NGFG NEDERLANDS GENOOTSCHAP FUNCTIONARISSEN GEGEVENSBESCHERMING
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken 20 oktober 2015
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consuftatieversie)
Richtsnoeren meldplicht datalekken Hoofdpunten commentaar NGFG
A. Aard van het document en structuur
1. 2.
Hanteerbaarheid en doelgroep Volledig willen zijn of focussen?
B. Inhoudelijk
Zijn de verwerkte gegevens blootgesteld aan verlies of onrechtmatige
4. 5. 6. 7. 8.
Paragraaf 3.1 verwerking? Paragraaf 4.2 Hoofdstuk 6 Paragraaf 7.2.3 Hoofdstuk 10 Hoofdstuk 11
C.
Suggesties voor aanvulling
9. 10. 11. 12.
Wie moet melden? De melding aan de betrokkene op last van het CBP Verhouding met de Europese meldplicht Bredere informatie over datalekken
3.
Aanzienlijke kans (scope van de meldplicht) Wanneer melden? Technische beschermingsmaatregelen (Niet) openbaar maken van het meldingenoverzicht Wat doet het CBP met mijn melding?
D. Overige opmerkingen
13. 14. 15. 16. 17.
Hoofdstuk 1 Is de meldplicht van toepassing? Hoofdstuk 2 Bewerker Voorbeelden uit de papieren praktijk Betere aansluiting tussen Richtsnoeren datalekken en Richtsnoeren beveiliging Hoofdstuk 11 Wat doet het CBP met mijn melding?
2
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consultatieversie)
Per onderwerp Aard en structuur van het document A. De Richtsnoeren vormen een indrukwekkend document. Het CBP staat voor de uitdaging om complexe juridische materie hanteerbaar te maken voor in de praktijk, waarbij het gelet op de aard van de materie (incidenten) aankomt op zowel snelheid als juridische degelijkheid. Het NGFG heeft veel waardering voor dit uitgangspunt en voor het resultaat ervan. Om bij te dragen aan verdere verbetering heeft het NGFG de volgende opmerkingen en aanbevelingen. 1.
Hanteerbaarheid en doelgroep a. De Richtsnoeren zijn zoals aangegeven in de Inleiding bedoeld “bedrijven, overheden en andere organisaties te ondersteunen bij het maken van een beredeneerde afweging of een concreet datalek dat hen ter kennis komt onder het bereik van de wettelijke meldplicht valt.” (..) (blz. 4, Inleiding). Het doel van de richtsnoeren is daardoor helder geformuleerd. Niettemin lijken de Richtsnoeren echter dat doel niet geheel te kunnen waarmaken. Als er zich namelijk een beveiligingsincident voordoet, zullen de Richtsnoeren waarschijnlijk voor een lezer die daar acuut mee te maken heeft, en die de Richtsnoeren voor de eerste keer openslaat, toch minder goed hanteerbaar zijn. Het is volgens het NGFG namelijk noodzakelijk dat vôérdat zich datalekken voordoen, men al is thuis geraakt in de Richtsnoeren. Aangenomen wordt, dat het document niet bedoeld is voor leken. b. In Hoofdstuk 1, aanhef, is vermeld: “Het onderstaande schema geeft de vragen weer die u moet beantwoorden om vast te stellen wat de meldplicht datalekken in de Wbp voor u betekent”. Deze zin past goed bij een document voor een breed publiek. Met “u” zal de verantwoordelijke zijn bedoeld, en het uitgangspunt is dus dat de verantwoordelijke de lezer zal zijn. In de praktijk zal gelet op de aard van het document de verantwoordelijke zelf (een raad van bestuur of een minister) echter vaak juist niet de lezer zijn, maar de IT-er, jurist, FG of andere adviseur. Aanbevelingen: Stel de doelgroep van de Richtsnoeren vast, en geef daarover zoveel mogelijk duidelijkheid in de inleiding en Hoofdstuk 1. Bijvoorbeeld toevoegen: “het document is primair bedoeld voor de jurist of privacydeskundige die de incidenten en de juridische implicaties daarvan moeten beoordelen, en aanbevolen wordt de materie reeds te bestuderen voordat zich incidenten voordoen”. Een optie is om in de doelomschrijving de tekst: “of een concreet datalek dat hen ter kennis komt “te vervangen door: “of datalekken die hen ter kennis komen”. • Overweeg de communicatie over datalekken op te splitsen in twee documenten, in het kader van “communicatie op maat”. Bijvoorbeeld door naast het Richtsnoerendocument een separate webpagina te openen met korte en toegankelijke tekst die een lezer op het moment van een acuut incident in de goede richting wijst en handelingsperspectief geeft. Overweeg het inschakelen van een communicatleadviseur.
