonds op verlaten bureaus rondslingeren. Het kan ook een collega zijn die, uit loslippigheid of opzettelijk, familieleden, kennissen of zelfs betalende klanten aan bedrijfsinformatie helpt: de eigen medewerkers van een organisatie zijn, al dan niet opzettelijk, statistisch verreweg de belangrijkste bron van datalekken. Het risico op meldplichtigheid vanwege de kans dat er persoonsgegevens in het spel zijn en de eventuele persoonlijke schade daaruit voortkomend, zal natuurlijk sterk afhangen van de mate waarin persoonsgegevens een rol spelen in de business van een organisatie. Maar het gaat erom een organisatiebreed gedeelde 'awareness' te creëren, inclusief verantwoordelijkheidsbesef en handelingsbereidheid, en dat desgevraagd te kunnen aantonen. 4.2.2

Techniek

Zoals een organisatie inbraak- vocht en brandwerende bouwtechnische maatregelen neemt, zo moet dat ook in de ICT-architectuur gebeuren. Maar waar verzekeringsmaatschappijen op zeker moment een hoger hek of kwalitatief beter hang- en sluitwerk vereisen, ontbreekt dat aan ICT21 zijde. Veelal wordt gesproken van 'state of the art' status van voorzieningen . Maar wat is dat, en wie bepaalt wanneer iets dat niet meer is? En is het ook in alle gevallen nodig en heeft zo'n voorziening wel zin als er na installatie nauwelijks meer naar omgekeken wordt? Systematisch bestellen van gecertificeerde secure software is nog nauwelijks gemeengoed, evenals het voortdurend testen van de eigen voorziening op kwetsbare plekken. En dan de monitoring: veel organisaties hebben wellicht iets van een technische monitorfunctie, van betrekkelijk simpele routers/firewalls tot zeer gevoelige detectiesoftware op alle mogelijke aspecten van netwerkverkeer. Maar wordt dat optimaal benut en doet de organisatie er ook daadwerkelijk en slagvaardig wat mee? Technische voorzieningen zijn gemakkelijk in te kopen, maar lastig te optimaliseren. Zolang niet collectief wordt afgesproken wat 'state of the art' is, moeten we maar op het onderbuikgevoel van de security-officers en soortgelijke functionarissen vertrouwen en kunnen we over 'de techniek' vrijwel niets zeggen. Een ondergrens is misschien nog wel te bepalen, maar de bovengrens niet. Het probleem daarbij is dat voldoen aan de ondergrens vermoedelijk onvoldoende beveiliging betekent, en optimale beveiliging eveneens kan worden doorbroken. Het is dan ook de vraag wanneer een organisatie in dit opzicht ooit vanuit de wet verwijtbaar in gebreke kan worden 22 gesteld . 4.2.3

Organisatie

Deze component is eigenlijk de enige component die 'hard toetsbaar' overblijft. Voorziet de organisatie voldoende in de middelen en maatregelen om - daar zijn ze weer - deze zaken naar behoren te kunnen regelen: de frequentie van beveiligingsincidenten laag houden; de ontdekkingskans groot maken; efficiënte afwikkeling van incidenten; leren en verbeteren.

Vgl. art. 13 Wbp: "[De beveiligingsmaatregelen] garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau […]". 21

Anderzijds: in Groot Brittannië, met vergelijkbare wetgeving, worden door de toezichthouder wel degelijk en kennelijk veelvuldig boetes uitgedeeld wegens inadequate beveiliging (bron: Koen Versmissen). 22




0.9 Pagina

22 van 55

Dit moet gerealiseerd worden in een cocktail van beleid, inrichting, processen, functionarissen, protocollen, (straf)maatregelen, geënt op risicoanalyses en regelmatig monitoring in (bijvoorbeeld) verantwoordingsaudits. Lijkt dit niet weer heel sterk op de praktijk van invoering en onderhoud van de geaccepteerde normenkaders als de Code voor Informatiebeveiliging, de ISO/NEN-normen, de BIR en soortgelijk? In die zin zou implementatie niet zo'n toer hoeven zijn, indien: de focus van reactief naar proactief wordt verlegd, en er veel meer aandacht komt voor internalisatie bij alle medewerkers i.p.v. het treffen van uitsluitend IT-gerelateerde informatiebeveiligingsmaatregelen. 4.3

De praktijk

Laten we ervan uitgaan dat de drie aspecten uit de vorige paragrafen in hun algemene vorm op orde zijn: de organisatie 'weet' wat als incident moet worden bestempeld, zowel in de techniek als in de dagelijkse gang van zaken, heeft mensen, middelen en processen op hun plaats om meldingen te kunnen evalueren, te classificeren en af te kunnen wikkelen. Daaromheen heerst een cultuur van leren en verbeteren. Bewijsmateriaal voor audits kan gemakkelijk worden geleverd. In het kader van de aankomende wetgeving is het toch zaak om de kritische factoren in dit mooie plaatje nader te beschouwen. 4.3.1

Voorkómen van incidenten

Gepasseerd station. Incidenten komen voor en dat voorkom je niet. In het kader van de eerder genoemde accountability zal een verantwoordelijke het niet kunnen laten bij deze verzuchting. Bedenk bijvoorbeeld dat veel datalekken worden veroorzaakt door onwetende of nonchalante medewerkers, en dat goede bewustwordingsactiviteiten een hoop ellende kunnen voorkomen. En komen datalekken geregeld voor, dan wordt het tijd om het algehele niveau van informatiebeveiliging eens kritisch onder de loep te nemen. 4.3.2

Weerbaarheid

Organisaties die persoonsgegevens be- of verwerken moeten zich van voldoende technische middelen voorzien om zich tegen verlies of ongeoorloofde toegang te kunnen wapenen. Tot hoever dat moet gaan is vooralsnog een open vraag. Technische snufjes zonder adequate organisatorische maatregelen hebben geen zin. Maar een goed sluitend stelsel van (anti-) toegangsblokkerende en toegangsregulerende maatregelen, in de ICT-techniek, functioneel en gebouwtechnisch, is een vereiste waar je niet onderuit kunt. De beveiliging van de gebruikte software, netwerken en apparatuur moet zonder uitzondering op orde zijn. Dat betekent anno 2013 een aantal zaken waaraan nog maar betrekkelijk weinig organisaties volledig en op alle fronten zullen kunnen voldoen: 'geharde' systemen, encryptie van informatie en het transport daarvan, volledige controle op de bedrijfsmiddelen (zeker ook de mobiele bedrijfsmiddelen!) en hoe, waarvoor en wanneer ze gebruikt worden. En dat allemaal tegelijk en in samenhang met elkaar. Hoort daar ook controle op gedrag van het personeel? Kan de directie zich tegen het (eigen) organisatiebeleid in iPads aanschaffen? Ook in de personele sfeer moet voortdurende inspanning worden geleverd om het 'incidentbewustzijn' levend en scherp te houden. Hoe hoog de lat hier moet worden gelegd is wel invoelbaar, maar of de inspanningen voldoende zijn is effectief nauwelijks meetbaar. 4.3.3

Organiseren

Bij dit alles hoort een voortdurende waakzaamheid en registratie van relevante gebeurtenissen. Relevante gebeurtenissen zijn in principe alle niet-gebruikelijke gebeurtenissen. Dat hoeft lang niet altijd een incident te zijn of te worden. Met de registraties moet wat worden gedaan: soms onmiddellijk en concreet, soms in de sfeer van trendbepalingen of risicoanalyse.




0.9 Pagina

23 van 55

Of er aanleiding is om acuut in te grijpen moet worden beoordeeld. Veel in de techniek worden afgewikkeld op basis van regels, maar als daar doorheen wordt gebroken dan moet er worden geëvalueerd door daarvoor verantwoordelijke mensen, dat kan een enkeling zijn of een heel escalatietraject. Als er wordt ingegrepen, dan moet helder zijn wat er moet gebeuren. Voor de meest voorkomende gevallen moeten protocollen of draaiboeken klaarliggen. Er moeten mensen zijn die daar weet van hebben en met gezag kunnen handelen. 4.3.4

Ingrijpen en afwikkelen

Als we voor de meest voorkomende zaken de dingen vooraf georganiseerd en eventueel ook geoefend hebben, dan wordt het nu wat gemakkelijker. Maar pas op: het kan nog wel een heleboel taai werk betekenen. En als we de wetgeving letterlijk nemen, dan moet dat allemaal binnen 24 23 uur gebeuren.

Stel: een beheerder of een routine-controleproces ontdekt 'iets geks' op zaterdagochtend, half 10. Weet de beheerder wat hij (onmiddellijk) moet doen? Wie let op het bliepje of de melding van het controlesysteem? Wie doet de eerste 'intake'? Waar is hij of zij op dat moment, hoe komt de juiste informatie beschikbaar? Het lijkt op de triage bij de Spoedafdeling van een ziekenhuis, behalve dat daar de juiste mensen doorgaans ter plaatse zijn, en het 'incident' ook. Indien er moet worden ingegrepen, of nader moet worden onderzocht, wie kunnen dat dan doen? Het is inmiddels 13.00 uur. Tegen 16.00 uur wordt duidelijk dat er een inbraakpoging aan de gang is. Groot alarm. De techneuten gaan full force aan de slag om de aanval af te slaan, een ander groepje deskundigen (zijn die al gearriveerd?) probeert te reconstrueren welke informatie is geraakt. 18.00 uur: het lukt nog niet om een volledig en scherp beeld te krijgen, maar dat er ook in de database is ingebroken staat wel vast. Staan er persoonsgegevens in die database? 19.00 uur: crisisberaad. De directie was al op de hoogte gesteld (wie van de directie?) maar nu arriveren de voorzitter, en de portefeuillehouder ter plaatse en worden ze bijgepraat. Het hoofd Communicatie zeilt nog ergens op de Noordzee. Er moet een ingrijpend besluit worden genomen: de database bevat 1,2 miljoen records, waarin zich ook persoonsgegevens bevinden die van dien aard zijn dat betrokkenen er ernstige schade van zouden kunnen ondervinden als de gegevens misbruikt zouden worden. Wie heeft dit trouwens geconcludeerd? Maar goed, de betrokkenen moeten dus ook ingelicht worden. Dit besluit wordt genomen om 20.00 uur en er worden pizza's besteld. Heeft er al iemand zicht op de werkelijke schade? Is de aanval afgeslagen? Tegen 23.00 uur heeft iemand in min of meer begrijpelijke termen op papier gezet wat er is gebeurd en wat de mogelijke consequenties zouden kunnen zijn. Kan iemand daar nog aan toevoegen wat de 1,2 ontvangers van de mededeling zelf aan maatregelen moeten nemen? Het hoofd Communicatie zit ondertussen in de auto en had al vanaf zijn boot een crisisteam in de steigers gezet. Het valt echter nog niet mee om midden in de nacht een call-center te vinden dat nog vóór 12.00 uur zondag gewapend met informatie en belscripts operationeel kan zijn. De volgende ochtend om een uur of 9 is het dan toch min of meer gelukt en wordt de laatste conceptversie van de officiële melding aan het CBP naar de bestuursvoorzitter gemaild. Een groot aantal mensen is ondertussen in de weer om de 1,2 miljoen briefjes te organiseren. Een slimmerikje merkt op dat de posterijen die op zondag echt niet allemaal gaan versturen.

23

De AVG stelt deze termijn vooralsnog op 72 uur.




0.9 Pagina

24 van 55

Dit is een vereenvoudigd scenario van een zware inbreuk met grote schade. De hack van een tablet van een van de bestuursleden, waardoor de concurrentie ongemerkt heeft kunnen meeluisteren met de bestuursvergaderingen van de afgelopen maanden, is om allerlei redenen van een geheel andere orde. Vervelend en mogelijk beschamend, maar wellicht niet meldingsplichtig. En: onmiddellijk na ontdekking simpel op te lossen. In het andere geval moet je vrezen dat een 24 of 72 uren grens misschien niet eens gehaald wordt. 4.4

Ideeën voor implementatie Uit het voorbeeld in de vorige paragraaf (kader) moet in ieder geval duidelijk worden dat het loont, maar meer nog: dat het hoogst noodzakelijk is om vooraf erover nagedacht te hebben. Is het niet om chaotische taferelen te vermijden of slagkracht te genereren, dan is het waarschijnlijk verstandig: als je niet kunt aantonen dat je redelijkerwijze alert en voorbereid bent geweest, dan zal dat geen gunstig effect hebben op het oordeel van het CBP en de hoogte van de eventuele boete. Een goed idee voor implementatie van de maatregelen om aan de wet te kunnen voldoen, is de suggestie om te kijken naar en zo mogelijk gebruik te maken van reeds bestaande calamiteitenscenario's en escalatiedraaiboeken. Idealiter is dat dan inclusief het organiseren van het benodigde bewustzijn en inclusief de jaarlijkse updates en oefeningen. Het inbreukscenario uit de vorige paragraaf maakt dat eigenlijk ook al duidelijk. Organiseer in ieder geval ook een sluitende administratiepraktijk. Niet alle incidenten zijn meldplichtig, maar moeten wél geregistreerd worden. Mét de informatie waaruit blijkt dat er 24 geen plicht of noodzaak tot melden kon worden geconcludeerd.

4.4.1

Beslisboom

Analoog aan de calamiteitenscenario's kunnen we een stroomschema annex beslisboom maken.

Lid 8 van het wetsvoorstel Meldplicht datalekken: De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit overzicht bevat in elk geval de feiten en de gegevens, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene. 24




0.9 Pagina

25 van 55

Het schema grijpt terug op paragraaf 2.1.5 en geldt specifiek datalekken waarbij persoonsgegevens zijn betrokken. Wanneer de Meldplicht Inbreuk op elektronische systemen een feit wordt, moet het schema worden aangepast. Alle inbreuken die aan de wettelijke vereisten voldoen moeten dan gemeld worden. De vraag "Betreft persoonsgegevens" krijgt dan als uitkomst: "Ook melden bij CBP". 4.4.2

Toelichting bij de beslisboom

Onderstaand kader dient als toelichting bij de beslisboom, maar is tevens een suggestie voor te hanteren begrippen of zienswijze bij toepassing van de wet:

inbreuk: een constateerbare open toegang tot persoonsgegevens die er niet hoort te zijn. verloren gegaan: dermate aangetast dat ze niet meer bruikbaar zijn. definitief verlies: er is geen identieke back-up; de gegevens zullen zo goed mogelijk met behulp van betrokkene of derden gereconstrueerd moeten worden. zeer omvangrijk: betreffende een reeks van personen, te weten meer dan getal x of betreffende meerdere personen, eventueel < getal x, maar met een groot complex aan gegevens per persoon. aanmerkelijk risico: neen, als de ervaring leert dat dit niet zo is in het soort geval dat voorligt. van nadelige gevolgen: neen, als het lek alleen intern bleef; neen, als de 'exposure' aan onbevoegden gebeurde in een situatie van hulpverlening of dienstverlening aan de organisatie in relatie tot de inbreuk op de beveiliging.

