Meldplicht datalekken 8 December 2015
Simone Fennell
[email protected]
www.privacycompany.eu
http://www.ad.nl/ad /nl/5595/Digita al/article/detail/4199971/2015/12/02 /125-000-Nederlandse-kinderendupe-hack-VTech.dhtml
www.privacycompany.eu
Nieuw in de Wbp
Per 1 januari 2016: • Boetes tot 820.000 Euro (voorheen 4.500 Euro) • Meldplicht datalekken (dubbele meldplicht)
www.privacycompany.eu
Wet bescherming persoonsgegevens (Wbp) Normen en regels: 1. 2.
Algemene zorgvuldigheidseis (art. 6) Doel verzameling gegevens (art. 7)
3.
Grondslag verwerking (art. 8 a-f)
4. 5.
Doelbinding gebruik gegevens (art. 9) Kwaliteit gegevens (art. 11)
6. 7.
Beveiliging gegevens (art. 13) Bewaren gegevens (art. 10)
8.
Meldingsplicht (art. 27-30)
9. Informatieplicht + meldplicht datalekken (art. 33, 34 en 34a) 10. Rechten van de betrokkene (art. 35, 36, 40-42) www.privacycompany.eu
Meldplichten Brede meldplicht datalekken
Art. 34a Wbp, per 1-1-2016
Melden bij Autoriteit Persoonsgegevens
Meldplicht Telecomwet
Art. 11.3a Telecomwet, sinds 2012
Melden bij Autoriteit Consument en Markt (ACM)
Wet melding inbreuken elektronische informatiesystemen (wetsvoorstel)
Producten of diensten die van zodanig belang zijn voor samenleving dat onderbreking beschikbaarheid-betrouwbaarheid leidt tot ernstige maatschappelijke gevolgen (vitale infrastructuren)
Melden bij NCSC Advies RvS 08-2015, wacht op 1e en 2e kamer
Meldplicht voor certificaat dienstverleners
Besluit elektronische handtekeningen, 2013
Melden bij ACM
Goed opdrachtnemerschap Wanprestatie Onrechtmatige daad
Art. 7:401 Burgerlijk Wetboek (BW); Art. 6:74 BW; Art. 6:162 BW
Melden bij klanten / leveranciers / partners
Strafrecht
Aantasting van computersystemen die levensgevaar kunnen veroorzaken, art. 161 sexies WvSr.
Melden bij politie
Wet financieel toezicht: integriteitsmeldingen bankwezen
Omvat veel meer dan alleen datalekken
Melden bij Nederlandse Bank
Contract
Geheimhouding; treffen beveiligingsmaatregelen; melden beveiligingsincidenten
Melden bij contractspartner
Let op: internationaal bedrijf? Dan mogelijk ook meldplichten onder buitenlands recht!
www.privacycompany.eu
Brede meldplicht datalekken Wbp art. 34a • Uitvloeisel van het regeerakkoord en ‘druk’ vanuit Europa • Gericht op: verantwoordelijken in de zin van WBP • Meldplicht bij College Bescherming Persoonsgegevens (vanaf 1-1-2016 Autoriteit Persoonsgegevens)
• Meldplicht jegens betrokkenen • Bestuurlijke boete als punitieve sanctie 820.000 Euro • Nederland is de proeftuin voor de meldplicht uit de Europese Verordening Gegevensbescherming.
www.privacycompany.eu
Meldplichtig datalek Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens indien het: “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” (art 34a Wbp)
www.privacycompany.eu
Brede meldplicht Waarom is het moeilijk/waar zitten de knelpunten? • Het wetsvoorstel werkt met veel open normen “vermoeden van nadelige gevolgen voor de persoonlijke levenssfeer”, “inbreuken op de beveiliging”, “onverwijld”, etc. • Deze zaken worden wel (deels) in de beleidsregels uitgewerkt! https://cbpweb.nl/sites/default/files/atoms/files/beleids regels_meldplicht_datalekken.pdf www.privacycompany.eu
Risico’s voor bedrijven Financieel risico; boete: maximaal 820.000 Euro Let op! Boetebedragen worden elke twee jaar geïndexeerd en kunnen dus in 2018 al anders zijn.