2.
Volledig willen zijn of focussen? a. Hoofdstuk 1 en 2 (aanhef) geven een korte beschrijving van onderdelen van de Wbp. Het valt daarbij op dat het min of meer om een introductie gaat, met andere woorden er valt veel meer te zeggen over de onderwerpen die worden behandeld. Onderwerpen zoals wie de verantwoordelijke is, en de bijbehorende criteria, worden even aangestipt maar niet volledig behandeld. Hierdoor is de kans op misinterpretatie in feite te groot. Er wordt, behalve in de aanhef van Hoofdstuk 1 aan het einde van de alinea, waar naar de website van het CBP wordt verwezen, niet nadrukkelijk in de tekst verwezen naar volledigere bronnen. 3
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consultatieversie)
b.
H2 Wat moet ik regelen als ik persoonsgegevens laat verwerken door de bewerker? (en deels ook Hi) past niet bij het doel van de Richtsnoeren. H2 geeft aan wat er geregeld moet worden in geval van een bewerker, terwijl het doel van de Richtsnoeren is: ondersteunen bij het maken van een beredeneerde afweging of een concreet datalek enz.. ...,
Aanbevelingen: • Verwijder de teksten (maar niet de schema’s) van Hoofdstuk 1. Beter is om aan te geven dat bekendheid met Wbp wordt verondersteld en dat informatie daarover elders te krijgen is. Begrippenlijst toevoegen, en met verwijzingen werken. In de inleiding vermelden dat er kennis vereist is. • H2 over wat er geregeld moet worden in geval van een bewerker naar achteren plaatsen, want gaat niet over hoe een concreet lek moet worden beoordeeld. Is echter wel zeer nuttige tekst, daarover geen misverstand. Maar qua doel en bijbehorende structuur van het document kan dit hoofdstuk ook in een bijlage worden opgenomen.
B. 3.
Inhoudelijk Paragraaf 3.1: Zijn de verwerkte gegevens blootgesteld aan verlies of onrechtmatige verwerking? Het begrip “datalek” en “blootgesteld zijn aan”. In de tweede en derde alinea op blz. 15 wordt vermeld dat er sprake is van een inbreuk als de persoonsgegevens “blootgesteld zijn aan verlies of onrechtmatige verwerking”. Over dit criterium het volgende. a. Het is niet bekend waarom dit het onderscheidende criterium is. Waar komt “blootgesteld zijn aan” vandaan? b. “Blootgesteld zijn aan” is juist bij datalekken een minder goed hanteerbaar criterium, omdat het in de voltooide tijd is geformuleerd. Dat betekent dat je het criterium alleen goed kan toepassen, als je kan terugkijken op de ontstane situatie. Alleen “achteraf” kun je bepalen of persoonsgegevens blootgesteld, terwijl je juist onverwijid moet melden, omdat mede door de melding ongunstige gevolgen zoals blootstelling aan onrechtmatige verwerking moeten worden voorkomen. c. Wat is precies de betekenis van “blootstelling”? Wat is de precies de betekenis van “toegang hebben” in dit verband? Is “toegang hebben tot” hetzelfde als: de mogelijkheid hebben om in te zien, of hetzelfde als: inzien? Terecht vermeldt de Richtsnoeren dat het datalek moet worden gemeld aan het CBP als redelijkerwijs niet kan worden uitgesloten dat een inbreuk heeft geleid tot onrechtmatige verwerking. Maar als er voor een inbreuk op de beveiliging inderdaad sprake moet zijn van “lekken” in de zin van: het doorlaten van een gegevensstroom, waarom kan dan ook een malware-besmetting of een brand in een datacentrum bijvoorbeeld een datalek zijn, zie de voorbeelden op blz. 16. Bedoelt het