Zie voor deze problematiek ook Bijlage 3: Wanneer melden aan het CBP? 5

Open eindjes/conclusie

De kernbegrippen in de melding-datalek-problematiek zijn: Incidentbewustzijn op orde Beveiliging op orde (human & tech) Administratie- en controleroutines op orde Detectie en herstel Slagvaardigheid/tijdigheid Inschattingen van schade Gemotiveerde notificatie aan CBP Notificatie & advies aan betrokkene Rapportage Op al deze punten zal de organisatie voldoende in control moeten zijn en slagvaardigheid van handelen moeten hebben. Dat moet niet alleen uit het oogpunt van goede dienstverlening en uit respect voor de klant wiens gegevens in vertrouwen zijn afgegeven, het is ook zeer aan te raden uit het oogpunt van accountability en mogelijke ingebrekestelling.




0.9 Pagina

26 van 55

Maar er zitten blinde vlekken in. De meest opvallende betreffen de momenten dat een inschatting moet worden gemaakt: Wat is er kwijt: dat is lang niet altijd met zekerheid vast te stellen Wat betekent dat voor het bedrijf en voor de betrokken burger: hoe groot is de kans op misbruik? De wijze waarop en met welke criteria het CBP gaat handhaven is nog een black box. Hoe organisaties en ondernemingen zullen gaan reageren op de dreiging van de forse boetes is ook nog de vraag. Misschien wordt dit een te verzekeren bedrijfsrisico? In alle varianten zal er sprake zijn van verhoging van de administratieve lasten en de kosten van extra maatregelen, al is het maar de extra verzekering. Voor organisaties die er hun best voor willen doen zal het betekenen dat aanpassingen moeten worden gedaan in een deel van de werkprocessen en mogelijk het functiehuis of het personeelsbestand. Te slotte nog een aardige, actuele anekdote die aangeeft dat tussen wetgeving en werkelijkheid wel eens praktische bezwaren in de weg staan:

Bron:https://www.security.nl/posting/370746/Adobe%3A+waarschuwen+klanten+duurt+langer+dan+verwacht?channel=rss

### CIP/RdB/dec2013




0.9 Pagina

27 van 55

Gebruikte of genoemde informatiebronnen Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken), VOORSTEL VAN WET, MEMORIE VAN TOELICHTING https://zoek.officielebekendmakingen.nl/kst-33662-2-n1.html ; http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2013/06/21/memorie-van-toelichtingmeldplicht-datalekken/mvt-versie-nader-rapport-meldplicht-datalekken.pdf Wet houdende regels over het melden van een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving (Wet melding inbreuken elektronische informatiesystemen), VOORSTEL VAN WET, concept 16 juli 2013 t.b.v. consultatie. [NB: einddatum consultatie: 17-09-2013 - red.] http://www.internetconsultatie.nl/meldplicht_ict_inbreuken Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens) http://wetten.overheid.nl/BWBR0011468 INOFFICIAL CONSOLIDATED VERSION AFTER LIBE COMMITTEE VOTE PROVIDED BY THE RAPPORTEUR - 22 October 2013, REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - (Text with EEA relevance). http://www.pmpartners.nl/files/020%20Downloads/DPR-Regulation-inofficial-consolidated-LIBE.pdf Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Brussels, COM(2012) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF Overzicht huidige en toekomstige meldplichten informatieveiligheid, FACTSHEET BZK 20 sep 2013, Directie Burgerschap en Informatiebeleid Informatieveiligheid, [email protected] [NB: niet (meer) te vinden via internet? -red.] In vier stappen voldoen aan de meldplicht datalekken WHITEPAPER 20 september 2012, Nictiz, mr. dr. A.H. (Anton) Ekker http://www.nictiz.nl/page/Nieuws?mod%5BNictiz_News_Module%5D%5Bn%5D=2449 WANNEER MELDEN AAN HET CBP VOLGENS HET WETSVOORSTEL MELDPLICHT DATALEKKEN? Sergej Katus in PRIVACY & COMPLIANCE, 04-05-2013 http://www.privacycompliance.nl/index.php?option=com_content&view=article&id=172%3Aprivacycomplian ce-04-05-2013&catid=45%3Acompliance-a-privacy&Itemid=173&lang=nl Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma [2013] http://www.houthoff.com/uploads/tx_hhpublications/De_concept_privacyverordening.pdf Bron: Deloitte.ctrl - Doorbraak in ontwikkeling EU privacy Verordening [24 okt 2013] https://www.ctrl.nl/actual/voorstel-nieuwe-EU-privacy-verordening-2014.aspx 2013 Cost of Data Breach Study: United Kingdom. Benchmark research sponsored by Symantec, Independently Conducted by Ponemon Institute LLC, May 2013 http://docs.media.bitpipe.com/io_10x/io_102267/item_692230/2013%20Report%20UK%20CODB%20FINAL%2041.pdf Europese Cyber Security Strategie (JOIN(2013) 1 final, Kamerstukken II 2012/13, 22 112, nr. 1588 http://eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_en.pdf Ontwerp Netwerk-en Informatiebeveiligingsrichtlijn (NIB-richtlijn), COM(2013) 48, Kamerstukken II 2012/13, 22 112, nr. 1588, en Kamerstukken II 2012/13, 33 602, nr. 1 [februari 2013] https://www.eerstekamer.nl/eu/europeesvoorstel/com_2013_48_voorstel_voor_een/document/f=/vj73kjsayisb.pdf Op de site(s) van het CIP is een Powerpoint-presentatie beschikbaar die is gebruikt tijdens de CIP-conferentie van 28 november 2013 en handelt over wat er in de organisatie moet gebeuren om tegemoet te kunnen komen aan de meldplicht. De presentatie leent zich goed voor het aanzwengelen van discussie over de noodzaak om te anticiperen op de wetgeving.




0.9 Pagina

28 van 55

Lijst van afkortingen ACM

Autoriteit Consument en Markt

AMvB

Algemene maatregel van bestuur

AVG

Algemene Verordening Gegevensbescherming (ook: EPV)

CBP

College Bescherming Persoonsgegevens

CIP

Centrum voor Informatiebeveiliging en Privacybescherming

DDos

(Distributed)Denial of service

DNB

De Nederlandsche Bank

DUO

Dienst Uitvoering Onderwijs

ENISA

European Network and Information Security Agency

EU

Europese Unie

EPV

Europese Privacy Verordening

MvT

Memorie van toelichting

MKB

Midden- en Kleinbedrijf

NCSC

Nationaal Cyber Security Centrum

NSA

National Security Agency

SVB

Sociale Verzekeringsbank

Wbp

Wet bescherming persoonsgegevens

Colofon Deze publicatie is een initiatief van Aramis Jeanpierre (DUO), Gineke Kuipers (DUO) en Ruud de Bruijn (CIP/UWV) naar aanleiding van een notitie van Mieke Anema (UWV). Uitgave geschiedt onder auspiciën van de Domeingroep Privacy van het Centrum voor Informatiebeveiliging en Privacybescherming. Reviewers waren: Mieke Anema (UWV), Hatice Dogan (SVB) en Koen Versmissen (Privacy Management Partners). Ruud de Bruijn tekent voor de eindredactie en dankt de reviewers en Sergej Katus (Privacy Management Partners) tevens voor de substantiële inhoudelijke bijdragen. Oorspronkelijke documentnaam Wordversie: [Meldplicht 092.doc] UWV, Amsterdam, november/december 2013




0.9 Pagina

29 van 55

Bijlage 1: Wbp-definities In de Wbp en de daarop berustende bepalingen wordt verstaan onder: a. b.

c.

d.

e. f. g.

persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen; betrokkene: degene op wie een persoonsgegeven betrekking heeft; derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;

Bron: http://wetten.overheid.nl/BWBR0011468/




0.9 Pagina

30 van 55

Bijlage 2: Overzicht huidige en toekomstige meldplichten Bewerking van: Overzicht huidige en toekomstige meldplichten informatieveiligheid, FACTSHEET BZK 20 september 2013 Directie Burgerschap en Informatiebeleid Informatieveiligheid, [email protected]

1

Inleiding

Meldplichten van digitale inbreuken op de veiligheid van informatie en continuïteit van ICT-systemen zijn van belang voor een stabiele en veilige informatiesamenleving. Door het DigiNotar-incident werd het belang van een tijdige informatievoorziening en ingrijpen door toezichthouders bij incidenten duidelijk zichtbaar. Als gevolg hiervan is een aantal nieuwe meldplichten in de maak. De achterliggende gedachte is dat toezichthouders en in gevallen burgers en de maatschappij op de hoogte moeten worden gesteld van incidenten, zodat er op zo kort mogelijke termijn maatregelen getroffen kunnen worden om sociale of economische schade te beperken. De scope van de verschillende meldplichten verschilt echter van elkaar. De reeds bestaande meldplichten omvatten met name de telecomsector en de financiële sector terwijl de voorgestelde breder van aard zijn. Om een overzicht te krijgen van de huidige en toekomstige meldplichten volgt hier een kort overzicht en analyse.

1.1

Verkort overzicht Huidige meldplichten

Grondslag meldplicht

Karakter inbreuk

Normadressaat

Melden aan

Artikel 11.3a Telecommunicatiewet

Inbreuk op persoonsgegevens

Aanbieders van openbare elektronische communicatiedienst en

ACM

Artikel 11a.2 Telecommunicatiewet

Aantasting continuïteit dienst

Aanbieders van openbare elektronische communicatiedienst en

Agentschap Telecom

Artikelen 3:10 lid 3 en 4:11 lid 4 Wft

Inbreuk op integere bedrijfsvoering

Financiële instellingen

DNB/AFM

(Voorgenomen) Toekomstige meldplichten Convenant

Inbreuk op de veiligheid of een verlies Partners van het van integriteit met aanzienlijke convenant gevolgen voor de betrouwbaarheid of (certificaataanbieder s) vertrouwelijkheid van ongekwalificeerde certificaten

ACM, NCSC

Artikel 18.15 Telecommunicatiewet jo. artikel 2 Besluit elektronische handtekeningen

Inbreuk op de veiligheid of een verlies van integriteit met aanzienlijke gevolgen voor de betrouwbaarheid of vertrouwelijkheid van gekwalificeerde certificaten

ACM en NCSC

Convenant

Inbreuk op de veiligheid of een verlies Partners van het van integriteit met aanzienlijke convenant gevolgen voor de betrouwbaarheid of (certificaataanbieder s) vertrouwelijkheid van ongekwalificeerde certificaten

ACM, NCSC

Artikel 15 lid 2 verordening elektronische identificatie en vertrouwensdiensten

Een inbreuk op de veiligheid of verlies van integriteit van vertrouwensdiensten en daaraan gerelateerde persoonsgegevens

Bevoegde Autoriteit

Aanbiedersvan gekwalificeerde certificaten

Aanbieders van vertrouwensdiensten




0.9 Pagina

31 van 55

(Voorgenomen) Toekomstige meldplichten (vervolg) Artikel 34a Wet bescherming persoonsgegevens

Een doorbreking van organisatorische en technische beveiliging van persoonsgegevens

Verantwoordelijken in de CBP zin van de Wbp

Artikel 31 en 32 Algemene Verordening Gegevensbeschermin g

Een doorbreking van organisatorische en technische beveiliging van persoonsgegevens

Verantwoordelijken in de CBP zin van de Wbp

Artikel 3 Wet melding inbreuken elektronische informatiesystemen

Een inbreuk op de veiligheid of een verlies van integriteit van een informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken.

Aangewezen aanbieders in vitale sectoren en (rijks)overheid

NCSC

Artikel 14 Netwerk- en informatiebeveiligingsrichtlijn

Een inbreuk met significante gevolgen op de hoofddiensten die de aanbieder aanbiedt.

Openbaar bestuur en aangewezen marktdeelnemers

Bevoegde Autoriteit

Afkortingen ACM: CBP: DNB: NCSC:

2

Autoriteit Consument en Markt College bescherming persoonsgegevens De Nederlandsche Bank Nationaal Cyber Security Centrum

Huidige meldplichten

In de onderstaande paragrafen worden de huidige meldplichten uiteengezet. Deze zijn momenteel beperkt tot de telecomsector en de financiële sector.

2.1

Telecommunicatiewet - Persoonsgegevens

De meldplicht in de Telecommunicatiewet is opgenomen in artikel 11.3a dat een uitwerking betreft van artikel 4 van Richtlijn 2002/58/EG (E-privacyrichtijn) als geamendeerd door Richtlijn 2009/136/EG (Burgerrechtenrichtlijn). Uitsluitend aanbieders van openbare elektronische communicatiediensten, zoals internet service providers en telefoonbedrijven, vallen onder de meldplicht. De aanbieder dient volgens artikel 11.3 TW passende technische en organisatorische maatregelen te nemen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten om zo de persoonsgegevens en de persoonlijke levenssfeer van de gebruikers te beschermen. De genomen maatregelen moeten in verhouding staan tot het risico. De meldplicht is van toepassing wanneer er sprake is van een doorbreking van de organisatorische of technische beveiliging die nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Een inbreuk betreft een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie. De melding moet allereerst aan de Autoriteit Consument en Markt (ACM, voorheen OPTA) worden gedaan. (In de toekomst zal dit waarschijnlijk het College bescherming persoonsgegevens worden, zie het wetsvoorstel ter aanpassing van de Wet bescherming persoonsgegeven (meldplicht datalekken)). Daarnaast dient de aanbieder ook degene wie de persoonsgegevens betreffen op de hoogte te stellen indien de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Indien de aanbieder dit niet uit eigen beweging doet kan de ACM de aanbieder hier alsnog toe verplichten. De melding aan de betrokkene is niet verplicht indien de gegevens bijvoorbeeld versleuteld waren, waardoor de inbreker geen toegang tot de gegevens kan verkrijgen.