Compliance risico: • De procedure is niet op tijd gereed (1 januari 2016) • De informatie kan niet onverwijld geleverd worden (primaire melding binnen 72 uur, indien later dan dat motiveren) • Datalek heeft plaatsgevonden bij een bewerker die nalaat melding te doen aan de verantwoordelijke • Bewerkersovereenkomst ‘oude stijl’ waarin geen clausule over datalekken is opgenomen Bepaalde interne inbreuken op de beveiliging waarbij persoonsgegevens betrokken zijn worden gemist
Reputatierisico: • Verlies van vertrouwen van klanten • Bekendmaking van boetes door toezichthouder
www.privacycompany.eu
Datalek • Een datalek is een inbreuk op de beveiliging (als bedoeld in artikel 13 Wbp): gegevens beveiligen tegen verlies en onrechtmatige verwerking • Dit begrip moet ruim uitgelegd worden: Gestolen of verloren gegevensdragers of devices Verlies van gegevens door brand Inbraak door een hacker Malware-besmetting www.privacycompany.eu
De 3 rollen Er zijn (ten minste) drie rollen die onderscheiden moeten worden om een datalek succesvol af te handelen.
I.
ONTDEKKER Degene die het datalek op het spoor komt en het proces in werking moet stellen. II. MELDER Degene die verantwoordelijk is voor het melden van het datalek bij de Autoriteit Persoonsgegevens. III. TECHNICUS Degene die de oorzaak van het datalek kan vinden en kan (laten) repareren. www.privacycompany.eu
De 6 fasen In het leven van een datalek zijn 6 fasen te onderscheiden: 1. 2. 3. 4. 5. 6.
ontdekken inventariseren beoordelen repareren melden documenteren www.privacycompany.eu
De 6 fasen 2 1. Ontdekken
ONTDEKKER merkt een datalek op. Bijvoorbeeld via eigen waarneming of een klacht van een klant. De ONTDEKKER vergaart zoveel mogelijk informatie over het datalek en zet het proces in werking waardoor deze informatie ten minste bij de MELDER terechtkomt.
2. Inventariseren
De MELDER op zijn beurt, beoordeelt of er voldoende informatie omtrent het datalek bekend is. Zo niet, dan zet hij aanvullende vragen uit.
3. Beoordelen
Wanneer MELDER voldoende informatie heeft verzameld, beoordeelt hij de feiten om te bepalen of een melding aan de Autoriteit Persoonsgegevens en/of betrokkenen vereist is. www.privacycompany.eu
De 6 fasen 3 4. Repareren De TECHNICUS zal moeten achterhalen wat de oorzaak van het lek is en deze moeten repareren.
5. Melden Indien de conclusie bij stap 3 is dat er gemeld moet worden aan toezichthouder (eventueel betrokkenen), dan moet de MELDER dit doen.
6. Documenteren De informatie die in de voorafgaande stappen is ingewonnen of ontstaan (bijvoorbeeld CBP-meldingsnummer, afschrift melding, brief aan betrokkenen) moeten worden gearchiveerd door MELDER. www.privacycompany.eu
1 Ontdekken 1. Personeel moet getraind zijn op het herkennen van een datalek en het inzetten van het daarbij behorende proces. 2. De ONTDEKKER wint als eerste informatie over het datalek in:
www.privacycompany.eu
1 Ontdekken2 • Een feitelijke beschrijving van het datalek in kwestie (wat is er precies gebeurd?) • Welke (typen) persoonsgegevens zijn gelekt? • Hoeveel personen zijn betrokken bij het datalek betrokken?
• Kan de groep betrokkenen worden beschreven? (klanten, 65+ers, asielzoekers, kinderen etc.) • Wat is de oorzaak van het datalek? • Wanneer heeft het datalek plaatsgevonden? • Zijn er klantnummers of contactgegevens van getroffen klant(en) zodat deze (eventueel) in kennis gesteld kunnen worden van het datalek. • Verstrek eigen contactgegevens (van ONTDEKKER dus) in verband met nadere informatie. www.privacycompany.eu
2 Inventariseren Een deel van deze informatie wordt (hopelijk) door ontdekker verstrekt. Een deel door technicus. Een deel moet melder zelf d.m.v. kwalificatie verkrijgen. Samenvatting van het incident
Mogelijke gevolgen voor de persoonlijke levenssfeer van betrokkenen
Aantal betrokkenen bij de inbreuk
Wordt het datalek aan betrokkenen gemeld? Hoe? Inhoud melding? Waarom wordt het lek niet aan betrokkenen gemeld?
Omschrijving van de groep betrokkenen Datum/periode van de inbreuk
Heeft de inbreuk betrekking op personen in andere EUlanden?