CBP met “blootgesteld aan” niet eigenlijk: het gebruik maken van de beveiligingsinbreuk, of: dat het ter beschikking komen van de persoonsgegevens is gerealiseerd? d. Vaak zal niet direct of nooit (met zekerheid) bekend worden of er een blootstelling heeft plaatsgevonden, maar zal er wel een bepaalde kans daarop aanwezig zijn (geweest). Waar ligt de grens bij kans op blootstelling? Moet de kans altijd 100% zijn? Is elke lagere kans op blootstelling geen datalek? e. Op blz. 17, onderaan, wordt een voorbeeld gegeven dat niet direct overtuigt. Er is sprake van een beveiligingsincident omdat een derde via de gebruikersnaam en het wachtwoord toegang had tot de persoonsgegevens in kwestie, maar er is geen sprake van een datalek, omdat redelijkerwijs kan worden uitgesloten dat “toegang is verkregen tot” de persoonsgegevens, en de gegevens daarom niet blootgesteld zouden zijn aan verlies of onrechtmatige verwerking. Je zou in dit geval ook kunnen stellen dat de persoonsgegevens wél blootgesteld zijn aan verlies of onrechtmatige 4
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consultatieversie)
f.
g.
verwerking, omdat via kennis van de gebruikersnaam en het wachtwoord iemand toegang had tot de gegevens. Dat in het geval van het voorbeeld het incident niet hoeft te worden gemeld, komt dan niet doordat er geen sprake zou zijn van een datalek, maar doordat er geen sprake is van een (aanzienlijke kans op) ernstig nadelige gevo’gen voor de bescherming van persoonsgegevens. Dit voorbeeld toont aan dat de uitlég van de begrippen “toegang” en “blootgesteld zijn aan” van groot belang is voor de praktijk. Onder datalek wordt ook verstaan een incident als gevolg van het niet nemen van beveiligingsmaatregelen, evenals het zich verwezenlijken van een geaccepteerd restrisico wanneer passende maatregelen waren getroffen. De scope van datalekken is breder dan artikel 13 Wbp. Dit is vermeld op blz. 15/16, maar kan wellicht nog iets worden uitgewerkt. De betekenis van “inbreuk” en die van “onvoldoende treffen van beveiligingsmaatregelen” komen hierdoor wel dicht bij elkaar. Het NGFG dringt er sterk op aan om in de richtsnoeren incidenten binnen de Organisatie van de verantwoordelijke te bespreken. Die situatie is in de praktijk vaak aan de orde, en daarover mag dan ook geen onduidelijkheid blijven bestaan. Te denken valt aan onbevoegde interne verstrekkingen, of (ernstige) fouten ten aanzien van autorisaties in systemen met persoonsgegevens. Aangezien persoonsgegevens in dat geval wel “lekken”, maar niet naar buiten de Organisatie, of als niet bewezen wordt dat de gegevens daadwerkelijk door (interne) onbevoegden zijn gebruikt, wordt vaak aangenomen dat het lekken geen gevolgen hoeft te hebben. En dat kan weer tot gevolg hebben dat men het niet meer zo nauw zal nemen met de beveiligingsmaatregelen. Het criterium: dat moet worden gemeld als niet redelijkerwils kan worden uitgesloten dat een inbreuk oo de beveiliging tot een onrechtmatige verwerking heeft geleid, laat een dergelijke “omkering van de bewijslast” echter niet toe. Als de regels bij interne datalekken ten onrechte te soepel worden uitgelegd, of als hierover geen duidelijkheid kan worden gekregen, zou dat fnuikend zijn voor de naleving van beveiligingsmaatregelen, de compliance, de beveiligingsmoraal en het beveiligingsbewustzijn binnen organisaties.