0.9 Pagina

32 van 55

De melding aan de ACM en betrokkene dient onverwijld plaats te vinden en in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen, de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken, de gevolgen van de inbreuk op de persoonsgegevens en de maatregelen die de aanbieder voorstelt of heeft getroffen om de inbreuk aan te pakken te omvatten. De aanbieder dient daarnaast een overzicht bij te houden van alle informatieveiligheidsincidenten waar sprake was van een inbreuk op persoonsgegevens. Samenvatting De meldingsplicht is van toepassing op doorbreking van de technische of organisatorische beveiliging van aanbieders van openbare elektronische telecommunicatiediensten waarbij de inbreuk nadelige gevolgen voor de bescherming van persoonsgegevens heeft. De melding dient in eerste instantie aan de ACM gedaan te worden. Melding is niet verplicht indien de gegevens voor de inbreker niet toegankelijk zijn, bijvoorbeeld door versleuteling.

2.2

Telecommunicatiewet – Aantasting continuïteit

Aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten dienen ingevolge artikel 11a.2 TW Agentschap Telecom onverwijld in kennis te stellen van een inbreuk op de veiligheid of een verlies van integriteit waardoor de continuïteit van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten in belangrijke mate werd onderbroken. Hierbij hoeven geen persoonsgegevens te zijn gemoeid. Aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten dienen Agentschap Telecom op zijn verzoek alle informatie te geven die nodig is om de veiligheid en integriteit van hun netwerken en diensten te beoordelen. Het Agentschap Telecom kan een inbreuk op de veiligheid of het verlies van integriteit openbaar maken, of door de aanbieder laten maken, indien dit in het algemeen belang is. Samenvatting Aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten dienen Agentschap Telecom onverwijld te infomeren bij een inbreuk op de veiligheid of verlies van integriteit waardoor de continuïteit van het netwerk of de dienst werd onderbroken.

2.3

Wet op het financieel toezicht – integere bedrijfsvoering

In de Wet op het financieel toezicht worden een tweetal meldplichten onderscheiden die generiek van aard zijn maar die betrekking kunnen hebben op datalekken en inbreuken op de informatiebeveiliging. Het gaat daarbij allereerst om artikel 3:10 lid 3 Wft, waarin een betaalinstelling, clearinginstelling, elektronischgeldinstelling, entiteit voor risico-acceptatie, bank, premiepensioeninstelling, verzekeraar of wisselinstelling met zetel in Nederland verplicht wordt om informatie over incidenten die betrekking hebben op integere bedrijfsvoering te melden aan de Nederlandsche Bank. Hierbij kan het gaan om ICT-incidenten. Ten tweede gaat het om artikel 4:11 lid 4 Wft op basis waarvan een beheerder van een Instelling voor Collectieve Beleggingen in Effecten (icbe), beleggingsonderneming, bewaarder van een icbe of pensioenbewaarder aan de Autoriteit Financiële markten informatie moeten verstrekken in geval van incidenten die een inbreuk op een integere bedrijfsvoering met zich meebrengen. Eveneens dit kan zien op ICT-incidenten en security breaches. Samenvatting Een aantal financiële instellingen zijn op basis van de Wet Financiële Markten verplicht om incidenten die gevolg hebben voor een integere uitvoering van hun bedrijf te melden aan respectievelijk de ACM of DNB.




0.9 Pagina

33 van 55

3 3.1

Toekomstige meldplichten - telecomsector en vertrouwensdiensten AMvB meldplicht inbreuken gekwalificeerde certificaten

Op 20 februari 2013 heeft de minister van Economische Zaken een besluit voor het invoeren van een meldplicht voor certificatiedienstverleners in het geval van een inbreuk op de veiligheid of een verlies van integriteit met aanzienlijke gevolgen voor de betrouwbaarheid of vertrouwelijkheid van gekwalificeerde certificaten ter internetconsultatie voorgelegd. Gekwalificeerde certificaten betreffen certificaten die geschikt zijn voor het zetten van gekwalificeerde elektronische handtekeningen. Ingevolgde de Telecommunicatiewet hebben certificatiedienstverleners die dergelijke certificaten aanbieden een registratieplicht en vallen ze onder toezicht. De nieuwe AMvB is ter aanpassing van artikel 2 van het al bestaande Besluit elektronische handtekeningen. Dit besluit is gebaseerd op artikel 18.15 Telecommunicatiewet, waarin gesteld wordt dat certificatiedienstverlener die certificaten als gekwalificeerde certificaten aanbiedt of afgeeft aan het publiek en in Nederland een vestiging heeft, dient te voldoen aan de eisen, gesteld bij of krachtens algemene maatregel van bestuur. De AMvB regelt de meldplicht van inbreuken op die gekwalificeerde certificaten. De melding dient onverwijld plaats te vinden aan de ACM en het NCSC en dient de aard en omvang van de inbreuk of het verlies, het tijdstip van de aanvang van de inbreuk of het verlies, de mogelijke gevolgen van de inbreuk of het verlies en een prognose van de tijd nodig om de inbreuk te onderzoeken te geven. Daarnaast omvat de melding ook de maatregelen van de certificaatdienstverlener om de gevolgen te beperken, dan wel om herhaling te voorkomen. Door de meldingsplicht kan de toezichthouder bij incidenten sneller en efficiënter ingrijpen en zo de economische en maatschappelijke gevolgen van een incident zoveel mogelijk beperken.

3.2

Meldplicht inbreuken ongekwalificeerde certificaten

Naast gekwalificeerde certificaten worden ook ongekwalificeerde certificaten uitgegeven. De vastgestelde digitale inbreuk op DigiNotar betrof ongekwalificeerde certificaten. Een meldplicht op inbreuken op deze ongekwalificeerde certificaten wordt niet met bovenstaande AMvB geregeld, maar is wel van belang gezien het wijdverbreide en internationale gebruik. Het kabinet zet in op verbetering van dit internationale stelsel, in het bijzonder in Europees verband in het kader van de voorgestelde verordening elektronische identificatie en vertrouwensdiensten. Daarnaast worden door de Ministers van Binnenlandse Zaken, Economische Zaken en Veiligheid en Justitie momenteel in nauw contact met certificaatdienstverleners aanvullende afspraken gemaakt over het melden van inbreuken op deze ongekwalificeerde certificaten. Doel is om dit vast te leggen in een convenant tussen de partijen. Samenvatting Aanbieders van gekwalificeerde certificaten dienen op basis van de voorgestelde AMvB de minister van Veiligheid en Justitie en de ACM onverwijld op de hoogte te brengen in het geval van een inbreuk op de veiligheid of een verlies van integriteit met aanzienlijke gevolgen voor de betrouwbaarheid of vertrouwelijkheid van gekwalificeerde certificaten. Voor ongekwalificeerde certificaten worden aanvullende afspraken gemaakt.

3.3

Verordening elektronische identificatie en vertrouwensdiensten

Op 4 juni 2012 heeft de Europese Commissie een voorstel gedaan voor een verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt. De verordening vervangt de huidige richtlijn Elektronische handtekeningen (1999/93/EG) die aldus de commissie niet het gewenste niveau van harmonisatie van de interne markt heeft bewerkstelligd. De verordening wil grensoverschrijdend gebruik van elektronische identiteiten en vertrouwensdiensten mogelijk maken en regelt daartoe wederzijdse erkenning van elektronische identiteiten en breidt het aantal vertrouwensdiensten uit tot elektronische handtekeningen en -zegels, tijdsstempels, elektronische documenten en -bezorgingdiensten en gekwalificeerde website-authenticatie.




0.9 Pagina

34 van 55

Onderdeel van het voorstel is eveneens het grensoverschrijdend gebruik van door nationale lidstaten bij de commissie aangemelde elektronische identificatieschema's voor het verkrijgen van toegang tot online publieke diensten. Een Europese verordening heeft directe werking en behoeft daarom niet door de nationale lidstaten in nationale regelgeving te worden omgezet waardoor onderlinge verschillen worden voorkomen. De onderhandelingen in Brussel lopen nog. Artikel 15 lid 2 van de voorgestelde verordening legt op aanbieders van vertrouwensdiensten de plicht om een inbreuk op de veiligheid of verlies van integriteit zo spoedig mogelijk te melden aan de nationale toezichthouder. Wanneer het om een inbreuk gaat die meerdere lidstaten treft, dienen naast de nationale toezichthouder ook ENISA en de nationale toezichthouders in andere lidstaten ingelicht te worden. Samenvatting Met de verordening elektronische identificatie en vertrouwensdiensten tracht de Europese Commissie de interne markt voor deze diensten verder te harmoniseren. Het aantal gereguleerde diensten wordt uitgebreid ten opzichte van de bestaande richtlijn Elektronische handtekeningen. Onderdeel van de voorstel van de verordening is een meldplicht voor aanbieders van vertrouwensdiensten in het geval van een inbreuk op de veiligheid of verlies van integriteit.

4 4.1

Toekomstige meldplichten – algemeen Aanpassing Wet bescherming persoonsgegevens (meldplicht datalekken)

Op 20 juni 2013 heeft minister Opstelten het wetsvoorstel 'meldplicht datalekken' naar de Tweede Kamer gestuurd. Het betreft onder andere het invoegen van artikel 34a in de Wet bescherming persoonsgegevens, waarin de meldplicht datalekken geregeld wordt. Met het wetsvoorstel wordt geanticipeerd op de meldplicht van de Algemene Verordening Gegevensbescherming die pas over enige jaren van kracht zal worden. De verantwoordelijke voor een verwerking van persoonsgegevens, degene die doel en middelen voor de verwerking bepaalt, dient ingevolge artikel 13 Wbp passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De verantwoordelijke dient er zorg voor te dragen dat indien deze de verwerking uitbesteed aan een bewerker, deze eveneens aan deze volwaarden voldoet. Indien er sprake is van een doorbreking van die beveiliging is de verantwoordelijke verplicht om het College bescherming persoonsgegevens (CBP) onverwijld in kennis te stellen indien redelijkerwijs kan worden aangenomen dat de inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt. Het niet of niet tijdig melden kan leiden tot een boete van €450.000,-. Naast het CBP dient ook de betrokkene onverwijld op de hoogte te worden gebracht indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Indien de verantwoordelijke dit nalaat kan het CBP hem hiertoe verplichten. Een melding hoeft niet aan de betrokkene te worden gedaan indien de gegevens versleuteld of anderszins onbegrijpelijk waren voor de inbreker. De melding aan het CBP en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De meldingsplicht uit de Wbp is niet van toepassing op aanbieders van openbare elektronische telecommunicatiediensten, omdat die meldplicht in de telecommunicatiewet geregeld is. Kennisgeving aan betrokkenen is ook niet verplicht indien het gaat om financiële ondernemingen in de zin van de Wet op het financieel toezicht.




0.9 Pagina

35 van 55

Samenvatting De voorgestelde meldplicht in de Wbp is van toepassing op inbreuken op technische en organisatorische beveiliging van de verantwoordelijke of de bewerker van persoonsgegevens, waarbij redelijkerwijs kan worden aangenomen dat de inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door de verantwoordelijke worden verwerkt. De verantwoordelijke dient het CBP hier onverwijld van in kennis te stellen.

4.2

Algemene Verordening Gegevensbescherming

In januari 2012 kondigde de Europese Commissie een herziening van het huidige dataprotectierecht aan met een voorstel voor een Algemene Verordening Gegevensbescherming, ook wel de dataprotectieverordening genoemd. De verordening brengt vele vernieuwingen met zich mee, waaronder een algemene meldplicht in het geval van datalekken als neergelegd in artikelen 31 en 32. Een Europese verordening heeft directe werking en behoeft daarom niet omgezet te worden in nationale wetgeving. De onderhandelingen in Brussel lopen nog. De meldplicht geldt evenals bij de Wbp voor de verantwoordelijke. Deze dient ingevolge artikel 30 privacyverordening ter beveiliging passende technische en organisatorische maatregelen te treffen. De verantwoordelijke dient inbreuken op persoonsgegevens te melden. Een dergelijke inbreuk wordt omschreven als een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, tot gevolg. Wanneer is sprake is van een dergelijke inbreuk moet de verantwoordelijke de toezichthouder, in Nederland het CBP, voor zover mogelijk binnen 24 uur op de hoogte stellen. Indien dit niet lukt binnen 24 uur dient de verantwoordelijke dit te motiveren. De verantwoordelijke moet een administratie bijhouden van alle inbreuken. Het niet of niet tijdig melden van een inbreuk kan een boete van 1 miljoen euro opleveren. De melding aan de toezichthouder omvat een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en categorieën en aantallen gegevensrecords, de vermelding van de identiteit en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen. Daarnaast dienen aanbevelingen gegeven te worden voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen. Ook dient er een omschrijving gegeven te worden van de gevolgen van de inbreuk in verband met persoonsgegevens en een omschrijving van de maatregelen die de voor de verwerking verantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken. Daarnaast dient de verantwoordelijke de inbreuk ook aan de betrokkene te melden als de inbreuk waarschijnlijk negatieve gevolgen heeft voor de bescherming van de persoonsgegevens of de privacy van de betrokkene. Hierbij moet in ieder geval de identiteit en de contactgegevens gegeven worden van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen. Ook moet de verantwoordelijke aanbevelingen geven voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen. De toezichthouder kan de verantwoordelijke verplichten om de betrokkenen te informeren als deze dat nog niet heeft gedaan. Er hoeft geen melding aan de betrokkene gedaan te worden indien de verantwoordelijke aan de toezichthouder kan aantonen dat hij passende technische maatregelen, zoals versleuteling, heeft genomen waardoor de gegevens voor de inbreker onleesbaar zijn. Samenvatting De verantwoordelijke moet een inbreuk op de beveiliging waarbij persoonsgegevens betrokken zijn voor zover mogelijk binnen 24 uur melden aan de toezichthouder. De betrokkene dient geïnformeerd te worden indien de inbreuk waarschijnlijk negatieve gevolgen voor hem heeft.