Aard van de inbreuk
Technische en organisatorische maatregelen ter aanpak inbreuk en voorkoming verdere inbreuk. (Hierin ligt besloten dat de oorzaak bekend moet zijn)
Type persoonsgegevens in kwestie
Zijn de gegevens onbegrijpelijk voor degenen die er kennis van kunnen hebben genomen? Hoe?
www.privacycompany.eu
3 Beoordelen Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens indien het:
‘leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.’ (art 34a Wbp)
Of een melding vervolgens gedaan moet worden aan betrokkenen is een afweging die je zelf moet maken. Let op! Stel tenminste vast of je überhaupt moet melden! Ben je verantwoordelijke? Of bewerker? www.privacycompany.eu
3 beoordelen2 ‘De verantwoordelijke, stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.’ Bijv: onrechtmatige publicatie, aantasting van eer en goede naam,
(identiteits)fraude of discriminatie
Of een melding vervolgens gedaan moet worden aan betrokkenen is een afweging die je zelf moet maken. www.privacycompany.eu
3 beoordelen3
Bron: Beleidsregels meldplicht datalekken p. 5
www.privacycompany.eu
3 Beoordelen5 MELDER
moet beoordelen:
• Of het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens (art. 34a lid 1 Wbp) • “Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.”
• Of het datalek gemeld moet worden aan betrokkenen (art. 34a lid 2 Wbp)
• Invulling door beleidsregels (verschenen 9-12-2015): https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_ datalekken.pdf. Let op! In de loop van 2017, of wanneer het aantal ontvangen meldingen daar aanleiding toe geeft, zullen de beleidsregels worden geëvalueerd en waar nodig aangepast (inclusief consultatie)
www.privacycompany.eu
3 Beoordelen4 Welke factoren weeg je mee? Gevoelige persoonsgegevens • Bijzondere persoonsgegevens • Financiële gegevens • Gegevens die kunnen leiden tot stigmatisering of uitsluiting • Inloggegevens • Risico op(identiteits)fraude (ook BSN!) • Gegevens uit DNA databanken • Gegevens die onderworpen zijn aan geheimhouding / beroepsgeheim
Andere factoren • Omvangrijke verwerkingen zoals bij de overheid (ketens) • Hoeveelheid betrokkenen • Hoeveelheid gelekte gegevens per persoon • Ingrijpende beslissingen worden genomen met gegevens • Kwetsbare groepen (kinderen, in blijf van mijn lijf huis, gehandicapten) • Niet-ethische hacks
In deze gevallen sowieso melden! www.privacycompany.eu
4 Repareren Een datalek moet natuurlijk ook weer gedicht worden:
• Incidenteel Alleen de negatieve gevolgen voor de betrokkenen in het individuele geval beperken.
• Structureel De negatieve gevolgen niet alleen voor de betrokkenen in het individuele geval beperken maar ook voor alle mogelijke betrokkenen.
• Vertel de Autoriteit Persoonsgegevens wat je doet!
www.privacycompany.eu
5 Melden Melden bij Autoriteit Persoonsgegevens (als de informatie nagenoeg compleet is): De inbreuk heeft (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. En (zo nodig), bij betrokkenen: De inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
www.privacycompany.eu
5 Melden2 Hoe melden aan de Autoriteit Persoonsgegevens? • Onverwijld (72 uur, indien later motiveren) • Online portal (nog niet live) • Per fax Hoe melden aan de betrokkene? • Onverwijld • Alle redelijke directe middelen (bijvoorbeeld e-mail, post, sms, telefoon) • Niet: melden op een persoonlijk portaal (zoals een online klantdossier) wat misschien niet steeds wordt bekeken (zorgvuldig en behoorlijk!). • Ook: landelijk melden in de pers als onduidelijk is wie de betrokkenen zijn www.privacycompany.eu
6 Documenteren Alle informatie van de melding zelf moet opgenomen worden in het archief. Het maakt hier bij niet uit of u: - Een excel gebruikt - Aansluit op reeds bestaande incidentmanagementsystemen - Nieuwe software aanschaft Bewaartermijn van de incidentoverzichten (protocolplicht) • In beginsel minimaal 1 jaar. • Hangt ook af van je eigen regels. • Zie beleidsregels, p. 47. www.privacycompany.eu
Aansprakelijkheid • Bestuurders • Let op! De verantwoordelijke is ook verantwoordelijk voor het handelen van zijn bewerkers. Verhaal kan wel bij contract geregeld worden.
