Juridische blik op: “hacking” en bescherming van persoonsgevens Nieuwe wetgeving op komst!
Het kan de beste overkomen…
In het nieuws: database piloten
EASA wil database gegevens gezondheid van piloten 20 oktober 2015 om 21:59 door I. de Vries
Als het aan de Europees Agentschap voor de veiligheid van de luchtvaart (EASA) ligt, komt er een database waarin gegevens staan over de gezondheid van piloten. Het streven is de database in december 2016 actief te hebben, meldde de EASA vandaag.
Medisch dossier op straat…
© ANP
Kramer woedend over lekken uit medisch dossier Sven Kramer heeft met woede en verbazing kennis genomen van een verhaalzaterdag in de Volkskrant waarin zenuwschade in zijn rechterbeen in december 2010 aan de orde komt. 'Of ik boos ben? Dat is nog zacht uitgedrukt', zei hij zondag in Calgary tegen de NOS. 16 november 2015, 00:20 - Bron: ANP
Gevolgen van een inbreuk of datalek? -
Diverse schade!
Maar ook: Verplichtingen op basis van de Wet bescherming persoonsgegevens…
Stand van zaken medio 2015: Breach Level Index van Gemalto •
Meer dan 1.500 datalekken leidden in 2014 tot bijna één miljard aangetaste datarecords wereldwijd. Dat blijkt uit de Breach Level Index (BLI) van Gemalto.
•
Deze getallen betekenen ten opzichte van 2013 een toename van 49 procent van het aantal datalekken en van 78 procent van het aantal datarecords dat gestolen werd of zoekraakte.
Wet- en regelgeving privacy - Internationale verdragen (EVRM, IVBPR) - Europese wetgeving (privacy richtlijn 95/46/EC) - Grondwet (artikel 10) - Telecommunicatiewet (cookies, spam e.d.) deze wet kent al een meldplicht / art 11.3 Wet bescherming persoonsgegevens + publicaties CBP - per 1 januari 2016 “Wet meldplicht datalekken” Burgerlijk Wetboek (aansprakelijkheid) - Wetboek van Strafrecht (div opsporing) - zelfregulering
Wat zijn persoonsgegevens volgens de wet? Artikel 1 Wbp / persoonsgegevens:
elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Niet alleen naam, adres, geboortedatum en BSN nummer maar ook een telefoonnummer, een IP adres, foto, e-mailadres, kenteken, vingerafdruk e.d. zijn gegevens die naar een persoon kunnen leiden. Voor verwerking van ‘gewone’ persoonsgegevens geldt: ‘nee, tenzij…’ Artikel 16 Wbp / Bijzondere persoonsgegevens:
De verwerking van over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden tenzij….. Voor bijzondere persoonsgegevens geldt ‘verboden, tenzij…’
Per 1 januari 2016: Wet meldplicht datalekken “meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp“. Artikel 13 Wbp bepaalt: dat bij de verwerking van persoonsgegevens passende technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking
Het nieuwe artikel 34a lid 1 Wbp bepaalt: De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Aanzienlijke kans op ernstig nadelige gevolgen dan wel ernstige nadelige gevolgen (?) Melden of niet? Dat hangt er vanaf of het beveiligingsincident leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. De aard van het incident, het soort gegevens, risico’s voor de betrokkenen en de omvang van de inbreuk bepalen de ernst. Het zoekraken of hacken van de ledenadministratie van een schaakvereniging is iets anders dan een datalek bij de Belastingdienst of het verlies van een laptop met medische gegevens of diefstal van een usb-stick van een minister.
Wel ernstig? Dan dubbele meldplicht Niet alleen bij het College bescherming persoonsgegevens (vanaf 1 januari ‘Autoriteit Persoonsgegevens’) maar ook bij de betrokkene! Het lid 2 van het nieuwe artikel luidt: De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
Hoe en wat moet worden gemeld? Melden moet conform lid 3 en lid 4 van het nieuwe artikel 34a Wbp: Lid 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Lid 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen Van 1 januari staat er een formulier op de website van het CBP waarmee een datalek kan worden gemeld.