0.9 Pagina

36 van 55

4.3

Wet melding inbreuken elektronische informatiesystemen (Security Breach Notification)

Naar aanleiding van de motie-Hennis-Plasschaert (Kamerstukken II 2011/12, 26 643, nr. 202) die een reactie op het DigiNotar incident vormde, heeft minister Opstelten een voorstel gedaan voor een Wet melding incidenten elektronische informatiesystemen. Het wetsvoorstel brengt een meldplicht met zich mee voor aanbieders van informatiesystemen die van zodanig belang zijn voor de Nederlandse samenleving dat onderbreking van de beschikbaarheid of betrouwbaarheid tot ernstige maatschappelijke gevolgen kan leiden. Het betreft hierbij de sectoren: elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport (mainports Rotterdam en Schiphol). Bij AMvB kan de minister van Veiligheid en Justitie aanbieders aanwijzen die onverwijld het NCSC op de hoogte moeten stellen van een inbreuk op de veiligheid of verlies van integriteit van een informatiesysteem. Dit laatste wordt ook wel aangeduid als een ICT-incident. Het NCSC kan de binnen de (rijks)overheid of vitale sectoren getroffen aanbieder op basis van expertise adviseren en ondersteunen over te nemen maatregelen en kan daartoe ook extra informatie eisen. In tegenstelling tot veel van de eerde beschreven meldplichten hoeft het incident niet een inbreuk op persoonsgegevens te betreffen. Daarnaast worden in principe certificaatdienstverleners niet aangewezen als meldingsplichtige partij, omdat hier afzonderlijke maatregelen voor worden getroffen. (Zie onder andere de eerder beschreven AMvB gekwalificeerde aanbieder van elektronische handtekeningen). Samenvatting Door de minister bij AMvB aangewezen aanbieders van vitale informatiesystemen dienen het NCSC op de hoogte te stellen van onderbreking van de beschikbaarheid of betrouwbaarheid van hun dienst.

4.4

Netwerk- en informatiebeveiligingsrichtlijn

De Europese Commissie heeft in het kader van de Europese Cyber Security Strategie in februari 2013 een Netwerk- en informatieveiligheidrichtlijn gepresenteerd. De strategie en de richtlijn trachten een hoog niveau van informatieveiligheid in de Europese Unie te bewerkstelligen. Eenmaal vastgesteld dient de richtlijn in nationale wetgeving omgezet te worden. De onderhandelingen lopen nog. Onderdeel van de richtlijn is een meldplicht voor het openbaar bestuur (public administrations) en specifieke aangewezen marktpartijen zoals social networks, cloud computing diensten, internet betalingsintermediairs, zoekmachines etc. Het eerder genoemde openbaar bestuur (public administrations) en de aangewezen marktpartijen dienen op basis van een risicoanalyse een adequaat niveau van veiligheid te verzekeren voor hun netwerken informatiesystemen. Het openbaar bestuur (Public administrations) en de aangewezen marktpartijen dienen incidenten die hun kerndiensten raken te melden bij de Bevoegde Autoriteit. Ten behoeve van het algemene belang kan de toezichthouder een incident openbaar maken of laten maken. Samenvatting Het openbaar bestuur (Public administrations) en aangewezen marktpartijen dienen incidenten die hun kerndiensten raken te melden aan de toezichthouder.




0.9 Pagina

37 van 55

Bijlage 3: Wanneer melden aan het CBP? WANNEER MELDEN AAN HET CBP VOLGENS HET WETSVOORSTEL MELDPLICHT DATALEKKEN? Sergej Katus25 - PRIVACY & COMPLIANCE, 04-05/2013 DE VRAAG

Zoals ook elders in dit nummer valt te lezen, werd in juni van dit jaar bij de Tweede Kamer het wetsvoorstel Meldplicht Datalekken ingediend. Bedrijven, overheidsinstellingen en anderen informatieverwerkers die verantwoordelijke zijn in de zin van de WBP, worden verplicht om bij het CBP melding te doen van incidenten. Maar het wetsvoorstel bevat ook uitzonderingen. In welke gevallen rust er op een informatieverwerker straks een meldplicht? Voorop staat dat de meldplicht datalekken zowel smaller als breder is dan de verkorte titel van het wetsvoorstel 'Meldplicht Datalekken' doet vermoeden. Smaller omdat het wetsvoorstel aanpassingen bevat van artikelen 13 en 14 WBP, wat betekent dat de meldplicht niet geldt wanneer medewerkers informatie lekken in strijd met hun geheimhoudingsplicht volgens artikel 12. Althans, zoals hierna blijkt, niet in eerste instantie. Breder omdat het wetsvoorstel over méér gaat danhet lekken van data. Lekken gaan van binnen naar buiten. In die zin lijkt het wetsvoorstel misschien alleen betrekking te hebben op de situaties dat gegevens op straat komen te liggen. Denk aan computers bij het grof vuil of USB-stickjes met gevoelige informatie die achterblijven in de trein. Of de lek van het persbureau GPD in 2009, waardoor de telefoonnummers van bekende Nederlanders via Google toegankelijk werden. Het zijn precies dit soort incidenten die volgens de memorie van toelichting de aanleiding vormden voor het wetsvoorstel Meldplicht Datalekken. Beveiligingsincidenten Uit de volledige titel van het wetsvoorstel blijkt echter dat de wetgever vooral de situaties wil regelen waarin er sprake is van een doorbreking van de beveiliging van persoonsgegevens. In het nieuw voorgestelde artikel 34a WBP – het wetsvoorstel Meldplicht Datalekken is gericht op aanpassing van andere wetten en is in die zin geen wet op zich – spreekt de wetgever van een inbreuk op de beveiliging zoals bedoeld in artikel 13 WBP. Strikt genomen is een lekkende organisatie iets anders dan een organisaties waarvan de beveiligingsmaatregelen zijn doorbroken. In het ene geval is er misschien zelfs helemaal geen beveiliging. In het andere geval beschikt een organisatie misschien over prima beveiliging, maar is die toch op de een of andere manier doorbroken. Want dat kan. Artikel 13 WBP spreekt immers van passende maatregelen en niet van waterdichte maatregelen. Naar omstandigheden zijn waterbestendige maatregelen ook passend. Overigens valt iedere vorm van beveiliging te doorbreken als je er maar genoeg moeite voor doet:100% veilig bestaat niet. Iets geks aan de hand Hoe dan ook; wie scherper leest, komt tot de ontdekking dat er iets geks aan de hand is met het nieuwe artikel 34a lid 1, omdat in de bepaling wordt gesproken van de beveiliging zoals in artikel 13 WBP wordt bedoeld. Artikel 13 bevat dat zelfstandig naamwoord echter niet. Het artikel verwoordt de managementopdracht om technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking, waarmee ook de verplichting om te voorzien in privacy by design wordt bedoeld. Beveiliging tegen onrechtmatige verwerking en privacy by design, gaan vele malen verder dan de IT-securitymaatregelen volgens 'het vakgebied informatiebeveiliging' 26.

25

Mr Sergej Katus is partner bij Privacy Management Partners.

26

Het CBP gebruikt deze aanduiding in zijn nieuwe Richtsnoeren Beveiliging van Persoonsgegevens.




0.9 Pagina

38 van 55

Neem bijvoorbeeld de aflevering de Verzuimpolitie van het televisieprogramma Zembla op 19 september, waarin de programmamakers de werkwijze hekelden van bepaalde verzuimverzekeraars. De verzekeraars zetten werkgevers ertoe aan om gegevens van zieke werknemers aan hen door te spelen, wat volgens artikel 16 WBP in principe verboden is. Zo'n incident is geen securitykwestie maar een compliancekwestie. Ook was er óf geen sprake van privacy by design óf waren de PbD-maatregelen doorbroken. Want anders hadden de werkgevers de ziektegegevens nooit kunnen verstrekken. Let er op dat het nieuwe artikel 34a lid 1 aan het slot niet eens meer spreekt van de beveiliging van persoonsgegevens maar de bescherming van persoonsgegevens. Over de bescherming van persoonsgegevens gaat de héle WBP – in het bijzonder de basisprincipes van deugdelijk privacy management volgens artikelen 6-15. Dan vallen ook lekken door schending van geheimhoudingsplichten, zoals hierboven aangestipt, alsnog onder de meldplicht. Brede meldplicht Het wetsvoorstel Meldplicht Datalekken regelt daarmee iets anders dan een meldplicht voor incidenten op het gebied van IT-security zoals een hack, virus of de openstaande achterdeur van een server. Op de keper beschouwd staat in artikel 34a dat een verantwoordelijke bij het CBP aangifte moet doen van ieder incident waaruit valt af te leiden dat zijn privacybeleid niet (meer) passend is. Wie geen beleid voert, pleegt al helemaal een inbreuk op de beveiliging in de zin van artikel 13 WBP. De vraag is of het wetsvoorstel echt zo breed bedoeld is. Als dat niet zo is, is er tijdens de parlementaire behandeling alle reden voor nadere toespitsing. Per slot van rekening komt op niet-melding een boete te staan die kan oplopen tot 450.000 Euro. Maar in de memorie van toelichting geeft staatssecretaris Teeven, de indiener van het wetsvoorstel, aan dat het nieuwe artikel 34a nauw aansluit op de meldplicht in artikelen 31 en 32 van het EU-wetsvoorstel Algemene Verordening Gegevensbescherming27. En de meldplicht in de Avg is wél op z'n breedst geformuleerd. In beide artikelen wordt niet gesproken van beveiligingsincidenten maar van privacyincidenten. Wanneer melden? Bij een meldplicht volgens de huidige formulering van het wetsvoorstel, hebben informatieverwerkers na de inwerkingtreding van de wet Meldplicht Datalekken, dus eigenlijk ieder incident te melden waaruit blijkt dat het privacy management aanpassing behoeft. Let erop dat de meldplicht alleen geldt voor de verantwoordelijke volgens artikel 1d WBP en niet de bewerkers van 1e WBP. Of een incident risicovol is voor personen, is niet relevant. Persoonlijke impact speelt pas een rol bij de vraag of een informatieverwerker benadeelde personen moet informeren volgens het tweede lid van artikel 34a. Informatieverwerkers moeten goed gaan opletten. In de eerste plaats omdat de wet geen uitzondering maakt voor niet-zichtbare incidenten. Met 'ik wist het niet', komt een informatieverwerker niet weg. Richt daarom een eigen meldpunt in en vraag interne en externe doelgroepen om mee te helpen om incidenten aan het licht te brengen. KPN geeft wat dat betreft het goede voorbeeld. Zie het tabblad 'Melden beveiligingslekken' via www.kpn.com/privacy.htm [niet meer bereikbaar? - red.] en het artikel eerder in dit tijdschrift. In de tweede plaats moet een informatieverwerker goed opletten in situaties waarin hij incidenten niet meldt omdat hij een incident te gering van betekenis acht. Hij maakt zich dan kwetsbaar voor discussie en mogelijk juíst een boete. De meest veilige weg is om altijd te melden. Last but not least moet een informatieverwerker vooral op zijn tellen passen wanneer hij geneigd is om af te zien van melding om betrokkenheid van het CBP en reputatieschade te ontlopen. Onder de pet houden is een incident op zich – zéker wanneer de meldplicht op z'n breedst moet worden uitgelegd. Bovendien schept verzwijgen nieuwe problemen: hoe om te gaan met klokkenluiden, twitterberichten of toespelingen op voordelen zoals zwijggeld? Als het nieuws uitlekt, is de blamage des te groter en heeft het CBP extra reden om de boete te verzwaren tot het maximale bedrag van 450.000 Euro.

27

MvT, paragraaf 2.3.




0.9 Pagina

39 van 55

Bijlage 4: Doorbraak in ontwikkeling EU privacy Verordening Grote doorbraak in de EU privacy geeft ruimte voor ambitie: in mei 2014 moet de nieuwe privacy Verordening de huidige privacyrichtlijn gaan vervangen. De weg naar een nieuwe EU privacy Verordening Bron: Deloitte.ctrl - https://www.ctrl.nl/actual/voorstel-nieuwe-EU-privacy-verordening-2014.aspx In januari 2012 presenteerde de Europese Commissie een nieuw wettelijk kader dat de huidige privacyrichtlijn 95/46/EG moet gaan vervangen. De huidige richtlijn heeft ervoor gezorgd dat er een lappendeken aan nationale wetgeving rondom privacy is ontstaan, en de richtlijn is niet ingesteld op de huidige en toekomstige technologische ontwikkelingen. De voorgestelde Verordening dient een, voor alle lidstaten direct geldend, technologie-neutraal wetskader te zijn dat kan anticiperen op deze ontwikkelingen. In het begin van 2013 presenteerde Jan Philipp Albrecht, MEP en rapporteur van de Verordening binnen de Commissie burgerlijke vrijheden van het Europees Parlement (hierna: LIBE Commissie), een tweede concept. Dit concept is gebaseerd op de 3133 amendementen die door o.a. het bedrijfsleven en diverse belangengroepen zijn ingediend. Uiteindelijk heeft Albrecht meer dan 350 amendementen doorgevoerd. Doorbraak: stemming over de conceptverordening Maandagavond, 21 oktober 2013, is er binnen de LIBE Commissie gestemd over deze conceptverordening. Uiteindelijk is er met 51 stemmen voor en 1 tegen (en 3 onthoudingen) gestemd. Een grote stap in het vormgeven en tot stand brengen van de Europese privacy Verordening is daarmee gezet. De ambitie is nu om de nieuwe Verordening gereed te hebben voor de komende verkiezingen voor het Europees Parlement, volgend jaar mei. De Verordening lijkt dus echt onderweg te zijn. Hieronder bespreken wij puntsgewijs de meest opvallende aspecten van de conceptverordening (opmerking: de nummering weerspiegelt geen onderlinge hiërarchie). Wat zijn de belangrijkste punten uit de voorgestelde privacy Verordening? 1. Voor doorgifte van Europese persoonsgegevens aan buitenlandse overheden is toestemming van een toezichthoudende autoriteit vereist (No-NSA clause). Bedrijven mogen persoonsgegevens van Europese burgers niet meer zomaar delen wanneer buitenlandse overheden (van derde landen) dit verzoeken. Voorafgaand aan een dergelijk verzoek dient een toezichthoudende autoriteit hiervoor toestemming te geven. Dit is een duidelijke reactie op de onthullingen van de laatste tijd met betrekking tot PRISM en de NSA en kan dan ook gezien worden als een sterke reactie daarop. 2. Profiling en gebruik van pseudonieme gegevens. Voor organisaties wordt het mogelijk gemaakt om gemakkelijker gepseudonimiseerde gegevens te verwerken, bijvoorbeeld in een database waarbij NAW gegevens zijn vervangen door ID nummers. Echter, indien de verantwoordelijke ook de 'sleutel' tot deze gegevens bezit (dus een tabel die de ID nummers weer terug herleidt naar de NAW gegevens), dan wordt de data niet meer als pseudoniem aangemerkt. Deze nieuwe regeling zal het voor veel organisaties met grote (klant) databases makkelijker maken om deze gegevens te verwerken en profiling toe te passen. Echter is het van nog groter belang om interne maatregelen te nemen om deze Chinese wall in te richten. 3. Boetes: maximaal 5% van de wereldwijde jaaromzet. Indien een organisatie de voorgestelde regels niet naleeft of overtreedt, loopt zij het risico op een boete van €100.000.000 of op een boete bestaande uit 5% van de wereldwijde jaaromzet van die organisatie. Omdat de boete wordt bepaald aan de hand van de omzet, kan dit voor organisaties waar de winst onder druk staat, een gigantisch probleem opleveren. 4. Criterium voor verplicht aanstellen Functionaris voor de Gegevensbescherming (FG). Organisaties die binnen een jaar persoonsgegevens verwerken van meer dan 5000 personen, dienen verplicht een Functionaris voor de Gegevensbescherming aan te stellen. In de praktijk zal dit voor veel organisaties een verplichting tot het aanstellen van een FG betekenen.




