Meldplicht Datalekken
Herziene versie, oktober 2015 [v2.0]
CONCEPT - IN BEWERKING: dit is een 1.9 (p)reviewversie. Versie 2.0 wordt tegen november verwacht.
Realisatie: Aramis Jean Pierre, Gineke Kuipers en Ruud de Bruijn Centrum voor Informatiebeveiliging en Privacybescherming, Domeingroep Privacy
Het CIP betracht zorgvuldigheid bij het samenstellen van zijn publicaties. Het kan echter voorkomen dat er toch sprake is van omissies of onjuistheden. Het is altijd de verantwoordelijkheid van de lezer zelf dit te beoordelen en te corrigeren indien hij zich baseert op of gebruik maakt van een CIP-publicatie.
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 2 van 28
Inhoudsopgave 1
2
3
Inleiding........................................................................................................................................ 4 1.1
Doel en onderwerp van dit document ....................................................................................... 4
1.2
Aantekeningen bij deze versie................................................................................................. 4
1.3
Samenvatting ....................................................................................................................... 5
De Meldplicht datalekken................................................................................................................. 8 2.1
Reikwijdte ............................................................................................................................ 8
2.2
Ongeoorloofde of onbedoelde openbaarmaking ......................................................................... 9
2.3
Geen registratieplicht, toch registreren? ................................................................................... 9
2.4
Beslismodel meldplicht Wbp: "melden indien" ......................................................................... 10
2.5
Melding .............................................................................................................................. 10
2.6
Verhouding 'verantwoordelijke voor de verwerking' en 'bewerker' ............................................. 11
2.7
Boetes en de boetebevoegdheid van de Autoriteit Persoonsgegevens. ........................................ 11
2.8
Schema voor de afwikkeling van incidenten ............................................................................ 11
Het wetsvoorstel Wet gegevensverwerking en meldplicht cybersecurity............................................... 13 3.1
Het wetsvoorstel in het kort.................................................................................................. 13
3.2
Melding .............................................................................................................................. 13
3.3
Vertrouwen, geen sancties ................................................................................................... 14
3.4
Meldplichtige partijen ........................................................................................................... 14
3.5
Te melden ICT-inbreuken ..................................................................................................... 14
3.6
Verhouding tot sectorale meldplichten en het wetsvoorstel meldplicht datalekken ....................... 15
4
Algemene Verordening Gegevensbescherming (AVG) ........................................................................ 16
5
Wat kunt je alvast regelen? ........................................................................................................... 17 5.1
Implementeer en maak aantoonbaar ..................................................................................... 17
5.2
Risico’s minimaliseren .......................................................................................................... 18
5.3
Organiseer accountability ..................................................................................................... 19
5.4
Beperk vermijdbare schadeclaims ......................................................................................... 19
5.5
Maak bewerkingsovereenkomsten hard .................................................................................. 20
5.6
Zorg voor een heldere interne procedure: een datalekprotocol .................................................. 20
5.7
Gebruik bestaande escalatiemodellen .................................................................................... 20
5.8
Uitvoering en realiteit .......................................................................................................... 20
5.9
Niet afwachten! ................................................................................................................... 21
Colofon ............................................................................................................................................. 21 Bijlage 1: De AVG, parallellen en de shift naar Europa ............................................................................. 22 Bijlage 2: Boetes bij de Meldplicht datalekken ........................................................................................ 24 Gebruikte of genoemde informatiebronnen ............................................................................................ 28
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 3 van 28
Met het doel informatie-uitwisseling en kennisdeling te bevorderen, wil CIP onder andere 'good practices' ter beschikking stellen. Dit kunnen praktijkvoorbeelden zijn, handreikingen voor beleid, beschrijvingen van de stand van zaken in bepaalde ontwikkelingen, en dergelijke. De herkomst is van oorsprong een reflectie op een onderwerp door mensen in de CIP-kring, maar het kunnen ook notities zijn uit de praktijk van de CIPorganisaties die zonder verder commentaar worden gepubliceerd. De kern is dat de bijdragen altijd zijn gebaseerd op de expertise van de opstellers en deelnemende reviewers en/of het idee dat wat in één organisatie goed werkt, ook voor andere organisaties nuttig zou kunnen zijn. Soms is het resultaat dus de uitkomst van een groepsproces en in andere gevallen wordt iets 'as is' ter kennisneming of overname aangeboden. CIP heeft categorieën geformuleerd waarmee reikwijdte, intentie, status en/of draagvlak van CIP-publicaties wordt aangegeven. Deze publicatie valt in categorie 2: "becommentarieerde praktijk: een door meerdere professionals veralgemeniseerde praktijk als handreiking voor hergebruik binnen geïnteresseerde organisaties". Een nadere uitleg hiervan staat op www.cip-overheid.nl. De CIP-documenten hebben geen ander doel dan kennisoverdracht en reflecteren niet noodzakelijk de opvattingen van alle contribuanten, CIP-deelnemers en/of alle CIP-partijen. Publicatie vindt plaats op zowel de openbare website www.cip-overheid.nl als het besloten https://cip.pleio.nl. CIP-documenten kunnen van tijd tot tijd aanpassingen ondergaan of worden ingetrokken als gevolg van veranderde inzichten. De CIP-redactie streeft binnen haar mogelijkheden naar een zo actueel mogelijke status van de documenten. In de praktijk betekent dit dat enige tijd zal verstrijken voordat wijzigingen kunnen zijn doorgevoerd. Suggesties voor aanpassingen kunnen ook door lezers worden aangedragen en worden altijd in behandeling genomen.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 4 van 28
1 1.1
Inleiding Doel en onderwerp van dit document
Het CIP wil met dit document: Een overzicht geven van de belangrijkste implicaties voor organisaties van de "Meldplicht datalekken", en van de ontwikkelingen met betrekking tot: het wetsontwerp "Wet gegevensverwerking en meldplicht cybersecurity"; het Europese wetsvoorstel voor de "Algemene Verordening Gegevensbescherming" (AVG). De lezer bewust maken van de (aankomende) wetgeving en haar mogelijke gevolgen. Praktische adviezen aandragen over hoe te anticiperen/reageren op de Meldplicht datalekken. Het gaat om: Nationaal: De Meldplicht datalekken. Voluit: Wet van 4 juni 2015 tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp).
Concept wetsvoorstel Wet gegevensverwerking en meldplicht cybersecurity en artikelsgewijze toelichting (22 januari 2015 t.b.v. consultatie). Voluit: "Wet houdende regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity)".
Europees: De Algemene Verordening Gegevensbescherming (AVG). Deze Verordening zal zonder omzetting in nationaal recht rechtstreeks toepasselijk zijn in de lidstaten, 20 dagen na verschijnen in het Publicatieblad van de EU. 1.2
Aantekeningen bij deze versie
Dit CIP-document is een product van de Domeingroep Privacy, een van de vijf thematische domeingroepen in CIP-verband. Teksten en (links naar) aanvullende documentatie zijn aangedragen door de domeingroepleden en ook de opeenvolgende kritische reviews zijn 'in eigen huis' gedaan. Uitgave geschiedt onder auspiciën van de Domeingroep Privacy en onder verlening van de Creative Commons licentie zoals op het titelblad staat vermeld. De oorspronkelijke publicatie van dit stuk (september 2014) is een initiatief van Aramis Jean Pierre (DUO), Gineke Kuipers (DUO) en Ruud de Bruijn (CIP/UWV) naar aanleiding van interne notities van Mieke Anema (UWV) en Hatice Dogan (SVB) na het verschijnen van de eerste versie van het wetsvoorstel "Meldplicht datalekken" in 2013. Diverse leden van de CIP-domeingroep Privacy hebben in reviews en materiaalsuggesties waardevolle bijdragen geleverd. Deze tweede versie is een herziening van het document nu het wetsvoorstel is aangenomen door de 1e en 2e Kamer en de Meldplicht op 1 januari 2016 in werking zal treden.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 5 van 28
Mogelijke aanvullingen op afzienbare termijn zouden betrekking kunnen hebben op: De definitieve 'Richtsnoeren' bij de toepassing van de Meldplicht datalekken door het College bescherming persoonsgegevens, binnenkort "Autoriteit persoonsgegevens" geheten. Op 21 september is daarvan een consultatieversie uitgebracht op de site van het Cbp. Het is de bedoeling dat ook deze richtsnoeren per 1 januari 2016 in werking treden. De definitieve teksten van de AVG. Er is een kleine kans dat de AVG per 1-1-2016 in werking treedt. Afhankelijk van de daadwerkelijke datum van inwerkingtreding zullen we in een latere versie dit document daar eveneens aandacht aan besteden. 1.3
Samenvatting
Meldplicht datalekken Het wetsvoorstel "Meldplicht datalekken" is op 10 februari 2015 met wijzigingen maar tevens met algemene stemmen aangenomen door de Tweede Kamer en op 26 mei 2015 bekrachtigd door de Eerste Kamer. De datum van inwerkingtreding is 1 januari 2016. Het doel is beperking van de schade voor betrokkenen1 ten gevolge van 'datalekken' waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens. De wet wordt opgenomen in de Wet bescherming persoonsgegevens (Wbp) als een nieuw artikel 34a. De meldplicht geldt voor iedere verantwoordelijke voor de verwerking van persoonsgegevens (niet: de bewerker!), zowel in de private als publieke sector. De wet verplicht, op een enkele uitzondering na, de verantwoordelijke tot melding van een datalek aan de Autoriteit Persoonsgegevens (AP) 2 en in bepaalde gevallen ook aan de betrokkenen. Dit laatste is afhankelijk van de ernst van de zaak en de gevolgen voor de betrokkenen. De verantwoordelijke voor de verwerking van persoonsgegevens in de zin van de Wbp moet de AP onverwijld in kennis stellen van het datalek, als er een inbreuk wordt geconstateerd die voldoet aan de volgende kenmerken: er is een inbreuk op de beveiliging als bedoeld in artikel 13 Wbp. De strekking van dit artikel is: "Verantwoordelijke is verplicht om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking"; de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens, dan wel doet de aanzienlijke kans daarop ontstaan. De inbreuk kan ook destijds onopgemerkt in het verleden hebben plaatsgevonden. In de concept richtsnoeren van het Cbp (sept 2015) staat te lezen dat 'onverwijld' betekent 'na ontdekking', maar niet later dan 2 werkdagen daarna. De wet bepaalt expliciet dat een behoorlijke en zorgvuldige informatievoorziening gewaarborgd moet zijn naar de betrokkenen. De verantwoordelijke moet de betrokkenen onverwijld in kennis stellen van de inbreuk als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen.
