Meldplicht datalekken Thomas van Essen
31 maart 2016
Agenda Kort juridisch kader Bespreking aandachtspunten en mogelijke valkuilen Oplossingen
Datalekken (I)
Antoni van Leeuwenhoek 780 patiëntgegevens Losse harde schijf
Meldplicht datalekken Wetgeving Artikel 34a in de Wet bescherming persoonsgegevens Per 1 januari 2016 van kracht Geldt deels niet voor:
financiële ondernemingen Aanbieders telecom diensten en internetdiensten
Meldplicht datalekken Inhoud artikel 34a Twee meldplichten
Onverwijld aan CBP bij (aanzienlijke kans op) ernstige nadelige gevolgen Onverwijld aan betrokkene bij mogelijk ongunstige gevolgen privacy (tenzij encryptie)
Voorwaarden aan de inhoud van de melding Bijhouden overzicht
Toezichthouder
Beleidsregels datalekken Doel: Ondersteuning bij het maken van een beredeneerde afweging of gemeld moet worden Uitgangspunt toepassen handhavende maatregelen
Autoriteit Persoonsgegevens Boetebevoegdheid EUR 820.000,-- of 10% jaaromzet Eerst bindende aanwijzing
Boetebeleidsregels
Aandachtspunten
Getrapt model
Wat is een datalek? (I) Niet ieder beveiligingsincident = datalek “inbreuk op de beveiliging zoals bedoeld in artikel 13” (…) passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking
Ruim begrip, mate beveiliging niet relevant
Wat is een datalek? (II)
Wat is iig geen datalek?
Rol van de bewerker Meldplicht richt zich tot de verantwoordelijke Verantwoordelijke moet onverwijld melden Was: twee werkdagen Is: 72 uur voor zover mogelijk
Afspraken bewerker omtrent doorgeven geconstateerd datalek Zelfstandig melden?
Ernstige nadelige gevolgen? (I)
Ernstige nadelige gevolgen? (II) (Aanzienlijke kans op) ernstige nadelige gevolgen bij lek: Gevoelige gegevens
Bijzondere persoonsgegevens, financiële gegevens, stigmatisering/uitsluiting, gebruikersnaam/wachtwoorden, identiteitsfraude
Aard en omvang
Veel gegevens over een persoon Gegevens over grote groepen
Waarschijnlijk ongunstige gevolgen? (I) Bij versleuteling geen melding indien: Versleuteld op moment datalek Versleuteling adequaat
Remote wiping Tijdig Apparaat nog intact Toepassing moet nog (correct) werken
Waarschijnlijk ongunstige gevolgen? (II) Weinig houvast voor verdere beoordeling Wel bij gevoelige gegevens
Bewaartermijnen van 1 of 3 jaar Geen invulling van ‘onverwijld’
Insteek CBP
INCIDENT RESPONSE Identificeren, analyseren, bewijs verzamelen
Insluiten en schade beperken
Herstel
Evaluatie
Reactiebeleid bestaat uit:
Hoe verder? IT-plan, uitgewerkt voor kritische systemen Communicatieplan, zowel extern als intern Compliance (bijv. meldplicht CBP, betrokkene informeren, etc) Een goed reactiebeleid voorkomt zowel een deel van de reputatieschade als een deel van de financiële schade
Gevolgen organisatie Enorme herstelkosten
Ernstige reputatieschade
Kosten worden geschat op $ 154 per verloren record, totaal per lek $ 3,79 miljoen.1 Kosten bestaan uit: Activiteiten nodig voor ontdekken van datalek Kostprijs van herstel Kosten van informeren slachtoffers Eventuele hulp aan slachtoffers om gevolgen te beperken 1. Bron: Symantec/Ponemon, 2015 Cost of Data Breach Study: Global Analysis
Incident response Identificeren, analyseren, bewijs verzamelen
Insluiten en schade beperken
Herstel
Evaluatie
Reactiebeleid bestaat uit: IT-plan, uitgewerkt voor kritische systemen Communicatieplan, zowel extern als intern Compliance (bijv. meldplicht CBP, betrokkene informeren, etc.) Een goed reactiebeleid voorkomt zowel een deel van de reputatieschade als een deel van de financiële schade
?
SOLV Advocaten Anne Frankstraat 121 1018 BZ Amsterdam
[email protected]
31 maart 2016