0.9 Pagina

40 van 55 5. Verplichting tot uitvoeren risico analyses. De verantwoordelijke (en mogelijk de bewerker) dient indien zij persoonsgegevens verwerkt, een risicoanalyse uit te voeren om na te gaan of en welke risico's zich mogelijk bij de verwerking van de persoonsgegevens kunnen presenteren. De Verordening omschrijft welke verwerkingen hoogstwaarschijnlijk bepaalde risico's met zich meedragen. Het is nog niet gedefinieerd of dit een verplichte PIA (privacy impact assessment) betekent maar ook dit zal aanvullende verplichtingen met zich meebrengen. 6. Datalekken: melden binnen 72 uur. Indien er sprake is van een datalek dient de verantwoordelijke dit zo snel mogelijk, maar uiterlijk binnen 72 uur, te melden aan de toezichthoudende autoriteit. De bewerker is ook verplicht een dergelijk datalek zo snel mogelijk te melden aan de verantwoordelijke. Onder bepaalde omstandigheden kan er ook een verplichting ontstaan om de betrokkene persoonlijk van de datalek op de hoogte te brengen. 7. Recht om gegevens te wissen (Right to erasure). Betrokkenen hebben het recht om van de verantwoordelijke te eisen dat alle persoonsgegevens van hem of haar worden gewist. Dit wat beter uitvoerbare recht komt in de plaats van het veelbesproken right to be forgotten. Dit right to erasure geldt ook voor alle gegevens die de verantwoordelijke met behulp van een derde verwerkt. De verantwoordelijke heeft een plicht om al deze ingeschakelde (derde) partijen over het verzoek van de betrokkenen in te lichten en dient na te gaan of deze partijen ook werkelijk aan dit verzoek hebben voldaan. 8. Expliciete toestemming van de betrokkene. In het geval dat toestemming als grondslag wordt gebruikt, is de verantwoordelijke in principe genoodzaakt om expliciet toestemming te verkrijgen van de betrokkene voor het verwerken van persoonsgegevens. Ook moet het voor de betrokkene gemakkelijk zijn om deze toestemming weer in te trekken. 9. Mogelijkheid voor organisaties tot verkrijgen van Compliance Certificaat. Een organisatie mag aan toezichthoudende instanties binnen de Europese Unie vragen om een bevestiging dat zij zich houden aan de regels neergelegd in de Verordening. Dit gaat om een zogenoemde Data Protection Seal, oftewel een certificaat dat bewijst dat het organisatie privacy compliant is. De toezichthoudende autoriteit wijst hier speciale derde onafhankelijke partijen (auditors) voor aan die de audit namens de toezichthoudende autoriteit uitvoeren. De toezichthoudende autoriteit beoordeelt de audit die isuitgevoerd door de derde partij en heeft uiteindelijke het laatste woord. Het verkrijgen van dit certificaat is een uitstekende manier voor organisaties om zich in de markt te profileren als privacy compliant. 10. Gerechtvaardigd belang blijft bestaan als grondslag. In tegenstelling tot eerdere berichten en voorstellen, heeft het voorstel om de grondslag van gerechtvaardigd belang in te perken, het niet gehaald in deze versie. Gerechtvaardigd belang blijft dus een mogelijke grondslag, al moet in de praktijk nog blijken hoe breed deze norm zal worden uitgelegd. Gevolgen van de wijzigingen De bovenstaande wijzigingen zullen een grote invloed hebben op organisaties die persoonsgegevens verwerken. Het niet-compliant zijn aan de bovenstaande regels kan nu echt enorme gevolgen hebben. Denk aan mededinging-achtige boetes! Organisaties moeten daarom nu al gaan nadenken over de inrichting van hun privacy beleid en de wijze waarop persoonsgegevens worden verwerkt. Daarnaast is toepassing van Privacy by Design op al uw interne bedrijfsprocessen, zoals ook benadrukt in het voorstel, dé manier om voorop te lopen en de aankomende veranderingen op het gebied van wetgeving met zelfvertrouwen tegemoet te treden. Denk nu al na over de aankomende nieuwe regelgeving en wat de impact op uw bedrijfsvoering zal zijn. Wat zijn de gevolgen voor het MKB? Er gelden geen aanpassingen of uitzonderingen voor MKB-bedrijven. De verplichting tot het aanstellen van een Functionaris voor de gegevensbescherming geldt voor bedrijven die persoonsgegevens verwerken van meer dan 5000 personen. Maar hieraan voldoen ook veel kleinere bedrijven. Een kleine webshop heeft al snel een klantenbestand van 5000 klanten of meer. De verordening is op elk bedrijf dat persoonsgegevens verwerkt van toepassing. Ook dus op de kleinere bedrijven. Wel is het punt van de boete voornamelijk gericht op de echt grote bedrijven die heel veel persoonsgegevens verzamelen en de




0.9 Pagina

41 van 55 regels aan hun laars lappen. De "No-NSA clause" is voornamelijk ook een signaal naar landen buiten Europa die persoonsgegevens vorderen. Op het moment is er weinig wetgeving die dit soort verzoeken regelt. Om zicht en controle over deze verzoeken te krijgen is deze "No NSA clause" ontstaan. Next steps Nu de LIBE Commissie de Verordening heeft goedgekeurd, is het de beurt aan de Raad van Ministers. De rapporteurs hebben nu het mandaat gekregen om namens de LIBE commissie tot een compromis te komen met de Raad. Op 24 en 25 oktober zal de Verordening op de Raad worden besproken. In deze bijeenkomst zullen de 28 lidstaten hun mening kunnen geven over het voorstel en zal er verder worden gesproken over de inhoud. Vervolgens gaan de onderhandelingen verder tussen het Europees Parlement en de Raad van Ministers, onder toeziend oog van de Europese Commissie in het kader van een zogenaamde triloog. Pas bij een akkoord kan de Verordening realiteit worden. De ambitie is om voor de verkiezingen in het Europees Parlement, in mei 2014, een definitief akkoord te hebben over de Verordening. Omdat het een Verordening betreft, kan hij daarna snel in werking treden, al is het nog de vraag of er een overgangsperiode in wordt opgenomen. De nieuwe regels lijken nu snel realiteit te worden. Terwijl deze triloog plaatsvindt, is het cruciaal dat organisaties intern de dialoog aangaan. Op executive niveau moeten nu de knopen worden doorgehakt over hoe de organisatie met privacy omgaat. Zowel intern als extern is dit het uitgelezen moment voor voorbereidingen op de nieuwe regels. Bron: Deloitte. Na 24 oktober 2013 zijn er geen wijzigingen meer in dit artikel aangebracht, derhalve zijn ook wijzigingen in regelgeving of ontwikkelingen in de rechtspraak van latere datum, niet verwerkt.




0.9 Pagina

42 van 55

Bijlage 5: 2013

28

Cost of Data Breach Study: United Kingdom

Ponemon Institute, May 2013 Executive Summary29 Symantec Corporation and Ponemon Institute are pleased to present the 2013 Cost of Data Breach Study: United Kingdom, our sixth annual benchmark study concerning the cost of data breach incidents for companies located in the UK. In this year's study, the average per capita cost of a data breach increased from £79 to £86. Ponemon Institute conducted its first Cost of Data Breach study in the United States eight years ago and the United Kingdom six years ago. Since then, we have expanded the study to include Germany, France, Australia, Italy, Japan and, for the first time this year, Brazil. To date, 196 UK organisations have participated in the benchmarking studies since the inception of this research series six years ago. Since Ponemon Institute began studying this issue, several EU countries have enacted laws requiring the controller of databases that contain personal information to inform affected individuals in the event of data loss or theft. In an effort to reduce administrative burdens and the cost of compliance with data protection laws, including data breach notification, the European Commission announced a proposal to reform the European Union's data protection framework. Announced in January 2012, the proposed regulation creates a single set of European rules that would be valid everywhere for all EU member countries30. At present, the Information Commissioner's Office (ICO) has had the power to fine organizations up to £500,000 for failing to prevent data breaches. The size of the imposed fine is proportional to the seriousness of the breach, the organisation's financial resources and the sector it services. The UK financial sector is regulated with even harsher penalties. Based on changes in the regulatory landscape, we believe organisations are taking the protection of sensitive and confidential data more seriously in order to avoid costly fines and the loss of reputation or marketplace image. This year's study examines the costs incurred by 38 UK companies in 12 industry sectors after these companies experienced the loss or theft of protected personal data and then had to notify breach victims and/or regulators as required by law. It is important to note the costs presented in this research are not hypothetical but are from actual data loss incidents. They are based upon cost estimates provided by the more than 300 individuals we interviewed over a 10-month period in the companies that are represented by this research. The number of breached records per incident this year ranged from 3,534 records to 70,360 records in this year's study. The average number of breached records was 23,833. We do not include organizations that had data breaches in excess of 100,000 because they are not representative of most data breaches and to include them in this study would skew the results. (…) This report examines a wide range of business costs, including expense outlays for detection, escalation, notification, and after-the-fact (ex-poste) response. We also analyse the economic impact of lost or diminished customer trust and confidence as measured by customer turnover or churn.

28

Please note that all data breach incidents studied in this year's report happened in the 2012 calendar year.

Het complete rapport: http://docs.media.bitpipe.com/io_10x/io_102267/item_692230/2013%20Report%20UK%20CODB%20FINAL%204 1.pdf 29

See: European Commission Proposal for a Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data. 30




0.9 Pagina

43 van 55

The following are the most salient findings of our research: The cost of data breach continues to rise. For the sixth consecutive year, the cost per lost or stolen record has increased. Based on the experience of the 38 organisations participating in this study, the average per capita cost increased from £79 to £86. The organisational cost also increased from £1.75 to million to £2.04 million. In the context of this report, we define a record as information that identifies an individual and regulations require notification of data breach victims. Fewer customers remain loyal following the data breach. Abnormal churn as a result of the data breach incident increased by 7 percent in 2012. Consistent with earlier studies, certain industries, such as financial services, pharmaceutical companies and service organisations, are more susceptible to customer churn. While negligence is the main cause of data breach, malicious or criminal attacks are most costly. Thirty-seven percent of data breaches involved negligent employees or contractors (a.k.a. human factor). Malicious or criminal attacks have increased slightly from 31 percent to 34 percent of data breaches. This type of breach is also the most costly. Specifically, the per capita cost of data breach caused by malicious or criminal attacks (exfiltration) was £102. Data breaches due to system or business process failures was £79 and data breaches caused by employee or contractor negligence was £76 per compromised record. Lost business costs increased from £779 thousand in 2011 to £921 thousand in 2012. These costs refer to abnormal turnover of customers (a higher than average loss of customers for the industry or organisation), increased customer acquisition activities, reputation losses and diminished goodwill. Lost business cost has steadily increased over six years from a low of approximately £500 thousand in 2007. Certain organisational factors reduce the overall cost. If the organisation has a formal incident response plan in place prior to the incident, the average cost of a data breach was reduced as much as £13 per compromised record. In addition, a strong security posture and the appointment of a CISO reduced the cost as much as £13 and £9 per compromised record, respectively. Finally engaging outside consultants to assist with the breach response also saved £4 and quick notification saved £2 per record. When considering the average number of records lost or stolen, these factors can provide significant and positive financial benefits. Specific attributes or factors of the data breach also can increase the overall cost. For example, data breaches caused by or occurring at a third-party organisation such as a vendor or business partner increased per capita cost by £17. Finally, data breach incidents involving the loss or theft of data bearing devices increased the cost by as much as £10 per compromised record. Ex-poste response and detection costs increased slightly. The costs associated with exposte response increased from approximately £451 thousand in 2011 to £508 thousand in 2012. Ex-poste response costs refer to all activities that attempt to address victim, regulator and plaintiff counsels' concerns about the breach incident. This cost category also includes legal and consulting fees that attempt to reduce business risk and liability. Redress, identity protection services and free or discounted products are also included in this cost category. Similarly, the costs associated with detection and escalation activities increased from £377 thousand in 2011 to £454 thousand in 2012. This category refers to activities that enable a company to detect the breach and determine its root cause. It also includes upstream and lateral communications that are required to focus activities and keep management informed.