1 2
Onder 'betrokkenen' verstaan we de personen van wie de gegevens zijn gelekt. Het College Bescherming Persoonsgegevens (Cbp) gaat per 1-1-2016 over in de Autoriteit Persoonsgegevens (AP).
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 6 van 28
Bij 'niet tijdige' melding kan de Autoriteit Persoonsgegevens: een (bindende) aanwijzing geven om alsnog te melden; een bestuurlijke boete opleggen tot maximaal 810.000 euro per overtreding. De overtreding die hier wordt bedoeld is het niet melden3. De boete wordt in de regel niet opgelegd als niet éérst sprake is geweest van een bindende aanwijzing. Maar in gevallen van opzet of ernstig verwijtbare nalatigheid kan de boete ook ineens worden uitgedeeld. Overigens kan de AP per 1-1-2016 ook in andere gevallen van nalatigheid boetes gaan uitdelen en is wél melden niet per definitie voldoende voor vrijwaring van onderzoek en eventuele beboeting door de AP. Niet alle criteria in de wet en de Memorie van Toelichting (MvT) zijn zonder meer eenduidig. In november (2015) maakt het College bescherming persoonsgegevens aanwijzingen ('Richtsnoeren') bekend, waarin wordt aangegeven hoe de Autoriteit Persoonsgegevens zal omgaan met zijn rol en bevoegdheden als toezichthouder en de toepassing van de nieuwe boetebevoegdheden 4. Dit is mogelijk de reden waarom de wet pas per 1 januari 2016 in werking treedt. Enkele bijzonderheden in de Meldplicht datalekken Aan de inhoud van de meldingen worden eisen gesteld. De kennisgeving aan de AP moet, naast de feitelijke incidentmelding en de aard ervan, tevens ingaan op: óf de verantwoordelijke het incident aan betrokkenen zal melden; een beschrijving van de geconstateerde en vermoedelijke gevolgen van de inbreuk op de verwerking van de persoonsgegevens; de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. Indien de verantwoordelijke tevens de betrokkenen inlicht, dan stelt hij hen in kennis van de mogelijke gevolgen van de inbreuk voor hun persoonlijke levenssfeer en adviseert hij over de door hen te nemen maatregelen ter beperking van schade. De kennisgeving aan de AP en de betrokkenen omvat: de aard van de inbreuk; de instantie(s) waar meer informatie over de inbreuk kan worden verkregen; de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. De meldplicht geldt niet indien de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn gemaakt door technische en/of organisatorische maatregelen. Technische anonimisering, bijvoorbeeld door versleuteling is hier echter geen absolute vrijwaring: de geschatte levensduur van de gebruikte encryptymethode en de aard van de gegevens in kwestie moeten hierbij worden meegewogen. Ten slotte: de nieuwe wet regelt ook dat het CBP een andere naam krijgt. Het College Bescherming Persoonsgegevens zal dan verder gaan als Autoriteit Persoonsgegevens. Behalve de boetebevoegdheid in geval van niet melden mag de AP vanaf 1 januari 2016 ook bestuurlijke boetes opleggen bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens.
3 4
https://www.privacybarometer.nl/maatregel/41/Meldplicht_datalekken_en_uitbreiding_boetebevoegdheid Niet verwarren met de 'Richtsnoeren voor de beveiliging van persoonsgegevens' uit 2013:
https://cbpweb.nl/sites/default/files/downloads/rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 7 van 28
Wet gegevensverwerking en meldplicht cybersecurity In 2014-15 heeft ook consultatie plaatsgehad voor een aanvankelijk wetsontwerp Meldplicht inbreuken op elektronische systemen, later uitgebreid en opnieuw ter consultatie gepubliceerd als het ontwerp Wet gegevensverwerking en meldplicht cybersecurity. Hoewel de term gegevensverwerking in de werktitel gemakkelijk anders doet vermoeden, betreft het hier geen privacywetgeving. Per saldo komt het neer op dubbel melden (en ook bij twee verschillende instanties), indien door de inbreuk mogelijk ook persoonsgegevens worden geraakt. @@nakijken! De reden om het voorstel hier kort te bespreken is het gegeven dat ook hier een meldplicht in het spel is die procedureel en organisatorisch veel gelijkenissen vertoont met de protocollen die nodig zijn voor vanwege de Meldplicht datalekken. De wet moet gaan gelden voor bij AMvB (Algemene Maatregel van Bestuur) nog aan te wijzen organisaties in 'vitale sectoren'. Inbreuken zouden moeten worden gemeld aan het Nationaal Cyber Security Centrum (NCSC). Boetes bij nalatigheid lijken vooralsnog niet aan de orde. Algemene verordening gegevensbescherming De AVG komt voorlopig nog summier ter sprake. Dat de verordening er komt is zeker geworden nu de Raad ermee heeft ingestemd, ook al moet nog een fors aantal amendementen worden weggewerkt en wordt nog een flinke slag om de arm gehouden op het punt van de positie van de overheid. Optimisten menen niettemin dat 1 januari 2016 een haalbare datum is. Daarna volgt nog een invoeringstermijn van 2 jaar, zodat in dat geval de wet op 1 januari 2018 overal in de Europese unie ingevoerd moet zijn. Het is onmiskenbaar dat zowel de Meldplicht datalekken als het voorstel Gegevensverwerking en meldplicht cybersecurity zijn ontwikkeld met het oog op het gedachtegoed van de AVG. En er is meer wetgeving die daarmee gelijkenis vertoont. In Bijlage 1 gaan we kort in op deze parallellen.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 8 van 28
2
De Meldplicht datalekken
Het wetsvoorstel heeft niet geleid tot een aparte wet, maar tot een uitbreiding van de Wbp met artikel 34a en aanpassing van enkele andere artikelen, waaronder het artikel 66 over boetes 5 . De benaderingswijze van de wetgever is sterk gebaseerd op het publiek belang dat is gemoeid met het kunnen vertrouwen op een juiste en veilige verwerking van persoonsgegevens. De wet adresseert 'verantwoordelijke(n) voor de verwerking van persoonsgegevens', uiteraard geheel in lijn met de artikelen 1, sub d, en 15 van de Wbp. Het is niet relevant of de verantwoordelijke een natuurlijke persoon of rechtspersoon is. Evenmin is relevant of de verantwoordelijke deel uitmaakt van de publieke of de private sector. Hoe de wet gehandhaafd gaat worden is nog allerminst duidelijk. Houvast moet gaan komen van de aangekondigde Richtsnoeren, maar het feit blijft dat de werking van de wet berust op een reeks van beoordelingen en interpretaties, die op de eerste plaats moeten worden gemaakt door de eerder genoemde verantwoordelijke voor de gegevensverwerking: is er een lek (geweest) en is de ernst resp. de (vermoedelijke) schade aanleiding bij de AP te melden? Maar ook als er geen concreet datalek speelt kan de AP per 1 januari 2016 organisaties beboeten "bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt."6 Het vermoeden is dat deze zaken eveneens een rol gaan spelen bij de beoordeling van een datalek: in hoeverre is de organisatie verwijtbaar in gebreke gebleven, waardoor de schade als gevolg van een lek groter is dan redelijkerwijze had gehoeven. 2.1
Reikwijdte
Er is pas sprake van een meldplicht voor een datalek als de organisatorische en/of technische beveiligingsmaatregelen niet hebben gefunctioneerd en een inbreuk op de beveiliging, als bedoeld in artikel 13 Wbp, ernstige nadelige gevolgen heeft of kan hebben voor de bescherming van verwerkte persoonsgegevens. Datalekken vinden tegenwoordig veelal plaats in digitale vorm, maar ook diefstal van papieren gegevens of het lekken via mondelinge/telefonische communicatie kunnen onder de meldplicht vallen. Er hoeft niet noodzakelijkerwijze sprake te zijn van verwijtbaar onvoldoende beveiligingsmaatregelen: de beveiliging kan op orde zijn en niettemin worden teniet gedaan of omzeild. Verwijtbaar/toerekenbaar tekortschieten kan variëren van een niet adequate en niet vakkundig toegepaste beveiliging tot 'ongelukken' door menselijke fouten. Bij de beoordeling of er sprake is van ernstige nadelige gevolgen voor de bescherming van de desbetreffende persoonsgegevens zijn van belang: de aard en omvang van de inbreuk; de aard van de gelekte persoonsgegevens en: de mate waarin organisatorische en technische beschermingsmaatregelen zijn getroffen ten aanzien van de persoonsgegevens. Bij "de aard van de persoonsgegevens" valt te denken aan gevoelige informatie zoals hierboven al genoemd, waartoe bijvoorbeeld ook medische en strafrechtelijke gegevens behoren. Maar het onderliggende criterium is eigenlijk de mate van privacyschending, beschadiging of hinder die zou kunnen optreden als gevolg van het lekken van de gegevens, ook als die niet tot het bekende rijtje 5
https://www.rijksoverheid.nl/documenten/publicaties/2015/07/10/staatsblad-230-wijziging-van-de-wetbescherming-persoonsgegevens 6 Zie het gewijzigde art. 66 in de wet en Bijlage 2 voor de bijbehorende bedragen
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 9 van 28