Aanbevelingen: • Verduidelijk aan de hand van bovenstaande aandachtspunten a t/m f de begrippen “inbreuk op de beveiliging” en “blootgesteld zijn aan verlies of onrechtmatige verwerking”. Haak aan bij de definitie in de Europese verordening (personal data breach). • Bespreek in de Richtsnoeren nadrukkelijk de gevolgen wanneer zich datalekken voordoen binnen de Organisatie van de verantwoordelijke.
5
• Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consultatieversie)
4.
Paragraaf 4.2: Aanzienlijke kans (Scope van de meldplicht) a. Een inbreuk als bedoeld in artikel 34a hoeft alleen te worden gemeld als deze leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Doel van paragraaf 4.2 is om de afweging of een datalek binnen de reikwijdte van de meldplicht datalekken valt, te ondersteunen. Het NGFG vindt dat ook van belang, maar ziet het als een belangrijke omissie dat op deze plek in de tekst niet wordt ingegaan. op de betekenis van: “(nadelige) gevolgen voor de bescherming van persoonsgegevens”. Er is namelijk door de wetgever gekozen voor een verschil wat betreft de criteria in de artikelleden 1 en 2 van artikel 34a. Het eerste lid gaat over “(nadelige) gevolgen voor de bescherming van persoonsgegevens”, en het tweede lid gaat over “(ongunstige) gevolgen voor de persoonlijke levenssfeer”. Deze criteria lijken veel op elkaar maar zijn toch verschillend. In de eerste alinea van 7.3 wordt uitgelegd waar “ongunstige gevolgen voor de persoonlijke levenssfeer” uit kunnen bestaan, namelijk onrechtmatige publicatie, aantasting in eer en goede naam, identiteitsftaude of discriminatie, stigmatisering of uitsluiting, schade aan de gezondheid, financiële schade of (identiteits)fraude. Het ligt daarom voor de hand om ook in te gaan op de betekenis van “gevolgen voor de bescherming van persoonsgegevens”, zodat aan de lezer van de Richtsnoeren meer guidance wordt gegeven op dit punt. b. Paragraaf 4.2 en 7.3 van de Richtsnoeren bevatten wat betreft persoonsgegevens van gevoelige aard vrijwel hetzelfde criterium. De bescherming van persoonsgegevens (in de zin van gegevensbescherming of dataprotectie) is echter ruimer dan de eerbiediging van de persoonlijke levenssfeer. Zo vallen onder bescherming van persoonsgegevens bijvoorbeeld ook het doelbindingsbeginsel, het recht op inzage en het verbod op geautomatiseerde besluitvorming. Of dat gevolgen heeft voor de afweging van de verantwoordelijke, en zo ja, welke, lijkt in de Richtsnoeren onvoldoende terug te komen in de tekst en het schema in paragraaf 4.2 op blz. 19. c. De relatie van paragraaf 7.3 tot de gevolgen, bedoeld in 4.2.2, is niet duidelijk. d. De Richtsnoeren maken nog niet voldoende duidelijk of een datalek ook bij het CBP (AP) moet worden gemeld als de gegevens versleuteld zijn of gepseudonimiseerd of anderszins onbegrijpelijk zijn gemaakt. Uit voorbeeld 5 op blz. 20 is op te maken dat dat niet hoeft als er een back-up voorhanden is. e. Het NGFG zou graag in de richtsnoeren een situatie besproken zien, die in de praktijk vaak aan de orde zou kunnen zijn. Het gaat om de situatie waarin persoonsgegevens van een computer of gegevensdrager zijn verwijderd. Wat betekent dat voor het bepalen of de meldplicht al dan niet van toepassing is, wanneer de computer of de gegevensdrager “wegraakt”? Kunnen verwijderde gegevens altijd worden beschouwd als niet-bestaand, of vernietigd, ook wanneer dat technisch gezien niet 100°h het geval is? Bijvoorbeeld bij het kwijtraken van een opslagmedium waarop de data zijn “verwijderd”, maar met undelete tools nog wel te achterhalen zijn. Is dat een vraag over het al dan niet aanwezig zijn van een datalek, of kan deze situatie pas aan de orde komen bij de vraag of er aan de betrokkene moet worden gemeld, en zo ja, bij de vraag in paragraaf 7.2.3 (technische beschermingsmaatregelen) of 7.3. (ongunstige gevolgen voor de persoonlijke levenssfeer)? f. 4.2.2 Aard en omvang van de inbreuk. Onderaan blz. 22 is als derde relevante factor genoemd voor de kans op ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens: dat “bij omvangrijke verwerkingen van de overheid vaak sprake is van persoonsgegevens die binnen ketens worden gedeeld”. In de eerste plaats is niet duidelijk waarom alleen verwerkingen van de overheid relevant zouden zijn, en in de tweede plaats is de gebruikte terminologie voor het CBP als toezichthouder van een opvallende vaagheid. “Ketens” wordt niet uitgelegd, maar daarbij kan al gauw duidelijk zijn dat het gaat om samenwerkingsrelaties tussen 6