0.9 Pagina

44 van 55

Bijlage 6: Wetsvoorstel Meldplicht datalekken en artikelsgewijze toelichting Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken) VOORSTEL VAN WET (integrale teksten) ARTIKEL I De Wet bescherming persoonsgegevens wordt als volgt gewijzigd: A Artikel 14 wordt als volgt gewijzigd: 1. In de eerste volzin van het eerste lid wordt "met betrekking tot de te verrichten verwerkingen" vervangen door: met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de persoonsgegevens die door hem worden verwerkt. 2. Het derde lid komt te luiden: 3. De verantwoordelijke draagt zorg dat de bewerker: a. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid; b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13, en, c. de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de persoonsgegevens die door hem worden verwerkt. 3. In het vierde lid wordt "in afwijking van derde lid, onder b." vervangen door: in afwijking van het derde lid, onder b en c. 4. In het vijfde lid wordt "alsmede de beveiligingsmaatregelen als bedoeld in artikel 13" vervangen door: "de beveiligingsmaatregelen, bedoeld in artikel 13, en de verplichting tot melding van een inbreuk op de beveiliging waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de persoonsgegevens die door hem worden verwerkt. B Na artikel 34 wordt in hoofdstuk 5 een artikel ingevoegd, luidende: Artikel 34a 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.




0.9 Pagina

45 van 55 6. De kennisgeving aan de betrokkene is niet vereist indien de verantwoordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens. 7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk nadelige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet. 8. De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit overzicht bevat in elk geval de feiten en de gegevens, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene. 9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet. 10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht. 11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving. C Na artikel 51 wordt een artikel ingevoegd, luidende: Artikel 51a 1. Het College is bevoegd om in het belang van een efficiënt en effectief toezicht op de naleving op de verwerking van persoonsgegevens afspraken te maken met andere toezichthouders en daartoe gezamenlijk met deze toezichthouders samenwerkingsprotocollen vast te stellen. Een samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant. 2. Het College verstrekt de toezichthouders, bedoeld in het eerste lid, de gegevens betreffende de verwerking van persoonsgegevens welke zij behoeven voor de uitvoering van hun taak. 3. De toezichthouders, bedoeld in het eerste lid, zijn bevoegd uit eigen beweging en desgevraagd verplicht aan het College de gegevens betreffende de verwerking van persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering en het toezicht op de naleving van deze wet. 4. De in het tweede en derde lid bedoelde gegevensverstrekking vindt niet plaats indien de persoonlijke levenssfeer van de betrokkene daardoor onevenredig wordt geschaad. D Artikel 66 wordt als volgt gewijzigd: 1. Voor de tekst wordt de aanduiding "1." geplaatst. 2. Er worden een lid toegevoegd, luidende: 2. Het College kan aan de verantwoordelijke een bestuurlijke boete opleggen van ten hoogste €450.00031 ter zake van overtreding van het bij of krachtens artikel 34a bepaalde, alsmede van artikel 5:20 van de Algemene wet bestuursrecht. E Artikel 71 komt te luiden: Artikel 71 De werking van de beschikking tot oplegging van de bestuurlijke boete wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist. ARTIKEL II De Telecommunicatiewet wordt als volgt gewijzigd: A In artikel 11.1 wordt, onder vervanging van de punt aan het slot van onderdeel j door een puntkomma, een onderdeel ingevoegd, luidende: 31

Dit bedrag wijkt inmiddels af van de laatste voorstellen in de EPV: ten hoogste €100 mln of 5% jaaromzet.




0.9 Pagina

46 van 55 k. College bescherming persoonsgegevens: het College bescherming persoonsgegevens, bedoeld in de Wet bescherming persoonsgegevens. B In artikel 11.3a, eerste, derde, vierde en vijfde lid, wordt "de Autoriteit Consument en Markt" telkens vervangen door: het College bescherming persoonsgegevens. C Artikel 15.1 wordt als volgt gewijzigd: 1. Onder vernummering van het derde en vierde lid tot vierde en vijfde lid wordt een nieuw derde lid ingevoegd, luidende: 3. Met het toezicht op de naleving van het bepaalde bij of krachtens artikel 11.3a zijn belast de bij besluit van het College bescherming persoonsgegevens aangewezen ambtenaren. 2. In de eerste volzin van het vierde lid wordt "eerste en tweede lid" vervangen door: eerste, tweede en derde lid. 3. In het vijfde lid wordt "eerste, tweede en derde lid" vervangen door: eerste, tweede, derde en vierde lid. D Artikel 15.2 wordt als volgt gewijzigd: 1. In het tweede lid wordt "artikel 15.1, derde lid" vervangen door: artikel 15.1, vierde lid. 2. Onder vernummering van het vierde en vijfde tot vijfde en zesde lid wordt na het derde lid een lid ingevoegd, luidende: 4. Het College bescherming persoonsgegevens is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de verplichtingen, gesteld bij of krachtens de in artikel 15.1, derde lid, bedoelde bepalingen. E Artikel 15.4 wordt als volgt gewijzigd: 1. Onder vernummering van het vierde, vijfde en zesde lid tot vijfde, zesde en zevende lid wordt na het derde lid een lid ingevoegd, luidende: 4. Het College bescherming persoonsgegevens kan een bestuurlijke boete opleggen van ten hoogste €450.000 ter zake van overtreding van de bij of krachtens de in artikel 15.1, derde lid, bedoelde regels, alsmede van artikel 5:20 van de Algemene wet bestuursrecht. 2. In het vijfde lid wordt "artikel 15.1, derde lid" vervangen door: artikel 15.1, vierde lid. F In artikel 15.5, eerste en tweede lid, en artikel 15.7, eerste en tweede lid, wordt "artikel 15.1, eerste, tweede, onderscheidenlijk derde lid" telkens vervangen door: artikel 15.1, eerste, tweede, derde, onderscheidenlijk vierde lid. ARTIKEL III In de artikelen 7 en 11 van bijlage 2 bij de Algemene wet bestuursrecht komt onderdeel b van de zinsnede met betrekking tot de Telecommunicatiewet te luiden: b. de artikelen 3.10, 15.2, vierde lid, 15.4, vierde lid en 18.9, eerste en tweede lid ARTIKEL IV 1. Ten aanzien van de mogelijkheid om bezwaar te maken tegen een besluit van de Autoriteit Consument en Markt op grond van de artikelen 15.2 en 15.4 van de Telecommunicatiewet terzake van overtreding van het bepaalde bij of krachtens artikel 11.3a van de Telecommunicatiewet dat is bekendgemaakt voor het tijdstip van inwerkingtreding van deze wet, blijft het oude recht van toepassing. 2. Op de behandeling van een bezwaarschrift tegen een besluit als bedoeld in het eerste lid, blijft het oude recht van toepassing.




0.9 Pagina

47 van 55 3. Ten aanzien van de mogelijkheid om beroep of hoger beroep in te stellen tegen een besluit van de Autoriteit Consument en Markt op grond van de artikelen 15.2 en 15.4 van de Telecommunicatiewet terzake van overtreding van het bepaalde bij of krachtens artikel 11.3a van de Telecommunicatiewet dat is bekendgemaakt voor het tijdstip van inwerkingtreding van deze wet, blijft het oude recht van toepassing. 4. Op de behandeling van het beroep en hoger beroep tegen een besluit als bedoeld in het eerste lid, blijft het oude recht van toepassing. ARTIKEL V Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. Artikelsgewijze toelichting (uit: Memorie van toelichting) Artikel I, onderdeel A (wijziging artikel 14 Wbp) Deze wijzigingen zijn in paragraaf 3.3 van het algemeen deel van deze memorie toegelicht. 32 Artikel I, onderdeel B (artikel 34a) Eerste en tweede lid (melding aan CBP en aan betrokkene) In overeenstemming met het nieuwe artikel 11.3a van de Tw is ervoor gekozen om de verantwoordelijke te verplichten de melding zowel aan het CBP als aan de betrokkene te doen. In het voorgestelde artikel 34a, eerste en tweede lid, van de Wbp is dat geregeld. Met de meldplicht aan het CBP wordt beoogd het toezicht op potentieel ernstige datalekken te ondersteunen. Het CBP moet door de verantwoordelijke worden geïnformeerd opdat het CBP kan beoordelen of een onderzoek of het geven van aanwijzingen noodzakelijk is. Het is geen gegeven dat het CBP iedere melding laat volgen door een onderzoek of andere maatregelen. Of een onderzoek en verdere maatregelen volgen, is afhankelijk van de omstandigheden. Het CBP zal de ingekomen meldingen moeten bezien en daarop reageren in overeenstemming met de door het college zelf gestelde prioriteiten. Verder geldt dat een verantwoordelijke die handelt op de manier die van hem mag worden verwacht zelf zo spoedig mogelijk de nodige maatregelen treft om het datalek te dichten en herhaling van het voorval tegen te gaan. De verantwoordelijke zal ook bekend maken wat hij onderneemt. Een melding bij het CBP zal in die gevallen veelal zonder enige reactie blijven. Het ligt overigens in de rede dat het CBP deze meldingen zelf wel opslaat, mede om daarover, bijvoorbeeld in het jaarverslag, verantwoording over af te leggen. Het NGFG wijst er in zijn zienswijze terecht op dat het voor de hand ligt dat een melding aan het CBP vergezeld gaat van een melding aan de functionaris voor de gegevensbescherming, indien deze is aangesteld. Met de meldplicht aan de betrokkene wordt beoogd de betrokkene op de hoogte te stellen van de feitelijke situatie en de consequenties die dat voor zijn belangen heeft. De betrokkene heeft aldus de mogelijkheid nadere informatie te vragen of te beslissen of hij van zijn rechten op inzage, correctie of afscherming gebruik wil maken. Artikel 11.3a, tweede lid, van de Tw bevat bij de meldplicht aan de betrokkene de voorwaarde "indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer". Die voorwaarde is ook opgenomen in het voorgestelde artikel 34a, tweede lid, van de Wbp. Uit artikel 34a, eerste lid, van de Wbp volgt voldoende duidelijk onder welke beperkende omstandigheden er een meldplicht bestaat. Door de in artikel 34a, tweede lid, van de Wbp opgenomen verwijzing naar het eerste lid is voldoende duidelijk dat de beperkende omstandigheden uit het eerste lid ook gelden voor de meldplicht uit het tweede lid. Voor organisaties die een functionaris voor de gegevensbescherming hebben aangesteld, ligt het voor de hand dat de functionaris degene is die belast is met de feitelijke uitvoering van de melding namens de verantwoordelijke. Het ligt evenzeer voor de hand dat het CBP in de gevallen waarin nader contact met de verantwoordelijke nodig is, zich met de functionaris in verbinding stelt. 32

Voor de goede orde: niet par. 3.3 van deze notitie -rb




0.9 Pagina

48 van 55

De suggestie van Bits of Freedom om elk datalek onder alle omstandigheden ook aan de betrokkene te melden wordt niet gevolgd. Stellig zou dat leiden tot maximale transparantie, maar dat belang moet worden afgewogen tegen het belang van het beheersen van de lasten van de verantwoordelijke. Dat heeft geleid tot bovenvermelde belangenafweging. Derde lid (inhoud van de melding) De kennisgeving aan het CBP en betrokkene omvat in het voorgestelde artikel 34a, derde lid, Wbp een aantal gemeenschappelijke elementen. In elk geval worden steeds de aard van de inbreuk, de instanties waar meer informatie kan worden verkregen en aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken gemeld. Bij vermelding van de aard van de inbreuk zal doorgaans met een algemene omschrijving kunnen worden volstaan. Wanneer de betrokkene wil weten waar hij persoonlijk aan toe is, kan hij contact opnemen met de verantwoordelijke. Die moet daartoe in de kennisgeving contactgegevens opnemen. Organisaties die een functionaris voor de gegevensbescherming hebben aangesteld kunnen overwegen dat contact via de functionaris te laten verlopen, al doet dat niets af aan de verantwoordelijkheid van de verantwoordelijke, zoals het NGFG terecht in haar zienswijze stelt. Verder dient de verantwoordelijke, ter beperking van de schade die door het mogelijke verlies of de onrechtmatige verwerking kan ontstaan, maatregelen bekend te maken die de betrokkene zelf kan of moet nemen. Gedacht kan worden aan het veranderen van gebruikersnamen en wachtwoorden wanneer deze door de inbreuk mogelijk gecompromitteerd zijn. Het staat de verantwoordelijke vrij om meer toe te voegen aan de kennisgeving, maar verplicht is dat niet. De kennisgeving aan het CBP omvat meer elementen. In het voorgestelde artikel 34a, vierde lid, van de Wbp moeten aan het CBP meer gegevens, vooral van technische aard, worden gemeld. Dat stelt het CBP in staat effectief toezicht uit te oefenen. De aanvullende kennisgeving is echter ook in het belang van de verantwoordelijke. Het kan zijn dat bij de kennisgeving melding moet worden gemaakt van technische details die van vertrouwelijke aard zijn. Van het ongecontroleerd prijsgeven van details over de beveiliging van persoonsgegevens kunnen kwaadwillenden immers profiteren. Bedrijven kunnen deze gegevens desgewenst expliciet als bedrijfsvertrouwelijk in de zin van artikel 10, eerste lid, onder c, van de Wet openbaarheid van bestuur aanmerken. Er is dan sprake van een behoorlijk niveau van bescherming van die informatie. Er is dan ook geen noodzaak over te gaan tot een wettelijke voorziening die deze meldingen principieel steeds als vertrouwelijk aanmerkt, zoals VNO/NCW-MKB Nederland en ICT Office hebben bepleit. Anders dan het Agentschap Telecom adviseert, wordt niet voorzien in een verplichting tot een nadere melding wanneer de oorzaak van het incident is achterhaald en de gebreken zijn verholpen. Of een dergelijke mededeling opportuun is, is aan de betrokken instelling of bedrijf overgelaten. Vijfde lid (wijze van melden) Ter beperking van de administratieve lasten en nalevingskosten is bewust gekozen voor een zo eenvoudig mogelijke melding. Wel zijn er enkele minimumeisen opgenomen met betrekking tot de inhoud van de melding. Het voorgestelde artikel 34a, vijfde lid, van de Wbp geeft een in het systeem van de Wbp passende afwegingsplicht mee. De verantwoordelijke moet rekening houden met de aard van de inbreuk en de gevolgen ervan. Daarnaast mag hij rekening houden met de omvang van de kring van de betrokkenen en de kosten van de tenuitvoerlegging. Wanneer de inbreuk zich zou beperken tot een verhoudingsgewijs klein aantal betrokkenen, kan de verantwoordelijke ervoor kiezen hen persoonlijk en gericht te benaderen. Wanneer de inbreuk een groot aantal betrokkene treft, ligt naast de gebruikelijke bekendmaking op een website een advertentie in de dagbladen meer in de rede. Zonodig kunnen nadere regels worden gesteld voor gebruikmaking van een formulier, of een ander format, bij algemene maatregel van bestuur op grond van artikel 34a, elfde lid, van de Wbp worden voorgeschreven, zoals het CBP suggereert. Dit formulier zal dan alleen gebruikt worden voor de melding aan het CBP, niet voor de melding aan de betrokkenen.