gevoelige gegevens behoren. Dit mag naar ons idee worden geconcludeerd uit de bepaling dat de verantwoordelijke de betrokkenen onverwijld in kennis moet stellen van een inbreuk als die waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen. De meldplicht geldt niet indien de verantwoordelijke passende technische en/of organisatorische beschermingsmaatregelen heeft getroffen, waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor wie geen recht heeft op kennisname van de gegevens. Het voorbeeld dat hierbij doorgaans wordt aangehaald is het verlies van een volledig versleutelde laptop. Dit is overigens geen absolute aanwijzing. Encryptie is aan erosie onderhevig en kan mettertijd aanmerkelijk verzwakken. Het kan zijn dat de aard van de gegevens die in het spel zijn zodanig gevoelig is, dat het toch wenselijk is de inbreuk te melden aan CBP en betrokkenen te adviseren over maatregelen ter bescherming van hun privacy. De wettelijke meldplicht geldt eveneens niet wanneer voorzieningen van algemene aard, die niet specifiek zijn gericht op de beveiliging van persoonsgegevens, worden aangetast. Als bijvoorbeeld een blikseminslag tot gevolg heeft dat het gebouw afbrandt, waarbij ook persoonsgegevens verloren gaan, zal in de betekenis van de wet niet van een inbreuk op de beveiligingsmaatregelen kunnen worden gesproken (MvT, paragraaf 3.1). Wij kunnen ons overigens voorstellen dat bij een calamiteit persoonsgegevens verloren gaan in omstandigheden die het mogelijk of waarschijnlijk maken dat zij toch in verkeerde handen kunnen vallen. Uitzondering De meldplicht voor datalekken is ook van toepassing op de financiële sector, maar: een financiële onderneming wordt niet verplicht om datalekken te melden aan betrokkenen. Dit is in lijn met de bestaande praktijk dat een financiële onderneming incidenten wel moet melden aan de financieel toezichthouder, maar niet aan betrokkene. Openbare kennisgevingen aan betrokkenen zijn in de financiële sector te risicovol om dwingend te worden voorgeschreven. De zorgplicht van de financiële onderneming zal waarborgen dat zij ook zonder dat dit dwingend wordt voorgeschreven haar verantwoordelijkheid jegens haar cliënten in rechtstreeks contact met die cliënten zal nemen. 2.2
Ongeoorloofde of onbedoelde openbaarmaking
Ongeoorloofde of onbedoelde openbaarmaking van (persoons)gegevens zijn in feite inbreuken op de gegevensbescherming. De Wbp spreekt dan van 'onrechtmatige verwerking'. In de context van informatiebeveiliging wordt ook wel het begrip 'ongeoorloofde toegang' gebruikt, om aan te geven dat gegevens toegankelijk zijn of zijn geweest voor onbevoegden. Dit kan het gevolg zijn van een intentionele inbreuk op de beveiliging door een onbevoegde, maar ook van nalatigheid of een zwakke bescherming door de be- of verwerker. Ongeoorloofde toegang c.q. openbaarmaking kan ook het gevolg zijn van slordig of opzettelijk foutief handelen van gegevensverwerkend personeel. Dit laatste, het opzettelijk ongeoorloofd handelen met persoonsgegevens waartoe op rechtmatige wijze toegang werd verkregen door toegangsbevoegden, dus binnen ongeschonden organisatorische en technische beveiligingsmaatregelen, is echter misbruik. Dit kan tot ongunstige gevolgen leiden voor de persoonlijke levenssfeer van betrokkenen, maar is niet een datalek waarop de meldplicht ziet.7 2.3
Geen registratieplicht, toch registreren?
De aanvankelijk voorgestelde verplichting om binnen de organisatie een overzicht bij te houden van alle inbreuken, is in de Nota van wijziging van 15 april 2014 komen te vervallen als "minder wenselijk". Dit zou immers ook van toepassing zijn geweest op niet- of mogelijk niet-meldplichtige inbreuken, terwijl de verantwoordelijke krachtens de verplichting van Art. 13 Wbp toch al procedures ingesteld moet hebben voor het tijdig en doeltreffend behandelen van beveiligingsincidenten en het aanbrengen van maatregelen ter voorkoming van herhaling. 7
MvT, paragraaf 3.1: "Er is dan geen sprake van het inbreuk maken op beveiligingsmaatregelen, maar het misbruik maken van vertrouwen. Hoe schadelijk dit ook kan zijn, dat is niet het onderwerp van dit wetsvoorstel".
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 10 van 28
Het is juist daarom de vraag of het verstandig is om geen register bij te houden. De verantwoordelijke zal hierop immers moeten kunnen terugvallen indien de AP opheldering vraagt over een beveiligingsincident. Denk hierbij ook aan toepassing van de Wet openbaarheid van bestuur (Wob)8 en mogelijk ook de Archiefwet9. Terzijde: het kan wellicht ook anders. De Nederlandse beroepsorganisatie voor IT-auditors (NOREA) acht een jaarlijkse bestuursverklaring over datalekken wenselijk met het oog op de controleerbaarheid van de meldplicht. De RvB zou jaarlijks expliciet moeten verklaren dat er geen datalekken zijn vastgesteld. De wetgever heeft dit voorstel niet overgenomen, maar is het denkbaar dat deze maatregel zijn weg gaat vinden naar de diverse normenkaders en de auditpraktijk . De AVG gaat vrijwel zeker 'werk maken' van bestuursverantwoordelijkheid. 2.4
Beslismodel meldplicht Wbp: "melden indien"
De goede werking en het succes van de wet hangen erg af van hoe men omgaat met de risicoinschattingen die op de beslismomenten moeten worden gemaakt. Zoals hierboven gezegd gaat het om die inbreuken die 'ernstige nadelige gevolgen' hebben voor de bescherming van de verwerkte persoonsgegevens. Deze moeten bij de AP worden gemeld. Betrokkenen moeten worden ingelicht indien het 'waarschijnlijk' is dat er 'ongunstige gevolgen' zullen zijn voor 'hun persoonlijke levenssfeer'. 1
Inbreuk ja/nee?
Is er sprake van een inbreuk op de getroffen beveiligingsmaatregelen die ernstige nadelige gevolgen heeft voor de bescherming van verwerkte persoonsgegevens? Hieronder valt ook de inschatting of eventueel getroffen technische afschermingsmaatregelen, bijvoorbeeld door encryptie van de inhoud of het toepassen van het op afstand wissen van de inhoud of onklaar maken van de drager ('remote wipe') voldoende robuust en tijdig zijn om ongeoorloofde toegang met zekerheid uit te sluiten; e.e.a. afgezet tegen de aard van de gegevens in kwestie.
2
Betrokkenen?
Is het waarschijnlijk dat de inbreuk voor de persoonlijke levenssfeer van de betrokkenen ongunstige gevolgen zal hebben? Hiervoor is een kwalitatieve evaluatie van de bij een incident betrokken gegevens nodig, alsook de mogelijke betekenis ervan voor de betrokkenen. Fig. 1
Het punt is dat beide vragen een beslissing van de verantwoordelijke vergen die niet of maar ten dele is gebaseerd op harde gegevens en/of algemeen aangenomen inschattingen. In de MvT wordt de verwachting verwoord dat het CBP nog met nadere richtsnoeren voor de uitvoering zal komen ten behoeve van "indirect enig houvast" voor de praktijk.10 2.5
Melding
Aan de inhoud van de meldingen worden eisen gesteld. De kennisgeving aan de AP moet, naast de feitelijke incidentmelding en de aard ervan, tevens: ingaan op óf de verantwoordelijke het incident aan betrokkenen zal melden; een beschrijving geven van de geconstateerde en vermoedelijke gevolgen van de inbreuk op de verwerking van de persoonsgegevens; 8
https://www.rijksoverheid.nl/onderwerpen/kwaliteit-en-integriteit-overheidsinstanties/vraag-en-antwoord/wat-isde-wet-openbaarheid-van-bestuur-wob 9 http://www.nationaalarchief.nl/wetten-regelgeving/archiefwet 10 MvT, paragraaf 3.2.2
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 11 van 28
beschrijven welke maatregelen de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
Indien de verantwoordelijke tevens de betrokkenen inlicht, dan stelt hij hen in kennis van de mogelijke gevolgen van de inbreuk voor hun persoonlijke levenssfeer en adviseert hij over de door hen te nemen maatregelen ter beperking van schade. De kennisgeving aan de AP en de betrokkenen omvat: de aard van de inbreuk; de instantie(s) waar meer informatie over de inbreuk kan worden verkregen; de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Van de richtsnoeren is op 21 september 2015 een consultatieversie gepubliceerd. Daarin is een bijlage opgenomen met een lijst van 28 vragen die in de melding beantwoord moeten worden. Voor deze gegevensuitvraag is alvast gebruik gemaakt van bijlage 1 bij de Europese verordening 611/2013. @@nakijken! De gegevens betreffen op hoofdlijnen onder meer: datum en aard van de inbreuk; samenvatting van het incident; welk type gegevens betreft het; aantal en categorie(en) van betrokkenen; mogelijke gevolgen; getroffen maatregelen (om de inbreuk aan te pakken en verdere incidenten te voorkomen); de melding aan de betrokkenen; wettelijk kader voor de melding (bijvoorbeeld wbp, telecomwet); contactgegevens, sector; is de melding ook in andere EU-landen gedaan aan andere toezichthouders; is de melding compleet of komt er nog een aanvullende melding op dit incident. @@PM: CIP Reactie op richtsnoeren 2.6
Verhouding 'verantwoordelijke voor de verwerking' en 'bewerker'
De wet richt zich tot de verantwoordelijke in de zin van de Wbp. Dit blijft zo wanneer een verantwoordelijke zich bedient van een bewerker. Verantwoordelijke en bewerker, doorgaans in een opdrachtgever - opdrachtnemer relatie, zullen in een bewerkingsovereenkomst afspraken moeten maken over tijdige melding van incidenten die mogelijk tot melding aan de AP en verdere acties moeten leiden. Over het belang van sluitende bewerkingsovereenkomsten en het stapeleffect van mogelijke schadeclaims komen we nog (kort) te spreken in paragrafen 5.3 t/m 5.5. 2.7
Boetes en de boetebevoegdheid van de Autoriteit Persoonsgegevens.