• bewerkers of partners • Voor hun eigen handelen
• Heel soms uw medewerkers • Strafbare feiten • Opzet of bewuste roekeloosheid (zware bewijslast voor werkgever)
www.privacycompany.eu
Beleidsregels handhaving Art. 4 “Bij de afweging die ten grondslag ligt aan de inzet van handhavingsinstrumenten naar aanleiding van een bemiddelingsverzoek, handhavingsverzoek en/of klacht alsmede bij het instellen van ambtshalve onderzoek geeft de Autoriteit Persoonsgegevens prioriteit aan zaken waarbij het vermoeden heeft van: a. b. c. d. e.
ernstige overtredingen; structurele overtredingen; overtredingen die veel mensen treffen; overtredingen waarbij de Autoriteit Persoonsgegevens door de inzet van handhavingsinstrumenten effectief verschil kan maken; overtredingen die vallen binnen de (jaarlijkse) aandachtspunten die door de Autoriteit Persoonsgegevens bekend zijn gemaakt.” www.privacycompany.eu
Boetemaxima Regel
Maximale boete
Melding bij CBP, melding bij betrokkene, bijhouden overzicht inbreuken (artikel 34a lid 1, lid 2, lid 7, lid 8 Wbp)
€ 500.000,-
Wijze van kennisgeving aan CBP en betrokkene (artikel 34a lid 3, lid 4, lid 5 en lid 11)
€ 200.000,-
Niet-nakoming bindende aanwijzing (artikel 66 lid 5 Wbp)
€ 820.000,-
Medewerkingsplicht (inclusief leveren documenten en inzicht in systemen) (artikel 5:20 Awb)
€ 820.000,-
www.privacycompany.eu
Toezicht en onderzoek • De Autoriteit Persoonsgegevens kan eigen onderzoek instellen (artikel 60 Wbp) • op grond van een klacht van een belanghebbende • op eigen initiatief
• De Autoriteit Persoonsgegevens kan inlichtingen vorderen, inzage vorderen in zakelijke gegevens, zaken en middelen onderzoeken (waaronder computerapparatuur) en ruimtes betreden, waaronder woningen. (artikel 61 lid 2 Wbp jo. 5:15 Awb) • U bent verplicht alle gevraagde medewerking te verlenen
www.privacycompany.eu
Boetefactoren Bij beoordeling van de ernst van de overtreding gelet op:
Rekening gehouden met:
Eventueel rekening gehouden met:
• Aard en omvang overtreding • Duur van de overtreding • Impact op betrokkene en/of maatschappij • (financiële) voordeel voor de overtreder
• Verwijtbaarheid overtreder (aanzienlijk indien opzet of ernstig verwijtbare nalatigheid); in dit geval hoeft niet eerst een bindende aanwijzing te worden gegeven
• Omstandigheden waaronder overtreding is gepleegd en (financiële) omstandigheden overtreder
www.privacycompany.eu
Boetefactoren2 • Bij meerdere overtredingen kan een boete voor alle overtredingen gezamenlijk worden opgelegd • Bij verwijtbaarheid van de overtreder (opzet, ernstige nalatigheid) • Nadat een bindende aanwijzing niet is opgevolgd
Boeteverhogende omstandigheden
Boeteverlagende omstandigheden:
1. Eerdere (zelfde of vergelijkbare) overtreding 2. Onderzoek toezichthouder tegenwerken of belemmeren 3. geen boeteverhoging als de boete is opgelegd wegens nietmeewerken
1. Meer medewerking verlenen aan de toezichthouder dan verplicht 2. Overtreding uit eigen beweging beëindigd 3. Schadeloosstelling ‘slachtoffer(s)’
www.privacycompany.eu
Openbaarmaking Het college mag handhavingsbesluiten openbaar maken. Zie hiervoor de beleidsregels actieve openbaarmaking:
http://wetten.overheid.nl/BWBR0034173/geldigheidsd atum_04-12-2015#4
www.privacycompany.eu
Aandachtspunten • Uitvoering • Voer een goede administratie • Leg een overzicht met standaardinformatie aan (data inventarisatie)
• Vergeet de bewerkersovereenkomsten niet! • Proces • Zorg voor een adequate interne melding • Maak rollen en verantwoordelijkheden duidelijk! • Start voor 1-1-2016 met tenminste een plan www.privacycompany.eu
Plan de campagne Data inventarisatie • Wat heb je? • Hoeveel heb je? • Wie spreek je aan? • Waar heb je het? (systeem & locatie) • Waarom heb je het? • Met wie deel je het? (verantwoordelijke) • Van wie krijg je het? (bewerker)
www.privacycompany.eu
