UW RECHT OP VISIE
KENNISSESSIE IKT DATALEKKEN
16 februari 2016 1
Inhoudsopgave 1. Inleiding 2. Algemeen 3. Boetebevoegdheid/ boetebeleid 4. Interne preventie 5. Externe preventie
2
Voorbeelden ernstige datalekken in de media Recente datalekken in de media: V-Tech: speelgoedfabrikant waarbij gegevens van 124.000 Nederlandse kinderen en meer dan 100.000 ouders waren gestolen; Ashley Madison: Amerikaanse datingsite waarvan de klantgegevens van 37 miljoen klanten gehackt zijn; Groene Hart Ziekenhuis: medische dossiers van honderdduizenden patiënten zijn gedurende jaren vrij toegankelijk geweest op slecht beveiligde computer. Drietal ziekenhuizen Zuiden: een van de eerste grote datalekken na inwerkingtreding wetswijzigingen. Gegevens van 200.000 patiënten zijn meer dan een maand lang (33 dagen) online toegankelijk geweest. De namen van de patiënten, geboortedata, dossiernummers en vermeldingen van het specialisme. Geen medische gegevens. Melding aan AP en aan ca. 4500 betrokkenen. 3
Algemeen- hoofdpunten meldplicht • Wet Meldplicht Datalekken verplicht alle organisaties en overheden die persoonsgegevens verwerken om onverwijld (uiterlijk binnen 72 uur na
ontdekking) melding te maken bij de Autoriteit Persoonsgegevens • Wet verplicht iedere organisatie tot het treffen van maatregelen voor het voorkomen, herkennen en het beperken van de gevolgen van datalekken vergt dus actieve houding, vooraf in kaart brengen risico’s etc
4
Wanneer is sprake van een datalek Wanneer persoonsgegevens onrechtmatig worden verwerkt of verloren raken
Onrechtmatige verwerking Aanpassen/ veranderen van persoonsgegevens, onbevoegde toegang tot, afgifte van persoonsgegevens
Verloren raken Definitief verlies persoonsgegevens terwijl daarvan geen back-up bestaat
5
Welke soorten datalekken moeten gemeld worden? • Niet ieder datalek dient gemeld te worden, enkel indien sprake is van:
‘(een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens’;
• Vaak een lastige beoordeling, kijken naar de aard en omvang van de getroffen gegevens en of sprake is van een zgn kwetsbare groep. Hoe beoordelen? 6
Wanneer is sprake van een ernstig datalek? • ‘Beleidsregels datalekken’ van de toezichthouder geven richting
-
Kwantitatief (grote hoeveelheid persoonsgegevens) o.m. aantrekkelijk voor misbruik in crimineel circuit
-
Kwalitatief ernstig
7
Kwalitatief ernstig? Bijzondere persoonsgegevens Vb. Godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens Gegevens over de financiële of economische situatie van de betrokkene Vb. (problematische) schulden, salaris-en betalingsgegevens. (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Vb. gokverslaving, prestaties op school of werk of relatieproblemen. Gebruikersnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden misbruikt voor (identiteits)fraude biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn) Gegevens uit DNA-databanken Gegevens waarop een bijzondere wettelijke bepaalde geheimhoudingsplicht rust Gegevens die binnen beroepsgeheim vallen 8
Voorbeelden in beleidsregels Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd. Een van de bestuursleden van een tennisvereniging verliest een usb-stick met daarop naw-gegevens en emailadressen van de leden. geen gevoelige gegevens, beperkte nadelige gevolgen.
Een van de bestuursleden van het COC verliest een USB-stick met dezelfde gegevens gaat wel om gevoelige gegevens, gegevens zeggen mogelijk iets over geaardheid, ivm homo-haat is de te verwachten impact van het datalek groot 9
Bij wie melden • Bij toezichthouder aldus indien: (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens
• Tevens aan betrokkene indien: het datalek ‘waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer’
10
Melding aan betrokkenen Heeft het datalek waarschijnlijk nadelige gevolgen voor de persoonlijk levenssfeer?