Met het ingaan van de wet zal Het College Bescherming Persoonsgegevens verder gaan als de Autoriteit Persoonsgegevens. De AP 11 , zoals we voorlopig de afkorting hanteren, mag algemene bestuurlijke boetes uit delen tot een maximum van €810.000, conform het boetemaximum van categorie 6 van het Wetboek van Strafrecht, eventueel verhoogd naar 10% van de jaaromzet als categorie 6 geen passende bestraffing toelaat. Bijlage 2 bevat een nadere precisering en bedragen. 2.8
Schema voor de afwikkeling van incidenten
Figuur 2 op de volgende pagina geeft in grote trekken weer hoe de organisatie met het beslismodel van de nieuwe wet zou kunnen omgaan.
11
Ook de combinatie "APg" is als afkorting gespot.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 12 van 28
Fig.2 Er gaan aan dit proces nog belangrijke randvoorwaardelijke organisatieaspecten vooraf. Het betreft 'awareness' en incident-sensitiviteit in de organisatie, en een helder en actueel 'datalekprotocol', zoals de protocollen die ook voor andersoortige calamiteiten op de plank behoren te liggen. Meer hierover in hoofdstuk 5 "Wat kunt je alvast regelen?".
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 13 van 28
3
Het wetsvoorstel Wet gegevensverwerking en meldplicht cybersecurity
De informatie over deze "Wet houdende regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity)" is gebaseerd op het concept ontwerp van 22 januari 2015 t.b.v. consultatie.12 Dit wetsvoorstel sluit aan bij de ambitie van de Europese Commissie om EU-breed te komen tot een meldplicht voor overheden en vitale marktpartijen die bijdraagt aan het verhogen van de digitale veiligheid (zie Bijlage 1 over de NIB: ontwerprichtlijn voor netwerk- en informatiebeveiliging). Hoewel het mogelijk is dat persoonsgegevens geraakt zijn door een inbreuk, of anderszins worden verwerkt bij de uitvoering van de wet, betreft het niet op de eerste plaats privacywetgeving. De minister kan eenieder verzoeken om gegevens te verstrekken ten behoeve van in de wet genoemde doeleinden en taken. In lijn met de WBP, art 43, wordt expliciet gesteld dat de eis van verenigbaarheid met het doel waarvoor de gegevens oorspronkelijk waren verstrekt (WBP, art. 9) niet van toepassing is bij een dergelijk verzoek. 3.1
Het wetsvoorstel in het kort
Dit wetsvoorstel introduceert een meldplicht - onverwijld - voor een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen (hierna ook: Meldplicht ICT-inbreuken) waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken. Het doel is om het risico van maatschappelijke ontwrichting als gevolg van ICT-inbreuken in te schatten en die ontwrichting te voorkomen of in elk geval zo veel mogelijk te beperken. Deze meldplicht geldt voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving ("vitale aanbieders"). Het fundament van en voor het wetvoorstel de ministeriële verantwoordelijkheid te zijn om vitale aanbieders bij te staan "bij het treffen van maatregelen om de beschikbaarheid en betrouwbaarheid van hun producten of diensten te waarborgen of te herstellen" (artikel 2).
De meldplicht geldt alleen voor bij AMvB aan te wijzen aanbieders van daarbij aan te wijzen producten of diensten; de meldplicht zal ook gelden voor de financiële sector en de overheid zelf. De melding moet worden gedaan aan de Minister van Veiligheid en Justitie en wordt behandeld door het Nationaal Cyber Security Centrum (NCSC); Het NCSC kan vervolgens: inschatten hoe groot de impact is; hulp verlenen aan de getroffen aanbieder; andere vitale aanbieders waarschuwen.
3.2
Melding
Bij een melding worden in ieder geval de volgende elementen verwacht: De aard en omvang van de inbreuk of het verlies; Zo mogelijk het tijdstip van de aanvang van de inbreuk of het verlies; De mogelijke gevolgen van de inbreuk of het verlies; Een prognose van de hersteltijd; Zo mogelijk de door de vitale aanbieder genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen; De contactgegevens van de in Nederland gevestigde functionaris die verantwoordelijk is voor het doen van de kennisgeving.
12
Einddatum consultatie 06-03-2015; www.internetconsultatie.nl/cybersecurity.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 14 van 28
Desgevraagd levert de melder tevens: de informatie die nodig is voor een inschatting van de risico's voor de beschikbaarheid of betrouwbaarheid van de producten of diensten, alsook: alle informatie die nodig is om de melder bij te staan de beschikbaarheid of de betrouwbaarheid te waarborgen of te herstellen. Over hoe en bij welke instantie de meldingen moeten worden gedaan worden nog nadere regels gesteld. Het wetsvoorstel bevat voorts nog enkele bepalingen omtrent het vertrouwelijk omgaan met en eventueel doorgeven van de verstrekte gegevens door de minister. 3.3
Vertrouwen, geen sancties
Om de drempel laag te houden kent de voorgestelde meldplicht geen sanctiemogelijkheid, wordt het NCSC niet belast met toezicht en handhaving, en is de meldplicht primair gericht op het bieden van hulp. Hulp door het NCSC aan de getroffen organisatie behelst het bieden van handelingsperspectief door het geven van advies en informatie en het coördineren van de inzet van andere (overheids)organisaties of daar waar noodzakelijk het bieden van technische ondersteuning om de gevolgen van een inbreuk te beperken. Het is van belang dat de meldingen in vertrouwen gedaan kunnen worden om kwetsbaarheden te beperken dan wel in de toekomst te vermijden. Het voorstel bevat een aantal bepalingen ter bescherming van de vertrouwelijkheid enerzijds en het verwerken van persoonsgegevens door het NCSC anderzijds. 3.4
Meldplichtige partijen
Dit wetsvoorstel bevat een meldplicht voor vitale aanbieders, waarbij een ICT-inbreuk direct of indirect (cascade-effect) kan leiden tot maatschappelijke ontwrichting. De vitale aanbieders en hun concrete producten en diensten waarvoor de meldplicht gaat gelden, zullen worden aangewezen bij algemene maatregel van bestuur. De aanwijzing zal in ieder geval zien op partijen uit de sectoren: elektriciteit, gas, drinkwater, telecom, financiën, overheid (waaronder in ieder geval keren en beheren oppervlaktewater) en transport (mainports Rotterdam en Schiphol). Te denken valt daarbij aan vitale aanbieders zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen of banken. De aanbieders en hun concrete producten en diensten waarvoor de meldplicht gaat gelden, zullen worden aangewezen bij AMvB. 3.5
Te melden ICT-inbreuken
De aan te wijzen organisaties in de vitale sectoren zijn niet verplicht om élke ICT-inbreuk aan het NCSC te melden. De verplichting is er alleen als "de inbreuk tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid van het aangewezen product of de aangewezen dienst in belangrijke mate wordt of kan worden onderbroken". Twee problemen, althans: valkuilen schuilen in deze tekst. Het eerste betreft DDoSaanvallen (Distributed Denial of Service), deze hoeven niet gemeld te worden. De redenering is dat bij een DDoSaanval weliswaar de bereikbaarheid van een online-dienst wordt aangetast, maar geen aantasting plaatsvindt van de systemen van de online-dienst zelf. Bovendien is de wetgever van mening dat het bij deze aanvallen veelal zal gaan om een tijdelijke beperking van de bereikbaarheid, waardoor "de maatschappelijk ontwrichtende werking […] in het algemeen veel beperkter [is] dan in geval van daadwerkelijke ICT-inbreuken". Als tweede punt komt daarbij de term 'in belangrijke mate'. Het voornemen is dit in overleg met de betrokken sectoren en departementen nader uit te werken en "daarbij zal mede bepalend zijn onder welke omstandigheden sprake is of kan zijn van 'maatschappelijke ontwrichting" - wat ook weer zo'n term is …. Partijen hebben natuurlijk wel altijd de mogelijkheid om ernstige verstoringen van de bereikbaarheid vrijwillig aan het NCSC te melden.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 15 van 28
3.6
Verhouding tot sectorale meldplichten en het wetsvoorstel meldplicht datalekken
Voor enkele sectoren geldt voor ICT-inbreuken al een verplichting tot melding aan de sectorale toezichthouder. Een prominent voorbeeld is de Nieuwe Telecomwet voor de gelijknamige sector uit 2012. De nu voorgestelde meldplicht sluit aan bij en treedt niet in de thans geldende sectorale bevoegdheden. Daarmee laat de voorgestelde meldplicht ook de bestaande crisisbeheersingsstructuren ongemoeid. Bij een inbreuk op de veiligheid of een verlies van integriteit hoeven niet noodzakelijkerwijs ook persoonsgegevens in het geding te zijn. Daarbij valt te denken aan geautomatiseerde procescontrolesystemen ten behoeve van het aansturen van fysieke processen 13 . Niettemin kan het zich voordoen dat een ICT-inbreuk onder beide meldplichten valt. In dat geval moet de inbreuk derhalve zowel bij het NCSC als bij de AP worden gemeld.