Cbp heeft met de huidige Wbp weinig boetebevoegdheid Vanaf 1 januari voor veel overtredingen boetes, zoals • onzorgvuldige gegevensverwerking • verweking zonder legitiem doel, • onnodig bewaren • niet zorgen voor adequate beveiliging. Niet opzettelijk of ernstig verwijtbaar? Dan eerst een ‘bindende aanwijzing’ voordat een boete kan worden opgelegd. De overtreder kan vrijwillig herstellen, bijvoorbeeld door alsnog passende beveiliging te regelen. Het niet-naleven van een bindende aanwijzing kan direct worden bestraft met een boete die kan oplopen tot wel € 810.000,- of zelfs 10% van de jaaromzet. Bij opzettelijk overtreden, kan dit direct tot een boete leiden.
Stand van zaken / Richtsnoeren Cbp 15 oktober 2015 Consultatie richtsnoeren datalekken van VPR Nodige kritiek op huidige tekst richtsnoeren Cbp:
-
.
Onduidelijke definities o.a. datalek, bestand e.d. Te ruime lezing ‘inbreuk’, verlies door blikseminslag is ook een inbreuk Termijn melding: 2 werkdagen na ontdekking (geen tijd voor check of het echt een lek is) Bestendigheid richtsnoeren: worden in 2017 herzien Summiere uitleg waarom financiële instellen zijn uitgezonderd Onduidelijke voorbeelden door Cbp van praktijkgevallen
Zwakke schakels?
Een ketting is zo sterk als de zwakste schakel… Alles beveiligd tegen gevaar van buitenaf? Prima, maar denk aan de achterdeur! Personeel is vaak een zwakke schakel (installeren programma’s op werk pc, binnenhalen malware en virussen, verlies smart phone) Leg restricties en afspraken vast in personeelshandboek (BYOD bepaling) Beperk toegang tot systemen op basis van noodzakelijke toegang
Privacy Impact Assessment
http://wetten.overheid.nl/BWBR0033572/geldigheidsdatum_07-11-2015
Tja… Woman Capital is een Head Hunters bureau. Het (in beslaggenomen) databestand bestaat uit informatie van circa 10.000 zogenaamde topvrouwen uit het bedrijfsleven verdeeld over circa 6.000 organisaties. De deurwaarder wordt geconfronteerd met ongeveer 40 bezwaren van in de databank opgenomen personen Volgens Woman Capital dient het databestand te worden vernietigd vanwege de privacy van de daarin opgenomen personen en om misbruik van vertrouwelijke gegevens te voorkomen. De deurwaarder heeft in veilingvoorwaarden opgenomen dat alleen organisaties in dezelfde branche mogen bieden. Ondanks de bezwaren tegen overdracht van gegevens aan derden staat de executie van het databestand niet in de weg. Vzr. Rechtbank Amsterdam 22 oktober 2015 ECLI:NL:RBAMS:2015:7501 (deurwaarder tegen Women Capital)
Wat nu te doen? - Volg de ontwikkelingen op de voet en maak iemand binnen de organisatie verantwoordelijk voor privacy - Wees voorbereid op een eventuele datalek en leg vast wat er in uw organisatie moet worden gedaan bij een lek - Let op bij van ICT contracten en check deze op uitsluiting van aansprakelijkheid. - Zorg voor een passende verzekering en laat de verzekeraar meedenken. - Luister goed naar wat de komende sprekers u vertellen
Dank voor uw aandacht Fruytier Lawyers in Business Keizersgracht 442 1016 GD Amsterdam The Netherlands P. +31 (0)20 521 01 30 F. +31 (0)20 521 01 30 W. www.flib.nl
mr. Marten van Hasselt E:
[email protected] M: +31 (0)6 55 32 85 09