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consultatieversie)
meerdere verantwoordelijken waarbij meerdere verstrekkingen van persoonsgegevens plaatsvinden. Gegevens “delen” kan daarentegen in het Nederlands een nogal wollige lading hebben. Hier is, naar kan worden aangenomen, gewoon bedoeld: verstrekken, uitwisselen of aan elkaar koppelen. Aanbevelingen: • Voeg een uitleg toe van wat “(nadelige) gevolgen voor de bescherming van persoonsgegevens” inhoudt. Voeg op basis daarvan zonodig aanvullende criteria toe in het schema; • Geef aan of een datalek ook bij het CBP (AP) moet worden gemeld als de gegevens onbegrijpelijk zijn gemaakt; • Geef aan wat de situatie betekent voor de meldplicht wanneer een computer of gegevensdrager wegraakt waarvan de persoonsgegevens op de standaardmanier zijn verwijderd, en welke aanbevelingen daaruit voortvloeien voor de praktijk. • De factor: “Bij omvangrijke verwerkingen van de overheid vaak sprake is van persoonsgegevens die binnen ketens worden gedeeld” anders formuleren. 5.
Hoofdstuk 6: Wanneer melden? Er bestaat behoefte aan uitleg wat ‘binnen 2 werkdagen’ precies betekent. a. Wanneer wordt het datalek geacht bekend te zijn? Termijn begint te lopen op het moment dat je weet dat er een data lek is. b. Wanneer houdt de tweede dag op? Is dat uiterlijk 00.00 uur? c. Is het verstandig dat tijdens een langere periode met feestdagen, zoals met de Kerst de melding tot 5 6 dagen kan wachten? d. Wordt er aangesloten bij Algemene termijnenwet? Zo ja, daar duidelijk naar verwijzen. e. Is het niet verstandig de regeling van termijnen in de conceptverordening te volgen (max 72 uur)? Aanbevelingen: • Verduidelijken wat bedoeld wordt met ‘2 werkdagen’. Overweeg de regeling van termijnen in de conceptverordening te volgen (maximaal 72 uur).
6.
Hoofdstuk 7.2.3 Technische beschermingsmaatregelen. Om een melding aan de betrokkene achterwege te kunnen laten, moet de verantwoordelijke zelf bepalen of de technische beschermingsmaatregelen in een bepaald geval voldoende waarborgen bieden. De lat ligt hoog voor de praktijk van de gemiddelde Organisatie, en het NGFG vraagt zich daarbij af of de lat niet te hoog ligt. a. Paragraaf “Is de versleuteling adequaat?” op blz. 31. De eisen die hier geformuleerd zijn, zijn technisch en te gedetailleerd. Daarbij wisselt de praktijk snel, en heeft de praktijk vaak te maken met bepaalde machtsverhoudingen op de markt van aanbieders van ICT-diensten, die het voor een individuele verantwoordelijk praktisch ondoenlijk maken om een keuze te maken uit verschillende versleutelingswijzen. Het is ook niet bekend of het CBP op dit punt een bepaalde taak op zich gaat nemen. Daardoor twijfelt het NGFG er aan of deze uitzondering op de meldplicht wegens technische beschermingsmaatregelen in de praktijk wel een reële mogelijkheid betreft. b. Bij versleutelingswijzen die in een actuele beoordeling door de ENISA worden gekwalificeerd als geschikt voor “future use” (toekomst-vast voor de komende 10-tot 50 jaar) kan de verantwoordelijke er van uit gaan dat de versleuteling sterk genoeg is. Maar de keuze is toch afhankelijk van het risico? Zo als het er nu staat, lijkt het alsof er maar twee categorieën versleutelingswijzen zijn: toekomstvaste en niet toekomstvaste, en dat de keuze dus altijd moet vallen op toekomstvast. Is het niet zo dat de keuze eigenlijk afhangt van het risico? Zo zou een versleutelingswijze onvoldoende veilig kunnen zijn, gelet op het risico, ook al is die versleutelingswijze als toekomstvast aangemerkt. 7
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consultatieversie)
c.