0.9 Pagina

49 van 55 Het advies van CBP en de zienswijze van VNO/NCW-MKB Nederland, ICT Office en het NGFG om voor het tijdstip van de melding een gefixeerde tijdslimiet te hanteren wordt niet gevolgd. De maatstaf onverwijld wordt gehandhaafd om de aansluiting bij de Tw te handhaven. Bovendien geeft het de verantwoordelijke enige gelegenheid om onderzoek te doen naar de inbreuk, te overwegen welke maatregelen hij aanbeveelt en de manier waarop hij communiceert met CBP en betrokkenen. Zesde lid (uitzonderingen op de meldplicht) Wanneer de verantwoordelijke de moeite heeft genomen de door hem verwerkte persoonsgegevens zodanig te beveiligen dat het redelijkerwijs is uitgesloten dat een datalek kan leiden tot kennisname van persoonsgegevens door onbevoegden, kan de kennisgeving aan de betrokkene achterwege worden gelaten. Het voorgestelde artikel 34a, zesde lid, van de Wbp verwijst naar het gebruik van encryptie, maar laat de mogelijkheid open dat andere technieken die een vergelijkbaar beschermingsniveau bieden ook in aanmerking komen. Naar aanleiding van een suggestie van Bits of Freedom merken wij op dat het wetsvoorstel geen maatstaven bevat waaraan de encryptie moet voldoen. Dat past bij het techniekneutrale karakter van de Wbp. Naar aanleiding van het advies van het CBP en de zienswijzen van VNO/NCW-MKB Nederland en het NGFG is een voorafgaand oordeel van het CBP over de kwaliteit van de encryptie geschrapt. Zodoende blijft de verantwoordelijke in staat zelf het beveiligingsniveau vorm te geven. De verantwoordelijke kan zelf in zijn kennisgeving aan het CBP aangeven dat hij van oordeel is, dat een kennisgeving aan de betrokkene achterwege kan blijven. Echter, bij de beoordelingsruimte die het CBP krijgt toegekend, past dat het CBP zonodig expliciet kan verlangen dat de verantwoordelijke toch een kennisgeving aan de betrokkene doet. Deze voorziening is opgenomen in het voorgestelde artikel 34a, zevende lid, van de Wbp. De meldplicht krachtens het voorgestelde artikel 34a geldt niet, indien de verantwoordelijke in zijn hoedanigheid van aanbieder van een openbare elektronische communicatiedienst op grond van artikel 11.3a, eerste en tweede lid, van de Tw al een kennisgeving heeft gedaan. Deze uitzondering op de meldplicht van artikel 34a van de Wbp geldt niet in situaties waarin de verantwoordelijke een ander is dan de aanbieder van de openbare elektronische communicatiedienst bedoeld in artikel 11.3a van de Tw. In een dergelijk geval is een inbreuk gemaakt op zowel de beveiligingsmaatregelen die de verantwoordelijke moet nemen ter uitvoering van artikel 13 Wbp als op de maatregelen die de aanbieder op grond van artikel 11.3 Tw moet nemen. Dan moeten beide partijen een melding doen op grond van artikel 34a Wbp, respectievelijk 11.3a Tw. Achtste lid (protocolplicht verantwoordelijke) Op grond van het voorgestelde artikel 34a, achtste lid, van de Wbp moet de verantwoordelijke een overzicht bijhouden van alle inbreuken. Dat betreft ook de inbreuken die wel zijn geconstateerd, maar niet zijn gemeld, omdat zij naar het oordeel van de verantwoordelijke niet waren aan te merken als meldingsplichtige inbreuken. Het is voor de verantwoordelijke van belang dit protocol goed bij te houden. Mocht de toezichthouder achteraf vragen hebben aan de verantwoordelijke, dan kan de laatste aan de hand van zijn protocol aantonen wat hij heeft geconstateerd en welke maatregelen hij heeft genomen. Verder dienen de gegevens die aan het CBP zijn verstrekt te worden geregistreerd, alsmede de tekst van de kennisgeving die de verantwoordelijke aan de betrokkene doet. Deze protocolplicht is uitsluitend bedoeld voor de ondersteuning het interne en externe toezicht op de gegevensverwerking. Zo kan bijvoorbeeld achteraf aan de hand van het protocol door de toezichthouder worden beoordeeld of een geconstateerde, maar niet gemelde inbreuk toch had moeten worden gemeld. Het protocol heeft niet de functie van een openbaar register. Het belang bij het vertrouwelijk blijven van details met betrekking tot de beveiliging van de gegevensverwerking en de daarmee gemoeide investeringen staat daaraan in de weg. De aanbeveling van Bits of Freedom om dit protocol juist wel openbaar te maken wordt dan ook niet gevolgd. Negende lid (samenloopvoorziening Wbp-Tw) Indien in een inbreukgeval zowel artikel 11.3a van de Tw als artikel 34a van de Wbp in beginsel van toepassing zijn, en de verantwoordelijke dezelfde persoon is als de aanbieder van de elektronische communicatiedienst, hoeft deze uitsluitend op grond van artikel 11.3a van de Tw een melding te doen. In dat geval hoeft hij in zijn




0.9 Pagina

50 van 55 hoedanigheid als verantwoordelijke geen melding meer te doen op grond van artikel 34a van de Wbp. Artikel 34a, negende lid, van de Wbp bevat daarvoor een voorziening. Is de verantwoordelijke die op grond van artikel 34a van de Wbp meldingsplichtig is, een ander dan de aanbieder van de elektronische communicatiedienst die op grond van artikel 11.3a van de Tw meldingsplichtig is, bijvoorbeeld omdat die aanbieder de bewerker in de zin van de Wbp is, dan moeten beide partijen voldoen aan hun meldplicht. Elfde lid (delegatiebepaling) In het voorgestelde artikel 34a, elfde lid, van de Wbp is de grondslag opgenomen voor een algemene maatregel van bestuur. In die maatregel kunnen nadere regels worden opgenomen met betrekking tot de inhoud en de wijze van kennisgeving. De meldplicht voor datalekken is een nieuwe regeling waarmee nog weinig ervaring bestaat. Wanneer meer ervaring is opgedaan met de nieuwe regeling kan blijken dat er behoefte bestaat aan aanvullende regels over de kennisgeving. Zekerheid bestaat daarover niet, zodat volstaan kan worden met een bevoegdheid tot het stellen van nadere regels. Een vergelijkbare bepaling is opgenomen in artikel 11.3a, zevende lid, van de Tw. Het ligt in de rede dat wanneer de noodzaak tot het vaststellen van deze nadere regels zich aandient, die regels in één algemene maatregel van bestuur worden opgenomen die zijn grondslag vindt in zowel de Wbp als de Tw. Artikel I, onderdeel C (artikel 51a Wbp) Het CBP heeft in de afgelopen jaren samenwerkingsrelaties van uiteenlopende aard ontwikkeld met andere toezichthouders op gebieden waar sprake is van aan elkaar grenzende verantwoordelijkheden. Het toezicht op de naleving op de verwerking van persoonsgegevens speelt immers op velerlei terreinen een rol. Ook op terreinen waarop sectorspecifiek toezicht is ingesteld. Op drie specifieke terreinen heeft dit inmiddels geleid tot het vaststellen van samenwerkingsprotocollen. Het eerste betreft het terrein van de telecommunicatie. Het CBP heeft samenwerkingsprotocollen met de ACM en met het Agentschap Telecom (AT) van het Ministerie van Economische Zaken, Landbouw en Innovatie. De ACM draagt (mede) zorg voor het toezicht op de naleving van de hoofdstukken 11 en 13 van de Telecommunicatiewet. In die hoofdstukken vinden belangrijke gedeelten van het gegevensbeschermingsrecht voor de telecommunicatiesector regeling. Het AT draagt specifiek zorg voor het toezicht op de naleving van de bepalingen uit de Telecommunicatiewet met betrekking tot de dataretentie. Het tweede terrein betreft de zorg. Het CBP beschikt ook over samenwerkingsprotocollen met de Nederlandse zorgautoriteit (Nza) en met de Inspectie voor de gezondheidszorg (IGZ). De Nza houdt toezicht op de naleving van de Zorgverzekeringswet en heeft uit den hoofde ook bemoeienis met de verwerking van persoonsgegevens door de zorgverzekeraars. De IGZ houdt toezicht op de naleving van een groot aantal wetten op het gebied van de zorg en komt daar in aanraking met de verwerking van persoonsgegevens door zorgaanbieders. Een derde terrein is het gebied van inkomen en sociale zekerheid. De Inspectie SZW houdt toezicht op de uitvoering van de sociale zekerheidswetgeving en komt daar in aanraking met de verwerking van persoonsgegevens door de uitvoeringsinstanties. Het is zonder meer voorstelbaar dat in andere sectoren deze samenwerkingsrelaties ook worden ontwikkeld. Onverminderd de eigen verantwoordelijkheid van elk van de in aanmerking komende toezichthouders is het voor een efficiënt en effectief toezicht op de naleving van belang dat het CBP en de andere daarvoor in aanmerking komende toezichthouders elkaar zonodig over en weer toezichtgegevens kunnen verstrekken. In de praktijk blijkt dat zich van tijd tot tijd de noodzaak voordoet dat daarbij ook persoonsgegevens moeten worden verstrekt. Daarvoor is in verband met toepassing van de artikelen 7 en 9 van de Wbp een behoorlijke wettelijke grondslag vereist. In artikel I, onderdeel E, van het wetsvoorstel is daartoe een voorziening getroffen, mede naar aanleiding van het advies van het CBP. Het nieuwe artikel 51a van de Wbp is gebaseerd op een van de modellen opgenomen in het bij brief van de Minister van Justitie van 29 oktober 2008 aan de Voorzitter van de Tweede Kamer der Staten-Generaal (Kamerstukken II 2008/09, 31 700 VI, nr. 70) gezonden rapport van de Werkgroep herijking toezichtsregelgeving. In verband met de door artikel 28 van de richtlijn gegarandeerde onafhankelijke positie van het CBP moeten wel enige bijzondere voorzieningen worden getroffen. Er kan geen sprake zijn van een eenzijdig op te leggen verplichting - hetzij door de wetgever, hetzij anderszins - tot deze gegevensoverdracht. Dat behoort een zaak van consensus te zijn. Daarom staat in het voorgestelde artikel 51a van de Wbp voorop




0.9 Pagina

51 van 55 dat het CBP bevoegd - dus niet verplicht - is met andere toezichthouders samenwerkingsprotocollen te sluiten. Eerst wanneer aan die voorwaarde is voldaan, kan er sprake zijn van een niet vrijblijvende wederzijdse gegevensverstrekking. Verder ligt het niet voor de hand dat het CBP dergelijke samenwerkingsprotocollen sluit met bestuursorganen die niet tevens de hoedanigheid hebben van toezichthouder. Dat zou kunnen leiden tot onevenwichtigheden. Het ligt in de bedoeling de gegevensuitwisseling tussen het CBP en andere instellingen na verloop van tijd - in samenwerking met het CBP - te bezien om te beoordelen of de samenwerkingsbepaling aan zijn doel beantwoordt. Artikel II, onderdelen A en B (wijzigingen Telecommunicatiewet) Met deze wijzigingen in hoofdstuk 11 van de Tw wordt beoogd de verantwoordelijkheid voor het in ontvangst nemen van meldingen op grond van artikel 11.3a Tw bij het CBP te beleggen. Artikel II, onderdelen C tot en met F (wijzigingen Telecommunicatiewet) Het CBP wordt volgens de systematiek van de Tw belast met het toezicht op de naleving van de bepalingen met betrekking tot de beveiligingsplichten en de meldplicht. Daartoe strekt de wijziging van artikel 15.1 Tw. Daarnaast krijgt het CBP de bevoegdheid tot oplegging van een last onder bestuursdwang. Dat wordt geregeld in het nieuwe artikel 15.2, vierde lid, Tw. Deze bevoegdheid brengt in het systeem van de Algemene wet bestuursrecht (Awb) van rechtswege de bevoegdheid tot het opleggen van een last onder dwangsom met zich mee. In het nieuwe artikel 15.4, vierde lid, Tw is voorzien in de bevoegdheid van het CBP tot oplegging van een bestuurlijke boete bij het niet naleven van de meldplicht. Opmerking verdient dat de Tw een van de Wbp afwijkende reikwijdtebepaling kent. Bepalend voor de bevoegdheid van de CBP is niet de regeling van artikel 4 van de Wbp, die uitgaat van de vestigingsplaats van de verantwoordelijke, maar het feit of de desbetreffende aanbieder van een openbare elektronische communicatiedienst overeenkomstig de Tw is geregistreerd bij de ACM. Artikel III (wijziging bijlage 2 van de Awb) Deze wijzigingen van de bevoegdheidsregeling bestuursrechtspraak (bijlage 2 Awb) strekken ertoe de rechtsbescherming tegen sanctiebesluiten van het CBP op grond van de artikelen 15.2, vierde lid, en 15.4, vierde lid, van de Tw op te dragen aan de rechtbank en de Afdeling bestuursrechtspraak van de Raad van State. Artikel IV (overgangsrecht) Aangezien de Telecommunicatiewet een ander rechtsbeschermingsregime kent dan de Wbp is het noodzakelijk overgangsrecht vast te stellen voor recht om bezwaar te maken of beroep of hoger beroep in te stellen tegen sanctiebesluiten van de ACM terzake van het nalaten te voldoen aan de meldplicht, alsmede voor het procesrecht dat van toepassing is op de behandeling van de geschillen. Artikel IV bevat daarvoor een voorziening.