AP geeft een aantal voorbeelden voor meldingen aan betrokkenen
11
Melding aan betrokkenen- voorbeelden Een envelop met creditcard betalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen.
Bij een levensverzekeraar zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met medische gegevens worden ingezien. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. 12
Cryptografie en remote wipe Technische beschermingsmaatregelen Waren de gegevens goed versleuteld of geanonimiseerd, dan wel gehasht? zo ja, melding aan betrokkenen niet noodzakelijk. gegevens zijn ontoegankelijk of onbegrijpelijk moet gaan om adequate versleuteling Ook remote wipe kan voldoende technische beschermingsmaatregel zijn dient wel tijdig te zijn geschied en apparaat moet nog intact zijn, dan melding aan betrokkenen niet noodzakelijk
13
Mogelijke gevolgen van een ernstig datalek • Boete Autoriteit Persoonsgegevens • Aansprakelijkheid richting ‘betrokkene’ • Aansprakelijkheid ‘in de keten’ • Reputatieschade
• Risico’s continuïteit organisatie
14
Boetes / boetebevoegdheid toezichthouder I Fors uitgebreid tot € 820.000,- of indien niet passend 10% van de omzet • Niet enkel voor overtredingen van de meldplicht, maar ook voor overtredingen van een groot deel van de andere verplichtingen uit de Wbp. • In de meeste gevallen eerst een ‘bindende aanwijzing’ als vervolgens ook na die bindende aanwijzing de overtreding voortduurt, wordt er alsnog een boete opgelegd. wie draagt kosten uitvoering bindende aanwijzing? • opzettelijke overtredingen of ernstige nalatigheid mogelijk direct een boete grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen 15
Boetes / boetebevoegdheid toezichthouder II Hoe bepaalt AP de hoogte van de boete? Drie categorieën van boetes, elke categorie is gekoppeld aan verschillende wetsartikelen dit is de ‘basisboete’
Vervolgens kan AP basisboete verhogen of verlagen, relevante factoren zijn; - ernst van de overtreding * aard en omvang overtreding * duur van de overtreding * impact voor betrokkenen en maatschappij - mate van verwijtbaarheid bij overtreder - omstandigheden waaronder overtreding is begaan en de (financiële) omstandigheden waarin overtreder verkeert Systeem geeft al aan dat van belang is dat goed onderbouwd/aangetoond kan worden dat alles in het werk is gesteld om incidenten te voorkomen documenteren, zowel intern als extern 16
Voorkoming boetes en aansprakelijkheden • Interne maatregelen - meeste datalekken binnen de organisatie, - interne ‘awareness’ essentieel, sterk als de zwakste schakel
- ‘accountability’ verantwoordelijke dient niet enkel de wettelijke bepalingen te volgen, maar tevens binnen de organisatie toezicht op naleving te organiseren. Moet kunnen aantonen • Extern maatregelen uitbesteding diensten aan bewerkers 17
Interne maatregelen I Protocollen opstellen met oog op omgang persoonsgegevens (preventief), gedrag en cultuur -rondslingeren wachtwoorden, uitwisselen onbeveiligde e-mail,
-bekendheid met persoonsgegevens en consequenties -minimaliseren persoonsgegevens (geen onnodige verzamelingen) -bewaar niet langer dan strikt noodzakelijk -beperk aantal mensen met toegang tot minimum (‘need to know’) -beperk aantal locaties en aantal apparaten -bewustwording risico’s ‘mobile devices’ (beperkt en versleutel) -trainingen personeel -… 18
Interne maatregelen II •
Protocollen opstellen omgang met incident (preventief) * beleidsdocument hoe met datalek om te gaan * vastlegging verantwoordelijkheden, taken en bevoegdheden * omgaan met datalekken vastgelegd en geïmplementeerd?