d.
Aan het eind van de op een na laatste alinea is vermeld dat een beoordeling door een externe deskundige uitsluitsel kan bieden. Is dat uiteindelijk de oplossing voor de verantwoordelijke? Wordt de verantwoordelijke niet op enige andere, minder kostbare wijze geholpen, zoals door publicaties van het CBP of anderen? Op blz. 32, tweede alinea van de paragraaf met het kopje: “Is het restrisico acceptabel?” wordt vermeld dat ook meegewogen moet worden welke gevolgen het voor de persoonlijke levenssfeer van de betrokkene kan hebben als een aanvaller er nu of in de toekomst alsnog in slaagt om kennis te nemen van de getroffen persoonsgegevens. Hier wordt de overlap met de mate van toekomstvastheid zichtbaar.
Aanbevelingen: • Bij de eisen voor de verantwoordelijke over encryptie het criterium “redelijkerwijs” invoegen, zodat zal gelden dat er voor de verantwoordelijke ‘redelijkerwijs’ geen kwetsbaarheden bekend zijn met betrekking tot de gebruikte versleutelingswijze, en dat de versleutelingswijze “redelijkerwijze” juist is toegepast. • Duidelijk de relatie met de Richtsnoeren beveiliging van persoonsgegevens aangeven. Eventueel in de Richtsnoeren beveiliging van persoonsgegevens aangeven wanneer sprake is van passende encryptie. • Aanbeveling om uit te leggen dat de beoordeling van het restrisico een “vangnet” is, dus ook om een eventueel gebrek aan een risk based beoordeling van toekomstvastheid te compenseren. 7.
Hoofdstuk 10 (Niet) openbaar maken van het meldingenoverzicht Op blz. 42 wordt vermeld dat het overzicht van datalekken niet openbaar gemaakt hoeft te worden. Geldt dat ook voor de overheid? Ligt het voor de overheid niet anders? Aanbeveling: • Aanvullen met de opmerking dat dit voor de overheid anders kan liggen i.v.m. de Wet openbaarheid van bestuur (WOB). Zo mogelijk over de WOB-criteria en -afwegingen meer duidelijkheid geven.
8.
Hoofdstuk 11 Wat doet het CBP met mijn melding a. De laatste alinea van hoofdstuk 11 vermeldt: “Bij het opleggen van een boete houdt het CBP rekening met de omstandigheden van het geval en met de interpretatieruimte voor de verantwoordelijke bij het toepassen van de wettelijke normen op zijn situatie. Alleen als de verantwoordelijke een apert onredelijke interpretatieruimte toepast (door de melding achterwege te laten terwijl het evident is dat er gemeld had moeten worden) zal het CBP gebruik maken van zijn bevoegdheid tot het opleggen van een bestuurlijke boete.” Het NGFG beveelt met klem aan om deze zin uit de richtsnoeren te schrappen. Los van de vraag wat wordt bedoeld met “de” interpretatieruimte, wordt hiermee namelijk de indruk gewekt dat een nauwgezette afweging door de verantwoordelijke in feite niet nodig is, en dat er in feite onvoldoende noodzaak is om deze richtsnoeren precies te volgen. Zolang het niet evident is dat er gemeld moet worden, kan de melding achterwege blijven. Dit neemt een prikkel weg bij verantwoordelijken om de Richtsnoeren serieus toe te passen, en om het nalevingsniveau, de compliance, voldoende te borgen. Het NGFG ziet ook de noodzaak niet in om dit te vermelden. Het sluit niet aan bij het doel van de Richtsnoeren, nI. om verantwoordelijken “te ondersteunen bij het maken van een beredeneerde afweging of een concreet datalek dat hen ter kennis komt onder het bereik van de wettelijke meld plicht valt”. b. Verificatie van de melder zal volgens de richtsnoeren alleen plaatsvinden als de melding het CBP aanleiding geeft tot nadere actie. Dit kan volgens het NGFG beter bij 8
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consultatieversie)
c.
d.
