LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1
Wet bescherming persoonsgegevens Wet meldplicht datalekken
2
Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene c. Verwerken d. Verantwoordelijke e. Bewerker
3
Plichten verantwoordelijke a. Zorgvuldige verwerking b. Beveiliging c. Bewerkersovereenkomst d. Informatieplicht e. Meldingsplicht
f. Inzage geven g. Corrigeren
4
Zorgvuldige verwerking
5
•
Niet bovenmatig
•
Toereikend
•
Ter zake dienend (noodzakelijk voor het doel)
•
Juiste en nauwkeurige gegevens
•
Bewaartermijn
Beveiliging •
Passende technische en organisatorische maatregelen om
verlies van gegevens of onrechtmatige verwerking tegen te gaan •
Afhankelijk van risico’s van verwerking, aard van de gegevens, stand van de techniek en kosten van de maatregelen
6
Bewerkersovereenkomst •
Verwerking uitsluitend in opdracht van verantwoordelijke
•
Nakoming beveiligingsverplichtingen door bewerker
•
Waarborgen naleving meldplicht datalekken
•
Toezien op naleving
•
Bewerker is zelfstandig aansprakelijk voor schade die het
gevolg is van de bewerkingshandelingen •
7
Geheimhouding
Informatieplicht •
Verantwoordelijke, verwerkingsdoeleinden en alles wat nodig is om behoorlijke en zorgvuldige verwerking te waarborgen
•
In beginsel vóór de verkrijging
•
Zodanig dat de betrokkene er daadwerkelijk de beschikking
over krijgt (privacy statement)
8
Meldingsplicht verwerkingen (NB: veel ruimer dan meldplicht datalekken) •
Bij de Autoriteit Persoonsgegevens of bij de door u of uw brancheorganisatie benoemde functionaris
•
Vóór de verwerking (= vóór verzameling)
•
Uitzonderingen op de meldingsplicht: vrijstellingsbesluit (o.a. debiteurenadministratie, nakoming contracten etc)
9
Sancties
10
•
Bindende aanwijzing
•
Boete
•
Last onder dwangsom
•
Rechterlijk verbod of gebod (civiel)
•
Schadevergoeding (civiel, maar basis in Wbp)
•
Reputatieschade (civiel)
Wet meldplicht datalekken
11
•
1 januari 2016 van kracht
•
Beleidsregels AP
12
Datalek •
Een inbreuk op de beveiliging, die leidt tot de aanzienlijke
kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens
13
Voorbeelden datalek
14
•
Ongeautoriseerde inzage in bestanden met persoonsgegevens!
•
Een kwijtgeraakte of vergeten USB-stick
•
Een gestolen laptop/mobiele telefoon
•
Inbraak in een databestand door een hacker
•
Slordig wachtwoordbeheer
•
Diefstal van papieren gegevens
•
Online en offline datalekken
Datalek •
Zijn de verwerkte persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking? –
dus aan datgene waartegen de beveiligingsmaatregelen bescherming moesten bieden
•
Kan redelijkerwijs worden uitgesloten dat er
persoonsgegevens verloren zijn gegaan of onrechtmatig verwerkt?
15
Checklist datalek •
Is er sprake van verwerking van persoonsgegevens?
•
Bent u verantwoordelijke?
•
Is de Wbp van toepassing?
•
Is dit een datalek (inbreuk op de beveiliging)?
Ja, ja, ja, ja: WAT NU?
16
Meldplicht
17
•
Rust op de verantwoordelijke
•
Melden aan AP
•
Melden aan betrokkene
Melden aan AP •
Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans
op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens
18
–
aard van de gegevens (persoonsgegevens van gevoelige aard)
–
aard en omvang van de inbreuk
Melden aan AP •
Webformulier (vragen: zie bijlage Richtsnoeren AP)
•
Onverwijld = ‘zo mogelijk’ uiterlijk 72 uur na ontdekking van het incident
•
19
Eventueel naderhand aanvullen of intrekken
Melden aan betrokkene •
Indien de inbreuk waarschijnlijk ongunstige gevolgen zal
hebben voor diens persoonlijke levenssfeer (b.v.: geen encryptie)
20
•
Persoonsgegevens van gevoelige aard: melden
•
Overige gevallen: afweging maken
Melden aan betrokkene •
Een eenvoudige meldingswijze (aldus MvT)
•
Onverwijld
•
Behoorlijke en zorgvuldige informatievoorziening: -
aard inbreuk
- instantie waar betrokkene meer informatie kan krijgen - maatregelen
21
Uitzonderingen meldplicht •
Passende technische beschermingsmaatregelen waardoor persoonsgegevens onbegrijpelijk of ontoegankelijk zijn - bijv. encryptie, remote wiping, pseudonimisering - strenge norm
•
Zwaarwegende redenen om melding aan betrokkene achterwege te laten - noodzakelijk in het belang van de bescherming van de betrokkene
22
Protocolplicht
23
•
Feiten en gegevens omtrent de aard van de inbreuk
•
Tekst kennisgeving betrokkene (…en AP)
•
Intern en extern toezicht
•
Niet openbaar
Sancties schending meldingsplicht •
Melding niet gedaan, niet tijdig gedaan of niet gedaan in overeenstemming met Wbp
•
Boetebevoegdheid AP
•
Maximumboete van EUR 820.000 of 10% van de netto jaaromzet
•
24
Na bindende aanwijzing
Andere beboetbare schendingen Wbp (voorb.) •
Ongeoorloofde verwerking gegevens opgeslagen in NL door persoon buiten EU, doorgifte vanuit NL zonder passend beschermingsniveau: EUR 12.500- 20.500
•
Onzorgvuldige of onrechtmatige verwerking, schending beveiligingsverplichting, inzagerecht etc: veelal categorie EUR 120.000-500.000
25
Boetebeleid •
Eerst bindende aanwijzing: welke concrete gedraging verwacht de AP van de overtreder?
•
Direct boete bij opzet: b.v. handel in persoonsgegevens.
•
Direct boete bij grof of aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen
•
26
Daaronder ook: meermalen dezelfde overtreding
Boetebeleid (II) •
Boeteverhogend:
- recidive. Bij 2e boete verhoging met 50% tenzij in gegeven omstandigheden onredelijk
- Tegenwerking/belemmering onderzoek AP •
Boeteverlagend: verdergaande medewerking dan verplicht; vrijwillige beëindiging overtreding en/of schadeloosstelling benadeelden
27
Europese Privacy Verordening (“Algemene verordening gegevensbescherming”)
• voorlopig vastgesteld op 15 december 2015 • Treedt ws. medio dit jaar in werking; nadien
overgangstermijn twee jaar
28
Europese Privacy Verordening: general approach •
Hogere boetes dan nu in NL (max 20 mio/4% wereldjaaromzet)
29
•
Actieve houding ondernemer
•
Data Privacy Officer verplicht
•
PIA verplicht
•
Etc etc
Tips & Tricks •
Inventarisatie, risicoanalyse, PIA en implementatie van passende informatiebeveiliging
30
•
Compliance check
•
Datalekprotocol (actieplan) en datalek-team
•
Training team en bewustwording medewerkers
•
Cybercrimeverzekering (o.a.: AON)
Privacy in de praktijk
31
Kopietje paspoort
32
•
(Bijzondere) persoonsgegevens: BSN, foto
•
Legitimatie en controle
•
Overnemen gegevens
•
Kopiëren, scannen, opslaan
•
Grondslag?