* is duidelijk welke personen bevoegd zijn om te melden (en zijn deze personen bereikbaar?) * is er een datalek-team aangesteld, met daarin de verschillende noodzakelijke disciplines? management, Security Officer, technische expertise (bv. dichten lek), juridisch, verzekeraar, marketing/ communicatie •
Zorgen voor juist passend, adequaat beveiligingsniveau voor niet uitbestede diensten
•
Verzekeren? Overweeg of een cyber-verzekering nuttig kan zijn 19
Externe maatregelen - Outsourcing Uitbesteding diensten verantwoordelijke ook verantwoordelijk voor uitbestede diensten Organisatie blijft zelf verantwoordelijk voor de integriteit en de beveiliging van de verzamelde (gevoelige) gegevens, ongeacht of een en ander is uitbesteed.
Feitelijk aansprakelijk voor diensten van bewerkers: noodzaak tot keuze voor juiste leverancier en goede vastlegging afspraken
20
Externe maatregelen – Outsourcing, keuze leverancier Waarmee rekening houden bij keuze? • • • • • •
Interne afspraken idealiter ook bij bewerker Certificeringen? ISAE 3402, ISO 27001, Third Party Memorandum Mogelijkheid van testen/ auditen van beveiligingsniveau? Is bewerker verzekerd? Verantwoordelijke moet feitelijk bepalen welke beveiligingsmaatregelen noodzakelijk zijn advies inwinnen
21
Externe maatregelen – Outsourcing, schr. afspraken I Schriftelijke vastlegging afspraken met bewerker is verplicht Steeds maatwerk, leg o.m. de volgende punten vast: • • • • •
Geheimhouding Omschrijving diensten Omvang: welke gegevens voor welk doel Passende & adequate beveiliging omschrijven in detail Differentiëren naar gevoeligheid gegevens, breng onderscheid aan 22
Externe maatregelen – Outsourcing, schr. afspraken II • Rapportage bedingen (frequentie en inhoud) • Medewerking bedingen voor inzage-, wijzigings- en verwijderingsrechten van betrokkene • Bewaartermijnen en back-up • Sub-bewerkers? Zo ja doorlegging afspraken • Buitenlandse bewerkers, Europa, VS • Recht om tests en auditing te laten plaatsvinden • Afspraken over melding datalekken onverwijld, aard van de lekken, noodzakelijke medewerking, aanbevolen maatregelen beperking negatieve gevolgen 23
Externe maatregelen – Verzekering I Verzekering kan de schade voor een organisatie igv een datalek beperken Diverse verzekeraars bieden data risks/ cyberverzekeringen aan, welke uiteenlopende dekkingen bieden. Te denken valt aan: • • • • • • • • • •
Kosten voor herstel/ vervanging hard- en software Forensische en juridische onderzoekskosten Juridische kosten verbonden aan melding datalek en onderzoeken toezichthouder Juridische kosten in geval van rechtszaken tegen betrokkenen, klanten of de toezichthouder PR-/ communicatiekosten ter beperking van imagoschade Klant notificatiekosten Bestuurlijke boetes toezichthouder Bedrijfsstilstand kosten voor reconstructie van data Cyberafpersing 24
Externe maatregelen – Verzekering II Gangbare beperkingen/ uitsluitingen in polissen: •
Contractuele aansprakelijkheid zoals boetebepalingen, garanties, vrijwaringsbedingen of schadevergoedingsbedingen. Boete AP? vaak beperkt tot als een bedrijf wordt gehackt, terwijl het alle redelijke beveiligingsmaatregelen heeft genomen, en het bedrijf krijgt toch een boete opgelegd.
•
Fraude en opzet
•
Schade voortvloeiend uit illegaal verkregen data
25
Nuttige informatie • Website Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) • Beleidsregels datalekken Autoriteit Persoonsgegevens • Richtsnoeren beveiliging Persoonsgegevens • Boetebeleidsregels Autoriteit Persoonsgegevens
• Grip op datalekken, J. Hutter, S. Katus e.a., Wolters Kluwers, 2015
26
Dank voor uw aandacht
Vragen?
Martijn Nooijen
[email protected] 0546 – 76 08 39