13
Het kan ook omgekeerd: Persoonsgegevens worden (digitaal) gestolen, maar deze gegevens zijn versleuteld: in
principe vrijgesteld derhalve van melding als datalek, niettemin een inbreuk.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 16 van 28
4
Algemene Verordening Gegevensbescherming (AVG)
Dat de Verordening er komt is zeker geworden nu de Raad ermee heeft ingestemd, ook al moet nog een fors aantal amendementen worden weggewerkt en wordt nog een flinke slag om de arm gehouden op het punt van de positie van de overheid. Optimisten menen niettemin dat 1 januari 2016 een haalbare datum is. Dit betekent dat verantwoordelijke verwerkers, bewerkers, providers, toezichthouders, de nationale wetgever etc. tot 2 jaar (en 20 dagen) na publicatie, dus zegge: tot 2018, de gelegenheid hebben om de nodige maatregelen te treffen teneinde aan de eisen van de Verordening te voldoen. Gedurende de invoeringsperiode kunnen burgers al wel een beroep doen op de bepalingen van deze nieuwe wetgeving, maar de uitoefening van handhaving kan pas nà deze periode starten. Wordt invoering per 1-1-2016 niet gehaald, dan gaat het doorgaans in stappen van een half jaar: medio 2017 zou dan dus het eerstvolgende kandidaat-tijdstip voor invoering worden, waarna uiteraard ook de implementatiedatum een half jaar opschuift. Vanwege de nog onvoltooide status kunnen we hier niet al te veel op de AVG-details ingaan. Zaken die al wel duidelijk of waarschijnlijk zijn hebben we in Bijlage 1 op een rijtje gezet. Voor nu willen we graag benadrukken dat 'onze' Meldplicht datalekken voor een flink deel vooruitloopt op de AVG en dat het dus alleszins de moeite waard is om daarmee vast aan de slag te gaan. Dat zal geen verloren moeite zijn en zeker zijn vruchten afwerpen in de implementatieperiode van de AVG. Want de verordening is, vergeleken met de Meldplicht, strenger: bestuurlijke verantwoordelijkheid, een concreet compliancyvoorschrift en hogere boetes. Met de Meldplicht datalekken kun je de organisatie al heel behoorlijk daarop voorbereiden. Voor wie een handzaam overzicht zoekt van de historie van de AVG in voorstellen van 2012 tot nu toe, factsheets, links en meer: http://ec.europa.eu/justice/data-protection/reform/index_en.htm.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 17 van 28
5
Wat kunt je alvast regelen?
Het is gemakkelijk opgeschreven: hou incidenten bij, evalueer ze en handel zonodig. Dit lijkt businessas-usual voor organisaties die al jarenlang informatiebeveiliging moeten praktiseren volgens internationale standaarden. Toch vermoeden we dat veel van deze organisaties niet in staat zullen zijn van de ene dag op de andere aan de Meldplicht datalekken te voldoen. 5.1
Implementeer en maak aantoonbaar
De organisatie moet (aantoonbaar) maatregelen implementeren die: de frequentie van beveiligingsincidenten laag houden; de ontdekkingskans groot maken; efficiënte afwikkeling van incidenten; leren en verbeteren. De feitelijke implementatie hiervan zal per organisatie verschillen als gevolg van organisatiecomplexiteit en keuzes naar aanleiding van risico-inschattingen. Het raamwerk hieronder biedt richting en focus bij het bedenken wat er zoals moet gebeuren. Per kwadrant kunt je invullen wat ervoor nodig is en in hoeverre de organisatie dat gereed en bij de hand heeft.
Fig.3
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 18 van 28
5.2
Risico’s minimaliseren
Veruit de grootste en nuttigste inspanning tegen datalekken zijn maatregelen die risico’s minimaliseren. Minimaliseren is eigenlijk een zaak van de gehele organisatie, ook bij detectie zijn heel wat onderdelen betrokken. Minimaliseren Het meeste werk zit in de alledaagse gang van zaken. Daarin moeten de voorwaarden verweven zitten die preventief werken en de kans op datalekken minimaliseren. Onderscheid naar verschillende oorzaken van datalekken geeft een idee van waar en hoe preventie moet worden ingeregeld. Voor de gelegenheid, en zonder dat we er een uitgebreide studie naar hebben gedaan, onderscheiden we als het om preventie gaat de volgende drie soorten datalekken. 1. "materiele" datalekken: verloren datadragers als usb sticks en laptops, maar ook weggegooide ordners, mobiele telefoons - al dan niet 'van de zaak', kortom: gegevensdragers die verloren raken of gestolen worden. Eigenlijk de gemakkelijkste categorie: het betreft ‘dingen’ die zoek zijn. In principe snel te ontdekken en goed te duiden. Behalve gerichte acties en maatregelen is de hoofdzaak ‘zorgvuldig handelen’. Of medewerkers de het overkomt (kwijtraken) dit ook gemakkelijk zullen melden is een andere verhaal en zal de nodige aandacht moeten hebben. 2. "mondelinge datalekken", bijvoorbeeld loslippigheid bij vergissing, niet in de gaten hebben dat wordt meegekeken of meegeluisterd (in de trein, in openbare ruimtes), en bewuste mondelinge overdracht van vertrouwelijke informatie aan derden die er geen recht op hebben. Behalve bevorderen dat medewerkers zorgvuldig en bewust met hun werk omgaan is er weinig aan - of tegen te doen. Een gemeenschappelijk normbesef en sociale controle op de werkvloer bieden wellicht nog de beste resultaten 3. "datalekken in cyberspace": wie een betere term weet mag het zeggen. We bedoelen de nietmateriële datalekken, in contrast tot de 'materiële'. Ingeprogrammeerde achterdeurtjes in database, slordig programmeerwerk, slecht geteste releases, slordig beheer (patchmanagement!), onvoldoende beveiligingsmaatregelen, verkeerde instellingen, lek door toedoen van hacking, … Het vermelden van grote aantallen emailadressen per ongeluk in de Aan in plaats van de BCC is qua indeling een twijfelgeval, maar dat is minder van belang. Het is ondoordacht handelen door ITgebruikers. Er zijn IT-oplossingen voor om deze vorm van onzorgvuldigheid tegen te gaan. Minimalisatie en de kans op detectie liggen voor de eerste twee categorieën dicht bij elkaar. Investeren in minimaliseren loont daarom des te meer. Voor herstel en vervolgacties onder 3 is een meer toegespitste en vooraf goed geplande en regelmatig geoefende handelwijze nodig van een vooraf geformeerd gelegenheidsteam dat meteen beschikbaar en operationeel is wanneer nodig, vergelijkbaar aan de escalatieprocedures en organisatie in geval van calamiteiten. Het merendeel van de lekken komt aan het licht nadat ze zijn gebeurd, of als ze allang bezig zijn te gebeuren. Slimme hackers hebben geduld en doen er alles aan om de ontdekking zo lang mogelijk voor te zijn. Zij creëren daarmee een langdurige datalek, of in ieder geval de mogelijkheid daarvoor. Een hack hoeft echter niet altijd de oorzaak te zijn. Onzorgvuldig beheer of slordig geprogrammeerde applicaties kunnen structurele datalekken veroorzaken, Dergelijke hacks en lekken kunnen al dan niet vroegtijdig worden ontdekt door pentesten, ethical hacking, code review. Secure software development is de aangewezen weg om het risico op softwarefouten te minimaliseren. Maar de eerste maatregel voor alledag is: zorg dat er iets om naar te kijken valt: hou logfiles bij en doe er iets mee.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 19 van 28
5.3
Organiseer accountability