Plan de campagne2 Inventariseer: • Wie je nodig hebt om het proces op orde te krijgen (stakeholders) • Welke interne informatieprocessen moeten worden ingericht • Welke informatie in- en extern gecommuniceerd moet worden
www.privacycompany.eu
Plan de campagne3: Bewerkersovereenkomst • Bevat minstens een clausule over lekken • Kan een clausule bevatten die regelt dat de bewerker de melding doet. • De verantwoordelijke blijft verantwoordelijk voor het geheel, dus ook voor de melding. • Bevat afspraken over informatieverstrekking • Wijze waarop informatie zal worden verstrekt (protocol/documentatieplicht) • Termijnen waarbinnen informatie zal worden verstrekt • Bevat afspraken over eigen mogelijkheden tot inzage in de systemen van de bewerker (audits) • Bevat eventueel boetes voor het nalaten van de melding aan de verantwoordelijke • Bevat afspraken over passende technische en organisatorische maatregelen • Als de bewerker in het buitenland is gevestigd moet hij zorgen voor compliance in dat land. Ook wat betreft lekken! www.privacycompany.eu
Plan de campagne4: Crisiscommunicatie Tijdstip: • 100% betrouwbare en valide informatie • Officieel persmoment • Leg uit wat je gaat doen (tussen nu en persmoment) en hoe je dit gaat doen • Zorg voor juiste, tijdige (snelle) proportionele en begrijpelijke informatie
Reden: • ‘ Daar kan ik geen mededeling over doen’ is geen goed antwoord • Zorg dat bij meerdere betrokken partijen een partij de woordvoering doet en communiceer wie dat is • Leg uit waarom je iets niet kunt vertellen (bijvoorbeeld omdat er nog onderzoek gedaan moet worden) • Kweek begrip! Uitleg: • Waarom ga je x, y en z doen? • Als iets een standaardprocedure is, zeg dat dan, dat neemt onzekerheid weg www.privacycompany.eu
Plan de campagne5: Crisiscommunicatie2 Wat leg je klaar?
Standaard reactie van directie / raad van bestuur / manager Voor: • Betrokkenen • Aandeelhouder • Ondernemingsraad • Pers Praktisch • Brieven (weet ook waar je ze snel kan laten printen) • Website die snel kan worden opgetuigd • Telefoonnummer voor vragen • Instructies voor klantenservice • Webcare • Call Center www.privacycompany.eu
Plan de campagne6
Met andere woorden
Wees voorbereid!
www.privacycompany.eu
Aanbevelingen Onderwerp Data inventarisatie
Bewaartermijnen Toegang en autorisaties
Informatie Rechten
Meldplicht datalekken
Dataminimalisatie Awareness
Aanbeveling Breng gegevens in kaart Wat wordt verwerkt? Met welk doel? Bewaartermijn? Door wie en voor wie? Stel beleid op Breng privacybeleid en informatiebeleid op één lijn Zorg voor beleid omtrent toegang en autorisaties Zorg voor geheimhouding Zorg voor beleid omtrent autorisaties Zorg voor privacy statements Informeer betrokkenen duidelijk over de uitoefening van hun rechten Zorg voor een duidelijk aanspreekpunt binnen de woningcorporatie Realiseer waar nodig rechten in een eigen online dossier Start de implementatie van het meldplichtproces Zorg voor beleid Maak afspraken met alle derde partijen (leveranciers) Vraag niet wat je niet nodig hebt Let op bij de verwerking van gevoelige en bijzondere gegevens Zet de meldplicht datalekken en de AVG intern op de agenda Probeer privacy in te bedden in het collectieve bewustzijn van de organisatie, eventueel door training Neem privacy mee bij een jaarlijkse audit www.privacycompany.eu
Meer weten? • Nee hoor, ik weet alles nu, maar mijn collega’s nog niet:
Avondsessie meldplicht datalekken: http://www.cibit.nl/nl/ictopleidingen/meldplicht-datalekken-avondsessie/ • Ik wil graag weten hoe ik dit in mijn organisatie kan inbedden (ook technisch): Cursus meldplicht datalekken in de praktijk (met Cibit Docent Mark Tissink MSc RE CISSP CISA) http://www.cibit.nl/nl/ict-opleidingen/cursusmeldplicht-datalekken-in-de-praktijk/
www.privacycompany.eu
Vragen?
www.privacycompany.eu