Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy van persoonsgegevens. De wetswijziging in de “Wet Bescherming Persoonsgegevens” is op 10 februari 2015 goedgekeurd door de Tweede Kamer en op 26 mei 2015 goedgekeurd door de Eerste kamer. Deze verandering in de wetgeving heeft gevolgen voor bedrijven die moeten voldoen aan de privacy wetgeving. Voorbereiding is van groot belang. De veranderingen die zijn aangebracht hebben betrekking op de Meldplicht Datalekken en de boetebevoegdheid van de toezichthouder. In dit artikel zetten we de kernpunten van de wijzigingen voor u op een rij.
Meldplicht Datalekken (Artikel 34A WBP) Het kan gebeuren dat gegevens van bedrijven toegankelijk worden voor mensen die geen recht hebben op kennisname van die gegevens. (Datalek) De oorzaak van een dergelijk datalek zou bijvoorbeeld kunnen zijn:
Inbreuk op de beveiliging Hackersaanval waarbij persoonsgegevens zijn gestolen Verlies/diefstal van een laptop of smartphone waarop persoonsgegevens staan Geen adequate beveiliging van persoonsgegevens Onveilige omgang met ICT middelen en persoonsgegevens door medewerkers
De Meldplicht Datalekken verplicht bedrijven en organisaties om een datalek te melden bij de toezichthouder en in sommige situaties ook bij alle betrokkenen waarover de data is gelekt. Een meldplicht voor datalekken is niet nieuw. Het bestaat al langer voor de overheid en voor kritische infractructuur (bijv. energiebedrijven). Telecom-bedrijven en financiële instellingen hebben ook al langer een meldplicht voor datalekken vanuit specifieke wetgeving waaraan zij moeten voldoen (Telecommunicatie-wet en de wet op het financieel toezicht). De letterlijke tekst in de nieuwe wetgeving (art. 34A lid 1) zegt dat het gaat om “een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Deze inbreuken dienen “onverwijld” te worden gemeld aan de toezichthouder. Vervolgens zegt Artikel 34A lid 2 dat de alle betrokkenen ook in kennis gesteld moeten worden “indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”.
1
Melding aan alle betrokkenen volgens lid 2 is niet van toepassing “indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens”. (Bijvoorbeeld door middel van encryption) De melding aan de toezichthouder omvat een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De kennisgeving aan de toezichthouder en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
Boetebevoegdheid van de toezichthouder (Artikel 66 WBP) Een belangrijke verandering in de wetgeving is de boetebevoegdheid van de toezichthouder. De toezichthouder kan nu “bestuurlijke boetes” opleggen van “ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht”. Dit is een boete van materieel belang: 810.000 Euro. De toezichthouder legt geen bestuurlijke boete op “dan nadat het een bindende aanwijzing heeft gegeven”. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Deze bindende aanwijzing is niet van toepassing “indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid”.
Naamsverandering van de toezichthouder De toezichthouder (College Bescherming Persoonsgegevens) zal een naamsverandering krijgen. De toezichthouder zal in het maatschappelijk verkeer worden aangeduid als: Autoriteit persoonsgegevens.
2
Voorbereiding op deze nieuwe wetgeving De wijziging in de wetgeving heeft gevolgen voor bedrijven die persoonsgegevens verwerken. Bedrijven dienen zich voor te bereiden op mogelijke calamiteiten waarvan een melding gemaakt moet worden aan de toezichthouder. Sebyde heeft een programma ontwikkeld waarmee bedrijven ondersteund worden bij de voorbereiding op de nieuwe wetgeving. Het is een modulair programma bestaande uit 5 duidelijke stappen.
Het programma bestaat uit de volgende stappen: 1. Nulmeting (Hoe staan we er voor?) De eerste stap is de nulmeting. Overzicht maken van de systemen, applicaties, de aanwezige informatie en de verwerkingen. De praktische uitvoering van deze stap bestaat uit 1 of meerdere interview-sessies met de betrokken personen / afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door een FG (Functionaris Gegevensbescherming). Waar nodig zal een beoordeling van de bedrijfsjurist gevraagd worden met betrekking tot overige wetgeving waaraan het bedrijf moet voldoen.
2. Analyse (Wat en waar zijn de risico’s?) De tweede stap van het Privacy Impact Programma is om te bepalen aan welke risico’s de informatie die in stap 1 is verkregen blootstaat. Behalve verschillende security testen op netwerk, systemen en de applicaties wordt in deze stap ook de “zachte” kant van de security meegenomen. 3
3. Maatregel (Wat kunnen we doen?) Stap drie is de bepaling welke maatregelen er genomen kunnen / moeten worden om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te minimaliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën: Mens, Processen (organisatie), Techniek
4. Rapport (Wat gaan we doen?) In deze stap wordt het rapport aangemaakt van alle bevindingen en aanbevelingen. Het rapport zal opgesteld worden conform de richtlijnen van het NOREA voor een PIA (Privacy Impact Assessment). Ten tweede zal er een plan van aanpak worden gemaakt voor de door te voeren maatregelen.
5. Invoering (Maatregelen treffen) De vijfde stap is de daadwerkelijke doorvoering van de maatregelen in de categorieën Mens, Processen en Techniek die in stap 3 zijn bepaald.
Sebyde maakt graag een offerte voor het uitvoeren van een nulmeting (stap 1) bij u in de organisatie. Neem hierover gerust contact op via onderstaande contactgegevens.
4
Sebyde en Sebyde Academy Sebyde en de Sebyde Academy helpt bedrijven bij het vergroten van het bewustzijn op het gebied van security en het verlagen van het aantal security incidenten. Dit doen we door middel van security onderzoeken op netwerken en applicatiesoftware. Vanuit onze Sebyde Academy bieden we training, workshops en presentaties die mensen stimuleren en motiveren naar veilig gedrag. Het Sebyde Internet Weerbaarheid programma helpt bedrijven naar duurzaam veilig gedrag. Bewuste en gemotiveerde medewerkers vergroot de cyber-weerbaarheid van uw organisatie en verlaagt het aantal security incidenten. Sebyde Academy helpt bij de introductie van een Security Awareness programma. Tijdens onze speciale management workshop maken we samen met u de speerpunten, verwachtingen en doelstellingen van een dergelijk programma helder.
Contact gegevens Sebyde en Sebyde Academy Sebyde BV Legerland 56 1541 NG Koog aan de Zaan Telefoon: Email: (algemeen)
06-53233269
[email protected]
Website Sebyde BV: Website Sebyde Academy:
www.sebyde.nl www.sebydeacademy.nl
LinkedIn: Twitter: Facebook:
www.linkedin.com/company/sebyde-bv www.twitter.com/SebydeBV www.facebook.com/sebydeBV
5