De kernbegrippen in de melding-datalek-problematiek zijn: Incidentbewustzijn op orde; Breed gedeeld besef van het belang van incidentmeldingen; Beveiliging op orde (human & tech); Administratie- en controleroutines op orde; Maatregelen voor detectie en herstel; Slagvaardigheid/tijdigheid; Inschattingen van schade; Gemotiveerde notificatie aan de AP; Notificatie & advies aan betrokkene(n); Rapportage; Feedbackverwerking. Op deze punten zal de organisatie voldoende in control, actief, voldoende robuust en voorbereid moeten zijn en slagvaardigheid van handelen moeten hebben. Niet alleen nadat een incident heeft plaatsgehad, maar ook al ver daaraan voorafgaand. Dat moet niet alleen uit het oogpunt van goede dienstverlening en uit respect voor de klant wiens gegevens in vertrouwen zijn afgegeven, het is ook zeer aan te raden uit het oogpunt van accountability en mogelijke ingebrekestelling. Met de komst van de AVG komt ook hoofdelijke aansprakelijkheid in beeld. @@nakijken! En het op orde brengen van uw informatiepositie kan een hele klus zijn; de administratie alleen al: Is er adequate, actuele informatie paraat over elke(!) gegevensverwerking? Zijn de verantwoordelijkheden correct, expliciet en sluitend belegd in alle(!) bewerkingsovereenkomsten? Levert de organisatie gegevens aan of in een keten? Weet je ook dan wie de (alle!) vervolgbewerkers zijn? Je blijft immers de verantwoordelijke voor de bewerking van de gegevens die je aanlevert, ook als die weer worden doorgeleverd. Het is van groot belang dat je deze informatie paraat hebt als de AP er0m vraagt en dat je op deze punten geen risico loopt op misverstanden met bewerkers. Een op zichzelf niet zeer schadelijk datalek kán de AP ertoe brengen een onderzoek in te stellen naar de algehele status van informatiebeveiliging en privacybescherming in de de organisatie. Bedenk: de toezichthouder hoeft slechts de vragen te stellen, de organisatie heeft de exhibitieplicht en moet de gevraagde bewijsstukken zonder meer overleggen.14 5.4
Beperk vermijdbare schadeclaims
Het doen van een kennisgeving van een datalek aan de betrokkene ontheft de verantwoordelijke niet van eventuele burgerrechtelijke aansprakelijkheid voor schade die voortvloeit uit het toerekenbaar niet of niet voldoende naleven van de verplichting neergelegd in artikel 13 van de Wbp. "De kennisgeving aan de betrokkene is een uiting van de algemene verplichting tot schadebeperking die deel uitmaakt van het aansprakelijkheidsrecht, met inbegrip van het bijzondere aansprakelijkheidsrecht van de Wbp (art. 49). Verantwoordelijken doen er daarom goed aan dit bij de afweging om wel of geen kennisgeving aan betrokkenen te doen mee te nemen". Hier wordt gerefereerd aan het risico van schadeclaims wanneer onterecht geen kennisgevingen worden gedaan aan de betrokkenen met adviezen over hoe zij hun schade zouden kunnen beperken. De schades en daarmee de eventuele claims kunnen dan hoger uitvallen dan wanneer de verantwoordelijke tijdig de betrokkene had geadviseerd.15
BW 3 artikel 15i; artikel 22 Rv (Wetboek van Rechtsvordering) De keerzijde is er ook: als de betrokkene de aanbevelingen van de verantwoordelijke niet in acht neemt, zou hem bij het stellen van schade tegengeworpen kunnen worden dat hij zelf onvoldoende heeft gedaan om de schade te beperken, waardoor hij een deel van de schade mogelijk niet zal kunnen verhalen op de verantwoordelijke. 14 15
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 20 van 28
5.5
Maak bewerkingsovereenkomsten hard
Een stevige aanrader is om de bewerkingsovereenkomsten (alle overeenkomsten) nog maar eens goed tegen het licht te houden in relatie tot aansprakelijkheid voor schade als gevolg van een datalek bij bewerkers of ketenorganisaties die mogelijk daardoor stil komen te vallen en/of ook op hun beurt niet door kunnen leveren. Dit betreft al snel heel wat meer organisaties dan je op het eerste gezicht zou vermoeden. Hoe het ook zij: dit is werk voor gespecialiseerde juristen, maar de verantwoordelijke moet ook hier zijn risico's kennen. Los van de juridische component is het een goed idee om met toeleverende en afnemende partijen tot een goede verstandhouding te komen over het wat en hoe in geval van datalekken die de keten raken. Dit past vooral in het gedachtegoed van de AVG: het gaat in essentie om gedragsverandering bij de organisaties die werken met gegevens van burgers. 5.6
Zorg voor een heldere interne procedure: een datalekprotocol
De aandacht in deze problematiek richt zich veelal gemakkelijk op de soms lastige beoordeling of een inbreuk of datalek gemeld moet worden. Maar daar gaat nog een heel organisatievraagstuk aan vooraf. Zorg ervoor dat je niet hoeft te improviseren wanneer het feit daar is. Een datalekprotocol zorgt ervoor dat de juiste mensen op het juiste moment worden geïnformeerd en handelen waar nodig. Wie moeten we intern op de hoogte brengen van de inbreuk? Wie bepaalt of we het datalek moeten melden? Met welke juridische aspecten moeten we rekening houden? Indien een organisatie beschikt over een functionaris voor de gegevensbescherming kan het bijvoorbeeld voor de hand liggen om deze functionaris als beslisser aan te wijzen. Win bij twijfel deskundig advies in over de afhandeling van de melding.16 Er moet voor ICT-incidenten mogelijk ook gespecialiseerde technische en procedurele kennis in uw organisatie komen, intern dan wel ingehuurd, over wat te doen en vooral wat te laten als forensisch onderzoek aan IT-componenten wenselijk of nodig is. Het kan uiterst belangrijk zijn om apparaten aan te laten staan totdat de speurneuzen zijn gearriveerd. Er moet dus een procedure in de organisatie zijn die dat borgt als het geval zich voordoet. Dergelijke kennis is bij diverse gespecialiseerde bedrijven te verkrijgen, maar een goede instap biedt ongetwijfeld het NCSC. 5.7
Gebruik bestaande escalatiemodellen
Implementatie hoeft niet zo'n tour de force te zijn indien wordt aangesloten bij reeds bestaande business continuïteits- en calamiteitbeheersingsprotocollen. Voorwaarde is dan wel dat deze protocollen 'levend' en goed geoefend zijn. Snel en adequaat onder controle brengen en afwikkelen zal sterk verbeteren indien: de focus van reactief naar proactief wordt verlegd, en: er veel meer aandacht komt voor internalisatie bij alle medewerkers i.p.v. het treffen van uitsluitend bouwkundige of IT-gerelateerde informatiebeveiligingsmaatregelen. 5.8
Uitvoering en realiteit
Er zijn nog wel wat vragen te stellen bij de uitvoerbaarheid van de wet. Die is nog niet op alle punten evident. Wat is er kwijt: dat is lang niet altijd met zekerheid vast te stellen. Hoe groot is de kans op misbruik als gevolg van het dataverlies? En hoe schatten we de kans in op "ernstige nadelige gevolgen voor de persoonlijke levenssfeer van betrokkenen"? Zijn de gestelde tijdvensters voor handelend optreden reëel? (bijvoorbeeld: Sony moest miljoenen gamers over de hele wereld op de hoogte stellen. Een bedrijf dat in korte tijd zonder maatregelen
16
Voor deze passage is gebruik gemaakt van "Stap 1" in Anton Ekker - In 4 stappen voldoen aan de meldplicht datalekken.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 21 van 28
5.9
dergelijke aantallen mails de deur uit doet wordt heel snel als wereldwijde spammer aangezien en op allerlei zwarte lijsten geplaatst). Het wetsvoorstel eist dat "onverwijld" gemeld wordt aan de AP en de betrokkene (Wbp art. 34a). Of gelijktijdig aan de AP en de betrokkene moet worden gemeld of na elkaar, is volgens de AP afhankelijk van de omstandigheden van het geval. Hoe gaat handhaving eruit zien en op welke criteria komt de nadruk te liggen? Niet afwachten!
De wetgeving met betrekking tot het melden van datalekken komt eraan. Wachten tot het zover is betekent een grote kans op achterstand en daardoor, in geval van pech, verwijtbare nalatigheid en dus mogelijk een forse boete. Nu investeren in de Meldplicht datalekken betaalt zich straks bovendien uit wanneer de AVG in werking treedt. Een groot deel van de bepalingen van de Meldplicht komt daarin terug.