0.9 Pagina

52 van 55

Bijlage 7: Concept wetsvoorstel Melding inbreuken en artikelsgewijze toelichting concept 16 juli 2013 t.b.v. consultatie Wet houdende regels over het melden van een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving (Wet melding inbreuken elektronische informatiesystemen) Voorstel van wet (integrale tekst) Artikel 1 In deze wet en de daarop gebaseerde bepalingen wordt verstaan onder: aanbieder: degene die een product of dienst exploiteert, beheert of beschikbaar stelt; informatiesysteem: geheel of gedeeltelijk met elektronische middelen bestuurd systeem waarvan een product of dienst afhankelijk is; Onze Minister: Onze Minister van Veiligheid en Justitie; product of dienst: product of dienst als bedoeld in artikel 2. Artikel 2 Deze wet is van toepassing op de bij algemene maatregel van bestuur aan te wijzen aanbieders van de daarbij aan te wijzen producten of diensten die van zodanig belang zijn voor de Nederlandse samenleving dat onderbreking van de beschikbaarheid of betrouwbaarheid daarvan kan leiden tot ernstige maatschappelijke gevolgen. Artikel 3 1. De aanbieder geeft Onze Minister onverwijld kennis van een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken. 2. De kennisgeving omvat in ieder geval: a. de aard en omvang van de inbreuk of het verlies; b. het tijdstip van de aanvang van de inbreuk of het verlies; c. de mogelijke gevolgen van de inbreuk of het verlies; d. een prognose van de hersteltijd; e. zo mogelijk de door de aanbieder genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen; f. de contactgegevens van de in Nederland gevestigde functionaris die verantwoordelijk is voor het doen van de kennisgeving. Artikel 4 Desgevraagd verstrekt de aanbieder die een kennisgeving als bedoeld in artikel 3 heeft gedaan, Onze Minister onverwijld alle overige gegevens die nodig zijn om: a. de risico's voor de beschikbaarheid of betrouwbaarheid van het product of de dienst in te schatten; b. de aanbieder bij te staan bij het treffen van maatregelen om de beschikbaarheid en betrouwbaarheid van het product of de dienst te waarborgen of te herstellen. Artikel 5 Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over de artikelen 3 en 4, waaronder in ieder geval nadere regels over: a. de gegevens die ter uitvoering van artikel 3 worden verstrekt; b. de wijze waarop een kennisgeving als bedoeld in artikel 3 wordt gedaan en waarop gegevens als bedoeld in artikel 4 worden verstrekt.




0.9 Pagina

53 van 55

Artikel 6 1. Ter voorkoming of beperking van schadelijke maatschappelijke gevolgen in of buiten Nederland van een inbreuk of een verlies als bedoeld in artikel 3, eerste lid, kan Onze Minister de gegevens, bedoeld in de artikelen 3 en 4, gebruiken voor het geven van informatie en advies aan: a. andere aanbieders; b. een bij regeling van Onze Minister aangewezen computercrisisteam in of buiten Nederland; c. het publiek, mits de veiligheid van de Staat daarmee niet geschaad kan worden. 2. Tenzij het maatschappelijke belang dat vergt, worden aan het publiek geen gegevens verstrekt die herleid kunnen worden tot afzonderlijke aanbieders, producten of diensten. 3. Onverminderd andere wetten worden de gegevens uitsluitend gebruikt voor de in artikel 4 omschreven doelen of ter uitvoering van het eerste lid. 4. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over het eerste lid. Artikel 7 De artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen tijdstip dat voor de verschillende artikelen of onderdelen daarvan verschillend kan zijn. Artikel 8 Deze wet wordt aangehaald als: Wet melding inbreuken elektronische informatiesystemen. ARTIKELSGEWIJZE TOELICHTING (uit: Memorie van toelichting) Artikel 1 Aanbieder: De omschrijving is (afgezien van het element 'bouwen') afgeleid van de definitie van 'aanbieden' in artikel 1.1, onder i, van de Telecommunicatiewet. Een aanbieder kan zowel een rechtspersoon als een natuurlijke persoon zijn. Informatiesysteem: Het zal vaak gaan om systemen die van internet afhankelijk zijn, maar dat is geen vereiste. Product of dienst: De meldplicht geldt alleen voor de producten en diensten die bij de in artikel 2 bedoelde algemene maatregel van bestuur zijn aangewezen. De termen 'product' en 'dienst' duiden in de wettekst op een aangewezen product of dienst. Artikel 2 Dit artikel regelt de reikwijdte van de wet en geeft een grondslag voor aanwijzing bij algemene maatregel van bestuur van de aanbieders en de producten en diensten waarvoor de in artikel 3 opgenomen meldplicht geldt. Het moet gaan om voor de Nederlandse samenleving vitale producten of diensten. Een aanbieder kan ook buiten Nederland gevestigd zijn; het gaat erom dat hij producten of diensten aanbiedt die vitaal zijn voor de Nederlandse samenleving. De voordracht voor de algemene maatregel van bestuur zal worden gedaan in overeenstemming met de andere betrokken bewindspersonen. Artikel 3 De meldplicht geldt alleen in geval van een daadwerkelijke inbreuk op de veiligheid of een daadwerkelijk verlies van integriteit van een elektronisch informatiesysteem, en dus, zoals in het algemeen deel van deze memorie is toegelicht, niet tevens bij (andere) verstoringen, zoals DDoSaanvallen. De meldplicht geldt daarnaast alleen als door de ICT-inbreuk de beschikbaarheid of betrouwbaarheid van het aangewezen product of de aangewezen dienst in belangrijke mate wordt of kan worden onderbroken. Mede op basis van overleg met de betrokken sectoren en departementen zal nader worden uitgewerkt (bijvoorbeeld bij of krachtens de in artikel 5 bedoelde algemene maatregel van bestuur of in beleidsregels) wat voor de verschillende betrokken producten en diensten moet worden verstaan onder "in belangrijke mate". Daarbij zal mede bepalend zijn onder welke omstandigheden sprake is of kan zijn van maatschappelijke ontwrichting. Hierbij gaat het bijvoorbeeld om criteria zoals langdurige uitval van een vitaal proces of vitale dienst waardoor zowel de aanbieder als andere partijen geconfronteerd worden met de gevolgen van de uitval. Tevens valt




0.9 Pagina

54 van 55

daarbij te denken aan de ernst van de inbreuk, waardoor deze mogelijk ook voor andere partijen binnen de rijksoverheid en de vitale sectoren schadelijk is. De meldplicht geldt dus ook als de ICT-inbreuk nog niet daadwerkelijk heeft geleid tot een belangrijke onderbreking van de beschikbaarheid of betrouwbaarheid van een vitaal product of vitale dienst, maar dat gevolg wel zal kunnen hebben. Dit is immers evenzeer informatie die van groot belang is met het oog op het voorkomen van schadelijke maatschappelijke gevolgen. Bovendien kan ook van dergelijke inbreuken veel worden geleerd. Van belang is het dat de melding van een ICT-inbreuk waarvoor de meldplicht geldt zo onverwijld als mogelijk wordt gedaan, teneinde het NCSC zo snel als mogelijk in de gelegenheid te brengen de risico's voor de beschikbaarheid of betrouwbaarheid van een vitaal product of vitale dienst te kunnen bepalen en hulp te verlenen bij het treffen van maatregelen om de beschikbaarheid of betrouwbaarheid te waarborgen of herstellen. Daarbij dient in aanmerking genomen te worden dat soms enige tijd zal verstrijken tussen de feitelijke inbreuk en de constatering (van de ernst) daarvan door de aanbieder. De omschrijving van de bij de melding te verstrekken gegevens is zo veel mogelijk identiek aan de omschrijving in artikel 7, tweede lid, van het Besluit continuïteit openbare elektronische communicatienetwerken en -diensten en aan de omschrijving die voor verleners van gekwalificeerde certificaten naar verwachting zal worden opgenomen in artikel 2, eerste lid, van het Besluit elektronische handtekeningen. Artikel 4 Denkbaar is dat het NCSC naar aanleiding van een melding nadere gegevens nodig heeft om de aard en de ernst van de ICT-inbreuk te kunnen inschatten en de aanbieder adequaat te kunnen helpen, bijvoorbeeld als de aanbieder bij het doen van de melding nog geen volledige zekerheid kan bieden over de gevolgen van de inbreuk of over de te nemen maatregelen. Dit artikel bevat voor dergelijke gevallen een aanvullende informatieplicht, die wordt geactiveerd door een concreet verzoek van het NCSC in reactie op een in artikel 3 bedoelde melding. Artikel 5 De hier bedoelde nadere regels dienen onder meer om te concretiseren welke gegevens voor de verschillende aangewezen producten en diensten ingevolge de meldplicht verstrekt moeten worden en de wijze waarop de gegevens verstrekt moeten worden. De nadere regels kunnen bijvoorbeeld ook gebruikt worden om te verduidelijken wat voor de verschillende aangewezen producten en diensten bij de toepassing van artikel 3, eerste lid, moet worden verstaan onder "in belangrijke mate". Artikel 6 De meldplicht heeft primair tot doel om het NCSC in staat te stellen om de risico's van de ICT- inbreuk te kunnen inschatten en de door de inbreuk getroffen aanbieder bij te staan (zie artikel 4). Het achterliggende belang daarvan is het voorkomen of beperken van maatschappelijke ontwrichting in Nederland. De verstrekte gegevens mogen vervolgens ook worden gebruikt als basis voor advies en informatie aan andere aangewezen aanbieders als bedoeld in artikel 2, aan door de minister aangewezen CERT's en aan het publiek. De melding kan bijvoorbeeld aanleiding geven tot het, eveneens met het oog op het beperken of voorkomen van maatschappelijke ontwrichting, waarschuwen van andere partijen binnen de betrokken vitale sector of andere vitale sectoren, door informatie te verstrekken over de herkomst van gerichte aanvallen of over technische kwetsbaarheden in informatiesystemen die op meerdere plaatsen worden gebruikt. Daarbij spreekt het voor zichzelf dat de informatieverstrekking aan andere aanbieders vanuit bovenbedoeld oogpunt niet verder gaat dan strikt noodzakelijk is om die aanbieders in staat te stellen om te bepalen of zij wellicht met een zelfde soort inbreuk of de mogelijkheid daarvan te maken hebben en om de maatregelen te nemen die in geval van een (mogelijke) inbreuk benodigd zijn om de beschikbaarheid of betrouwbaarheid van hun voor de samenleving vitale producten of diensten te waarborgen. Met de term computercrisisteam (eerste lid, onder b) wordt een CERT bedoeld. Het woord is ontleend aan artikel 7 van de concept-NIB-richtlijn. Informatieverstrekking kan alleen plaatsvinden aan die (buitenlandse of




0.9 Pagina

55 van 55

Nederlandse) CERT's die bij ministeriële regeling, na toetsing of gegevensuitwisseling daarmee gerechtvaardigd en verantwoord is, daartoe zijn aangewezen. Tenzij de staatsveiligheid in het geding is, mogen de verstrekte gegevens ook worden gebruikt als basis voor publieksvoorlichting. Daarbij zal het veelal niet nodig zijn om gegevens te verstrekken die herleid kunnen worden tot afzonderlijke aanbieders of afzonderlijke producten en diensten, bijvoorbeeld als het publiek moet worden gewaarschuwd voor de risico's van een door internetcriminelen gehanteerde werkwijze. Maar soms zal de voorlichting alleen effectief kunnen zijn als de aanbieder of het product of de dienst concreet wordt aangeduid, bijvoorbeeld als het nodig is om het publiek te waarschuwen dat een bepaald product of een bepaalde dienst tot nader order beter niet gebruikt kan worden. De beslissing om dergelijke voorlichting te geven, vergt een belangenafweging. Zo zal het belang van het publiek om op de hoogte te zijn niet altijd opwegen tegen het belang van de betrokken aanbieder. Denkbaar is ook dat de bekendmaking de maatschappelijke schade juist vergroot in plaats van voorkomt of beperkt. Het NCSC zal zo mogelijk de betrokken toezichthouder betrekken bij deze belangenafweging. Het derde lid verbiedt ander gebruik dan nodig is voor de twee in artikel 4 omschreven doelen (risicoinschatting en hulp aan de getroffen aanbieder) dan wel de uitvoering van het eerste lid. De formulering "Onverminderd andere wetten" ziet bijvoorbeeld op artikel 8:28 Algemene wet bestuursrecht (inlichtingen verstrekken aan de bestuursrechter door partijen in een beroepsprocedure), artikel 126nc e.v. Wetboek van Strafvordering (vorderen van gegevens door officier van justitie) en op de Wet op de inlichtingen-en veiligheidsdiensten 2002. Wat de Wet openbaarheid van bestuur betreft zij opgemerkt dat de met betrekking tot de melding verstrekte informatie in het algemeen bedrijfs-en fabricagegegevens betreft als bedoeld in artikel 10, eerste lid, onder c, van die wet. Het kan wenselijk blijken om nadere regels te stellen over het eerste lid van artikel 6, bijvoorbeeld over de aanwijzing van CERT's op grond van het eerste lid, onder b. In die mogelijkheid voorziet het vierde lid. Artikel 7 Hoewel het in de bedoeling ligt om deze wet als één geheel in werking te laten treden, is de mogelijkheid van gedifferentieerde inwerkingtreding opengehouden. De bepaling is niet bedoeld om de meldplicht voor afzonderlijke aanbieders, producten of diensten op verschillende tijdstippen in werking te kunnen laten treden. Mocht een dergelijke differentiatie nodig zijn, dan kan zij eventueel worden vormgegeven in de algemene maatregel van bestuur, bedoeld in artikel 2.

###


Meldplicht Datalekken en meldplicht Inbreuken op elektronische systemen

Recommend Documents