élke melding plaatsvinden. Dit ter voorkoming van valse meldingen door personen die zich uitgeven als (medewerker van) een bepaalde verantwoordelijke. Onduidelijk is, hoe het CBP omgaat met de FG in deze gevallen. Gaat het CBP de FG op de hoogte stellen van de melding en de inhoudelijke aspecten van de casus afstemmen? Er moet rekening worden gehouden met het door de Wbp bedoelde “soepele samenspel” tussen EG en CBP. Het CBP “kan” op geaggregeerd niveau aandacht besteden aan datalekken. De vraag is nu juist of het CBP dat ook daadwerkelijk gaat doen.
Aanbevelingen: • De passage te schrappen dat het CBP geen gebruik zal maken van zijn bevoegdheid tot het opleggen van een bestuurlijke boete, tenzij evident is dat er gemeld had moeten worden. • Bij elke melding de melding authentiseren, om te voorkomen dat valse meldingen worden gedaan, en op naam van een verantwoordelijke worden geregistreerd. • Toevoegen dat het CBP altijd de FG op de hoogte stelt van een melding, en met hem de inhoudelijke aspecten van de casus afstemt wanneer die door het CBP worden bekeken. • Toevoegen dat het CBP op geaggregeerd niveau aandacht zal besteden aan datalekken. Zie hieronder, bij C, nr. 12 (Bredere informatie over datalekken). C. 9.
Suggesties voor aanvulling Over degene die moet melden wordt te weinig besproken in de Richtsnoeren. Het gaat om de “i-vraag”. Aandachtspunten in de praktijk zijn: a. Wie moet melden bij medeverantwoordelijkheid? “Ketens” hebben zo hun eigen problemen omdat niet altijd meteen duidelijk is wie de verantwoordelijke c.q. bewerker is. Wie moet er melden als er sprake is van meerdere verantwoordelijken? Hoe ga je om met de situatie waarin 1 verantwoordelijke meldt, en de andere (mede)verantwoordelijken niet? b. Wie kan onder de verantwoordelijkheid van de verantwoordelijke het beste de melding doen? Het NGFG is van mening dat de verantwoordelijkheid voor het uitvoeren van de melding niet bij de FG moet liggen. De FG kan alleen goed functioneren wanneer hij door de verantwoordelijke in staat wordt gesteld om “rolvast” te zijn wat betreft zijn toezichthoudende taken, en dus geen uitvoerende taken krijgt waarop hijzelf toezicht moet houden. Aanbeveling: • Bespreek de problematiek bij medeverantwoordelijkheid. Aansluiten bij art. 24 van de conceptverordening: maken van afspraken. • Bespreek wie er bij de verantwoordelijke de melding zou moeten doen, en dat de EG dat juist beter niet zelf zou kunnen doen.