Colofon Dit CIP-document is een product van de Domeingroep Privacy. Realisatie en (eind)redactie: Aramis Jean Pierre, Gineke Kuipers en Ruud de Bruijn. Uitgave geschiedt onder auspiciën van de Domeingroep Privacy en onder verlening van de Creative Commons licentie zoals op het titelblad staat vermeld. Amsterdam/Groningen, oktober 2015
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 22 van 28
Bijlage 1: De AVG, parallellen en de shift naar Europa Vooruitlopend op de definitieve besluitvorming valt al wel een aantal dingen met enige zekerheid te zeggen over de aanstaande AVG: Het AVG-voorstel zoals het er nu uitziet: Is veelomvattender dan de Nederlandse Meldplicht datalekken. Een veelbesproken onderdeel is bijvoorbeeld het 'recht om vergeten te worden'; Kent op punten zwaardere vereisten en hogere boetes dan de Nederlandse wet; Richt zich ook op de bewerker van persoonsgegevens (i.t.t. alleen de verantwoordelijke); Kent, in vergelijking tot de huidige criteria in de Wbp (art. 62 en verder) andere criteria voor de aanstelling van de functionaris voor de gegevensbescherming; De verplichte aanstelling van een dergelijke functionaris vanaf een bepaalde bedrijfsgrootte lijkt onder druk te staan. Introduceert de bestuurlijke verantwoordelijkheid (en de mogelijkheid tot hoofdelijke aansprakelijkheidstelling) voor compliancy. Andere punten in de nog hangende AVG-voorstellen zijn: Er moet een transparant en eenvoudig toegankelijk privacybeleid worden opgesteld, waarin ook de rechten van de betrokkene zijn opgenomen; De betrokkene krijgt een recht tot rectificatie of uitwissing van zijn gegevens; dit laatste zal niet gelden voor registraties bij overheden (zoals bijvoorbeeld de Belastingdienst); Portabiliteit: gegevens moeten door betrokkene 'meegenomen' kunnen worden en bij andere providers zonder omhaal kunnen worden ondergebracht. Gevoelige verwerkingsactiviteiten moeten eerst aan een privacy effect beoordeling (PIA) worden onderworpen. Nieuwe gegevensverwerkingssystemen worden onderworpen aan technische en organisatorische maatregelen die privacyverhogend zijn (PET/Privacy by design); De voor verwerking verantwoordelijke moet kunnen aantonen dat hij toestemming heeft van de betrokkene voor de verwerking van zijn gegevens (indien nodig); De boete die kan worden opgelegd bedraagt maximaal €100.000.000,- of 5% van de jaarlijkse omzet. De boete van max 100 miljoen is een voorstel van het Parlement, het voorstel van de Commissie is veel lager: 1 miljoen of 2%. En bij de Raad staat dit punt nog helemaal open. Parallellen De Meldplicht datalekken en de AVG gaan over bescherming van burgers. Aan de burger worden meer expliciete mogelijkheden ter beschikking gesteld ter verbetering van zijn positie ten opzichte van organisaties die beschikken over gegevens over hem. Deze organisaties moeten doordrongen worden van het recht op privacy en het recht op controle daarop door de betrokkenen. Dit geldt voor alle verantwoordelijken en hun bewerkers, maar het zijn in het bijzonder de grote wereldspelers geweest met datavergaring en -verkoop als verdienmodel die aanleiding hebben gegeven tot de astronomische boetebedragen, de 'accountability' en hoofdelijke aansprakelijkheid die AVG voorstelt @@nakijken!. Grote monopolisten, overheidsorganisaties overigens daarbij inbegrepen, plegen zich eigener beweging niet altijd veel aan te trekken van privacyrechten. De AVG gaat daarom in concreto over verandering van gedrag, en daarvoor overtuigen redelijke argumenten alléén kennelijk onvoldoende. Het verhaal gaat dat een van de eerste hoge boetes die Eurocommissaris Neelie Kroes uitdeelde vlotjes en bij wijze 'uit de achterzak' werd betaald, zonder merkbare verandering van gedrag. Pas toen de boetes bij elkaar optelden tot over de 2 miljard(!) euro, begon men zich ertegen te verzetten.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 23 van 28
Op meer plaatsen is of wordt gewerkt aan de (wettelijke) bescherming van de privacy van burgers, waarbij ideeën worden uitgewerkt die overeenkomen met die welke onder de AVG liggen. Het Nederlandse Wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens de zorg bijvoorbeeld, ingediend in december 2012 reeds, maar nu aangehouden door de Eerste Kamer, bevat o.a. ook aanpassingen van de WBP en behandelt 'het recht op informatie', toestemming tot elektronische inzage en het recht om de toestemming in te trekken, en de relatie tussen patiënt en behandelaar waarbij de behandelaar gegevenstechnisch als een bewerker van gegevens wordt gezien Zie onder andere de "Samenvatting wetsvoorstel cliëntenrechten bij elektronische gegevensverwerking". http://www.nictiz.nl/page/Expertise/Wetgeving In dit rijtje past ook de al eerder genoemde en in 2012 aangenomen Gewijzigde Telecommunicatiewet, met eveneens verbetering van de positie van telecomconsumenten, doordat aanbieders betere informatie moeten verschaffen over af te sluiten abonnementen, en met een meldplicht bij inbreuken op de beveiliging waarbij persoonsgegevens zijn gelekt. Zie hiervoor onder andere: https://www.rijksoverheid.nl/actueel/nieuws/2012/06/04/gewijzigde-telecommunicatiewet-in-werkingop-5-juni. Verwant op Europees niveau is ook de ontwerprichtlijn over netwerk- en informatiebeveiliging (NIB). Het doel van het NIB-voorstel is een veilige en betrouwbare digitale omgeving in de gehele EU tot stand te brengen. Burgers en consumenten zullen meer vertrouwen krijgen in de technologieën, diensten en systemen die zij dagelijks gebruiken. Ook hier is sprake van een meldplicht, en de gelijkenis met het nationale wetsvoorstel Gegevensverwerking en meldplicht cybersecurity (ook: Meldplicht ICTinbreuken) zal wel niet toevallig zijn. Zie hiervoor: http://www.europanu.nl/id/vjv757lq1wx4/nieuws/netwerk_en_informatiebeveiliging?ctx=vj6ykc608htw&tab=0. In verband met de verschuiving naar Europese wetgeving is het nuttig om de ENISA, het European Network and Information Security Agency in de gaten te houden. Ook de AVG verwijst ernaar Nominaal gaan al deze wetten en maatregelen over bescherming en verbetering van de positie van burgers/klanten/betrokkenen. Materieel moeten zij vooral gedragsverandering bij gegevensverwerkende organisaties bewerkstelligen: openheid en eerlijkheid. En uiteraard is verbeterd vertrouwen van consumenten op termijn weer profijtelijk voor de overheid en de commercie.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 24 van 28
Bijlage 2: Boetes bij de Meldplicht datalekken Het is een uitdaging om erachter te komen welke boetes de AP in welke gevallen kan opleggen. De bevoegdheid wordt geregeld in de artikelen 65 en 66 van de Wbp, maar dan weet je nog niets. Omdat de betreffende wetteksten meer zaken bevatten dan alleen de boetebepalingen, geven wij eerst de teksten integraal weer. Daarna leggen we de koppeling tussen bedragen en de inhoud van de overtreding. Het is nogal 'juristisch' allemaal. Voor wie daar geen zin in heeft: onthou vooral dat constatering van (grove) nalatigheid bij het op orde hebben van de informatieveiligheid en/of het onterecht nalaten van meldingen of het onvoldoende adequaat verzorgen van alle meldingsvereisten kunnen leiden tot boetes in de categorieën 4 (€20K) en 6 (€810K), per overtreding, eventueel gestapeld, stand heden en exclusief schadeclaims. art 65 Wbp Het College is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de bij of krachtens deze wet gestelde verplichtingen. art 66 Wbp 1. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a. 2. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht. 3. Het College legt geen bestuurlijke boete op wegens overtreding van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. 4. Het derde lid is niet van toepassing indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. 5. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht in geval van nietnakoming van een bindende aanwijzing. Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing. Op naar artikel 23 van het Wetboek van Strafrecht dus. De tekst is opgehaald met onderstaande link: http://wetten.overheid.nl/BWBR0001854/EersteBoek/TitelII/Artikel23/. De bedragen kunnen worden aangepast. Voor onderstaande tekst was de geldigheidsdatum 8-10-2015. Artikel 23 1. Hij die tot een geldboete is veroordeeld is verplicht tot betaling van het vastgestelde bedrag aan de staat binnen de termijn door het openbaar ministerie dat met de tenuitvoerlegging van de strafbeschikking of het vonnis of arrest is belast, te stellen. 2. Het bedrag van de geldboete is ten minste € 3. 3. De geldboete die voor een strafbaar feit ten hoogste kan worden opgelegd, is gelijk aan het bedrag van de categorie die voor dat feit is bepaald.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 25 van 28
4. Er zijn zes categorieën: de eerste categorie, € 335 [Red: Per 1 januari 2014: € 405.] ; de tweede categorie, € 3 350 [Red: Per 1 januari 2014: € 4.050.] ; de derde categorie, € 6 700 [Red: Per 1 januari 2014: € 8.100.] ; de vierde categorie, € 16 750 [Red: Per 1 januari 2014: € 20.250.] ; de vijfde categorie, € 67 000 [Red: Per 1 januari 2014: € 81.000.] ; de zesde categorie, € 670 000 [Red: Per 1 januari 2014: € 810.000.] . 5. Voor een overtreding, onderscheidenlijk een misdrijf, waarop geen geldboete is gesteld, kan een geldboete worden opgelegd tot ten hoogste het bedrag van de eerste, onderscheidenlijk de derde categorie. 6. Voor een overtreding, onderscheidenlijk een misdrijf, waarop een geldboete is gesteld, maar waarvoor geen boetecategorie is bepaald, kan een geldboete worden opgelegd tot ten hoogste het bedrag van de eerste, onderscheidenlijk de derde categorie, indien dit bedrag hoger is dan het bedrag van de op het betrokken strafbare feit gestelde geldboete. 7. Bij veroordeling van een rechtspersoon kan, indien de voor het feit bepaalde boetecategorie geen passende bestraffing toelaat, een geldboete worden opgelegd tot ten hoogste het bedrag van de naast hogere categorie. Indien voor het feit een geldboete van de zesde categorie kan worden opgelegd en die boetecategorie geen passende bestraffing toelaat, kan een geldboete worden opgelegd tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbeschikking. 8. Het voorgaande lid is van overeenkomstige toepassing bij veroordeling van een vennootschap zonder rechtspersoonlijkheid, maatschap, rederij of doelvermogen. 9. De in het vierde lid genoemde bedragen worden elke twee jaar, met ingang van 1 januari van een jaar, bij algemene maatregel van bestuur aangepast aan de ontwikkeling van de consumentenprijsindex sinds de vorige aanpassing van deze bedragen. Bij deze aanpassing wordt het geldbedrag van de eerste categorie op een veelvoud van € 5 naar beneden afgerond en worden, uitgaande van het geldbedrag van deze eerste categorie en onder instandhouding van de onderlinge verhouding tussen de bedragen van de geldboetecategorieën, de bedragen van de tweede tot en met de zesde geldboetecategorie bepaald. Eigenlijk weet je nu nog steeds niet goed waar je aan toe bent. Vandaar onderstaande invulling: De AP kan de volgende een boete van ten hoogste € 20.250,- opleggen bij de volgende overtredingen: Als een verantwoordelijke die geen vestiging heeft in de EU, Nederlandse persoonsgegevens verwerkt zonder dat hij in Nederland een persoon of instantie aanwijst die namens hem handelt overeenkomstig de eisen van de Wbp; Als de doorgifte van persoonsgegevens naar landen geschiedt waarvan de Minister van V&J dit verboden had op basis van een besluit van de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie. Bij onderstaande overtredingen kan de AP een boete opleggen van ten hoogste van € 810.000,-. Behalve bij een opzettelijke overtreding of een overtreding als gevolge van ernstig verwijtbare nalatigheid, legt de AP de boete niet gelijk op: bij het constateren van een overtreding geeft de AP dan eerst een bindende aanwijzing met een termijn waarin de organisatie zijn overtreding moet herstellen. Is de overtreding niet hersteld, volgt alsnog de boete van maximaal € 810.000,-, eventueel aangevuld met een boete van maximaal € 20.250,- voor het niet nakomen van de bindende aanwijzing.
