Samenvatting Meldplicht Datalekken
& Michael van der Vaart Head of Technology ESET Nederland
DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie van de richtsnoeren meldplicht datalekken is samengesteld door ESET Nederland en niet gecontroleerd door een juridische instantie.
INHOUD Kader en voorbereiding
Melden of niet? Melden aan het CBP Melden aan de betrokkene Na de melding
1-1-2016 • CBP = AP -> Autoriteit Persoonsgegevens • WBP wordt aangevuld met Meldplicht datalekken
• AP krijgt boetebevoegdheid
AANLEIDING Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid AP Dit wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.
KADER •
Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met persoonsgegevens.
•
Regels hiervoor vastgelegd in WBP
•
Persoonsgegevens die u verwerkt moet beveiligen tegen verlies of onrechtmatige verwerking
•
Een datalek moet worden gemeld aan de AP als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.
VOORBEREIDING • • •
Is de meldplicht uit de WBP op mij van toepassing? Wanneer ben ik verantwoordelijk? Wat moet ik regelen als persoonsgegevens laat bewerken door een bewerker?
VOORBEREIDING DE BEWERKERSOVEREENKOMST Afgezien van de naleving van de wetgeving schrijft de wet niet specifiek voor wat u moet afspreken met de bewerker. U kunt denken aan het volgende:
• • • • •
Gaat de bewerker u daadwerkelijk informeren over alle relevante incidenten? Gaat de bewerker eventueel zelf meldingen doen aan het CBP? Ontvangt u per incident alle informatie die u nodig heeft? Hoe gaat de bewerker u informeren over de incidenten? Wordt u tijdig geïnformeerd over de incidenten?
AFWEGINGEN
BEVEILIGINGSINCIDENT • • • • •
Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals een brand in een datacentrum
DATALEK OF DATA BREACH •
Inbreuk op de beveiliging.
•
Persoonsgegevens verloren gegaan, redelijkerwijs niet uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt.
•
Inbreuk wordt zeer ruim geduid, niet van belang of u passende technische of organisatorische maatregelen heeft getroffen.
MELDEN AAN HET AP •
Zijn de persoonsgegevens blootgesteld aan vernietiging of aantasting.
•
Zijn er persoonsgegevens van gevoelige aard gelekt?
•
Leiden de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen?
•
Binnen 72 uur melden na ontdekking!
MELDEN AAN DE BETROKKENE •
Zijn de persoonsgegevens blootgesteld aan vernietiging of aantasting?
•
Waren alle persoonsgegevens op het moment dat de inbreuk plaatsvond?
•
Is de versleuteling adequaat?
•
Is het restrisico acceptabel, Remote Wiping, Psuedonimisering.
OVERIG: • Overzicht bijhouden van alle datalekken die onder meldplicht vallen • Ap houdt register bij van alle meldingen • Meldingen zijn niet openbaar, tenzij gemeld aan betrokkene
BOETES: • Maximaal €820.000 bestuurlijke boete • Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing geven. • Bewust niet melden wanneer dit wel gemeld had moeten worden = boete
• Rekening houdend met alle factoren
BEVEILIGING • •
Passende technische en organisatorische beveiligingsmaatregelen Beveiliging en preventie + Intrustion detection
TIPS: • Maak een beleid, security is geen project maar een proces.
• Implementeer detectieoplossingen • Plan een security awareness training • Hou software up to date • Gebruik sterke wachtwoorden
• Encryptie en rechtenbeheer (Wie kan waar bij)? • Logging en monitoring (detectie)
HULP NODIG BIJ UW DATALEK PREVENTIE WELKE ROL KUNNEN ESET EN NVD HIERBIJ SPELEN? • 24/7 BEVEILIGD TEGEN CYBERCRIMINALITEIT MET MELDKAMER • SNELLE RESPONS OP ICT INCIDENTEN • OPTIMALE INFORMATIEBEVEILIGING TEGEN DATALEKKEN • CYBER SECURITY OP HOGER NIVEAU
• UW PAND EN ICT VOLLEDIG BEVEILIGD
Copyright © 1992 – 2015 ESET, spol. s r. o. ESET, ESET logo, ESET android figure, NOD32, ESET Smart Security, SysInspector, ThreatSense, ThreatSense.Net, LiveGrid, LiveGrid logo and/or other mentioned products of ESET, spol. s r. o., are registered trademarks of ESET, spol. s r. o. Windows® is a trademark of the Microsoft group of companies. Other here mentioned companies or products might be registered trademarks of their proprietors. Produced according to quality standards of ISO 9001:2008.