10. Hoofdstuk 7, aanhef, laatste alinea: De melding aan de betrokkene op last van het CBP. a. Welke termijn gaat het CBP stellen voor de melding aan de betrokkene op last van het CBP? b. Is die last een bindende aanwijzing of een last onder dwangsom of iets anders? c. Binnen welke termijn beslist het CBP dat betrokkene alsnog moet worden geïnformeerd? Binnen welke termijn past het CBP lid 7 van artikel 34a Wbp toe? Aanbeveling: • Ga nader in op het karakter van en de termijnen rond de last van het CBP tot melden aan de betrokkene. 9
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consultatieversie)
11. De verhouding met de meldplicht uit de toekomstige Europese algemene verordening gegevensbescherming is onduidelijk. Aanbeveling: Verduidelijk de verhouding met de Europese meldplicht. 12. Bredere informatie over datalekken. a. Publicatie van gemelde datalekken. Kan het CBP de Richtsnoeren aanvullen met publicatie van gemelde datalekken (geanonimiseerd) die illustratief zijn voor de meldplicht? Zonodig met een disclaimer dat daar geen rechten aan kunnen worden ontleend. b. Kan het CBP ook informatie geven over alle risico’s van datalekken, bijv. over de totale kosten van een datalek? Het is voor bedrijven interessant om te weten wat bijvoorbeeld de recoverykosten zijn. c. Kennis die het CBP opdoet, delen met verantwoordelijken. Graag ziet het NGFG in de richtsnoeren verduidelijkt hoe het CBP de opgedane kennis en ervaringen zal delen zodat de FG’s kunnen bijdragen aan een betere digitale beveiliging en het voorkomen van datalekken. Aanbeveling: Geef aan op welke wijze het CBP kennis en ervaring zal uitwisselen.
D.
Overige opmerkingen
13. Hoofdstuk 1 Is de meldplicht van toepassing? a. Hier wordt gesproken over het “van toepassing zijn van de meldplicht”. Deze formulering geeft aanleiding tot misverstand. Een plicht die van toepassing is, betekent een plicht die daadwerkelijk op iemand rust, en die dus ook concreet aan de orde is: er moet in dat geval gemeld worden. Dat is hier echter niet bedoeld. Aanbeveling: • Aanbeveling: vervang: “van toepassing zijn van de meldplicht” door: is de situatie niet uitgezonderd van de privacywetgeving, of een soortgelijke formulering. 14. Hoofdstuk 2 Bewerker Aanbevelingen: • Toevoegen in H2 Bewerker dat naleving van de uitvoering van de meldplicht (althans het deel waarvoor de bewerker verantwoordelijk is) naast naleving van de beveiligingsmaatregelen, onderdeel moet worden van de uit te voeren controles, audits, rapportages, certificering. Dit moet dus ook met zoveel woorden in de bewerkersovereenkomsten worden opgenomen. • In 2.2 (Waarover moet ik afspraken maken met de bewerker) toevoegen dat ook eraan gedacht kan worden afspraken op te nemen over de vraag wie er opdraait voor de schade als er een boete wordt opgelegd in verband met het niet-naleven van de meldplicht: de bewerker of de verantwoordelijke. • De opmerking dat de bewerker eveneens zelfstandig aansprakelijk is voor de naleving van de beginselen met betrekking tot de verwerking van persoonsgegevens die zijn opgenomen in hoofdstuk 1 en 2 van de Wbp nader uitleggen. • Overweeg om meer aandacht te geven aan de praktische aspecten van het verwerken van persoonsgegevens in the cloud en het omgaan met overeenkomsten in dat 10
Commentaar NGFG bij Richtsnoeren Meldplicht Datalekken (consultatieversie)
verband. Er zijn een aantal bekende praktijksituaties te noemen van veel voorkomende cloudtoepassingen. 15. Papieren praktijk. Overweeg het aantal voorbeelden uit te breiden met voorbeelden uit de “papieren praktijk”, dat wil zeggen de gevallen waarin persoonsgegevens op papier worden verwerkt. Dit gebeurt nu slechts in 1 geval, ni. in 4.2, op blz. 20 (voorbeeld 4). 16. Aansluiting tussen Richtsnoeren datalekken en Richtsnoeren beveiliging van persoonsgegevens. Aanbevolen wordt de Richtsnoeren datalekken en de Richtsnoeren beveiliging beter op elkaar te laten aansluiten, en de Richtsnoeren beveiliging van persoonsgegevens verder te verbeteren. Wat dat laatste betreft zal het NGFG graag met u meedenken. 17. Hoofdstuk 11 Wat doet het CBP met mijn melding? Overweeg om de hier opgenomen tekst onder verschillende kopjes te groeperen. Dat maakt de tekst voor de lezer overzichtelijker. Kopjes zouden kunnen zijn: 1. Administratieve procedure, 2. Het register, gebruik en verstrekkingen, en 3. Boete voor niet-melden.
11