Persoonsgegevens worden niet conform de wet en niet op een behoorlijke en zorgvuldige wijze verwerkt; De persoonsgegevens worden verzameld voor ongerechtvaardigde doelen die ook niet welbepaald en uitdrukkelijk omschreven zijn; De verwerking van persoonsgegevens is niet gebaseerd op één van de in de Wbp limitatief genoemde gronden; Er worden bijzondere persoonsgegevens (waaronder identificatienummers) verwerkt zonder dat deze is gebaseerd op één van de limitatief genoemde gronden in de Wbp;
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 26 van 28
Persoonsgegevens worden verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn gekregen zonder dat daar een rechtvaardigingsgrond voor is; Persoonsgegevens worden verder verwerkt terwijl daar een geheimhoudingsplicht uit hoofde van een ambt, beroep of wettelijk voorschrift aan in de weg staat; Persoonsgegevens worden langer bewaard in een vorm die het mogelijk maakt om de betrokkene te identificeren dan noodzakelijk is om het doel te bereiken waarvoor de persoonsgegevens worden verzameld en verwerkt; De persoonsgegevens die worden verwerkt zijn gelet op het bereiken van de doelen bovenmatig en/of, niet toereikend en/of niet ter zaken dienend; De verantwoordelijke heeft niet de nodige maatregelen genomen om te bewerkstelligen dat de persoonsgegevens, gelet op de doelen waar zij worden verzameld en verwerkt, juist en nauwkeurig zijn; Degene die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor een ander dan de verantwoordelijke persoonsgegevens verwerkt terwijl hij daar geen wettelijke grondslag voor heeft; Degene die handelt onder het gezag van de verantwoordelijke of van de bewerker, inclusief de bewerker zelf, schendt zijn geheimhoudingsplicht terwijl hij daar geen noodzakelijke of wettelijke grondslag voor heeft; De verantwoordelijke heeft geen of onvoldoende passende technische en organisatorische maatregelen ten uitvoer gelegd om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige of onnodige verzameling en verwerking; De verantwoordelijke heeft bij de verkrijging van de persoonsgegevens (via de betrokkene zelf of via een ander dan de betrokkene) niet tijdig zijn identiteit, doelen en eventueel nadere informatie aan de betrokkene verstrekt; De verantwoordelijke voldoet niet aan zijn verplichtingen in het geval van een datalek: De verantwoordelijke stelt de AP niet onverwijld of helemaal niet in kennis van een datalek terwijl er geen uitzondering voor het niet-melden is; De verantwoordelijke stelt de betrokkene niet onverwijld of helemaal niet in kennis van een datalek terwijl er geen uitzondering voor het niet-melden is; De kennisgeving aan de AP bevat geen of onvoldoende informatie over: de aard van de inbreuk c.q. het datalek; de instanties waar meer informatie over de inbreuk kan worden verkregen; de aanbevolen maatregelen om de negatieve gevolgen van het datalek te beperken, en: de beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen om deze gevolgen te verhelpen. De kennisgeving aan de betrokkene geschiedt niet op een behoorlijke en zorgvuldige wijze en bevat geen of onvoldoende informatie over: de aard van de inbreuk; de instanties waar meer informatie over de inbreuk kan worden verkregen; de feitelijke gevolgen voor de betrokkene en voor de kring van de betrokkene; de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken en de kosten van de tenuitvoerlegging. De verantwoordelijke houdt geen (goed) overzicht bij van iedere datalek en/of in het overzicht ontbreken de feiten en gegevens omtrent de aard van de inbreuk en de tekst van de kennisgeving aan de betrokkene. De toegang voor de betrokkene is niet (goed) ingeregeld; De verantwoordelijke verstrekt niet of niet op tijd (binnen vier weken) informatie aan de betrokkene over de hem betreffende gegevensverwerking als de betrokkene daarom verzoekt en/of de informatie is niet volledig (bijv. de informatie bevat niet een volledig overzicht van de gegevensverwerking in begrijpelijke vorm, een omschrijving van het doel of doelen, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens).
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 27 van 28
De verantwoordelijke stelt een derde die mogelijk bedenkingen kan hebben tegen de informatieverstrekking aan de betrokkene, niet of niet tijdig in de gelegenheid een zienswijze naar voren te brengen als de informatieverstrekking gegevens bevat die hem betreffen. De verantwoordelijke verstrekt geen of onvoldoende informatie over de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevensverwerking, terwijl daar wel om verzocht is. De verantwoordelijke verlangt een te hoge vergoeding (meer dan € 5,-, tenzij bij uitzondering anders is bepaald bij Algemene Maatregel van Bestuur) van de betrokkene voor de toegang tot de gegevensverwerking en weigert deze terug te geven als blijkt dat deze persoonsgegevens verwijderd, aangevuld, verbeterd of afgeschermd moeten worden. De verantwoordelijke voldoet niet (goed) aan zijn verplichting tot correctie van persoonsgegevens in geval van onjuistheid: De verantwoordelijke bericht de verzoeker niet of niet op tijd (binnen 4 weken) na ontvangst van het correctieverzoek schriftelijk of en in hoeverre hij aan het correctieverzoek voldoet en als hij het correctieverzoek weigert, omkleed hij dit niet (goed) met redenen. De verantwoordelijk zorgt er niet voor dat een beslissing tot correctie (verbetering, aanvulling, verwijdering of afscherming) zo spoedig mogelijk wordt uitgevoerd. Als de persoonsgegevens zijn vastgelegd op een gegevensdrager waarin geen wijzigingen kunnen worden aangebracht (zoals een CD-rom), treft de verantwoordelijke geen voorzieningen die nodig zijn om de gebruiker van de gegevens te informeren over de onmogelijkheid van verbetering, aanvulling, verwijdering of afscherming ondanks het feit dat een grond is voor de correctie van de persoonsgegevens. De verantwoordelijke die op grond van het correctieverzoek de persoonsgegevens heeft verbeterd, aangevuld, verwijderd of afgeschermd heeft niet (of niet zo spoedig mogelijk) de derden aan wie de gegevens voorafgaand aan de wijziging verstrekt, hiervan op de hoogte gesteld. De verantwoordelijke verstrekt aan de verzoeker van de wijziging niet desgevraagd een opgave van de derden aan wie hij een mededeling heeft gedaan van de correctie. De verantwoordelijke heeft geen mogelijkheid tot verzet ingeregeld als de persoonsgegevens worden verzameld en verwerkt in verband met een gerechtvaardigd belang van de verantwoordelijke of een derde, of beoordeelt het verzet niet of te laat (niet binnen vier weken) en/of eindigt de verwerking niet of niet direct als het verzet gerechtvaardigd blijkt te zijn en/of vraagt een te hoge vergoeding voor de mogelijkheid tot verzet en weigert deze vergoeding terug te geven als het verzet gegrond blijkt te zijn. Als de betrokkene verzet aantekent tegen direct marketing, treft de verantwoordelijk geen maatregelen om dit direct te beëindigen en/of de verantwoordelijke deelt de genomen maatregelen om de direct marketing te beëindigen niet tijdig mede (binnen 4 weken tenzij er een onderbouwd belang is wat een langere termijn rechtvaardigt, welke langere termijn ook aan de betrokkene gemeld dient te worden). De verantwoordelijke die persoonsgegevens verwerkt voor direct marketing, geeft bij elke direct gezonden boodschap aan de betrokkene niet of niet elke keer aan dat de betrokkene hiertegen verzet kan aantekenen. De verantwoordelijke geeft de persoonsgegevens door aan een land buitende EER, terwijl: daar geen passend beschermingsniveau heerst; dit verboden is door de Minister van V&J; er geen rechtmatige andere grond voor de doorgifte is; er geen vergunning van de Minister van V&J voor de doorgifte is. De verantwoordelijke geeft aan de AP binnen de gestelde redelijke termijn niet of niet geheel de medewerking die redelijkerwijs kan worden verwacht (tenzij er sprake is van een geheimhoudingsplicht waar het niet-meewerken uit voortvloeit). -
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken Oktober 2015 Versie 2.0 Pagina 28 van 28
Gebruikte of genoemde informatiebronnen @PM
© Centrum voor Informatiebeveiliging en Privacybescherming