PRIVACY
Mirjam Elferink en Martijn Kortier advocaten IE, ICT & Privacy 13 mei 2014
DATALEKKEN IN HET NIEUWS • • • • •
2
Lek in dropbox Ziekenhuis lekt gegevens 500.000 patiënten Betalingsverkeer Global Payments getroffen door datalek Rabobank lekt duizenden ondernemersrapporten Ernstig datalek ontdekt in KPN-modems
ONDERWERPEN
2
1.
Casus datalek
2.
Wbp
3.
Huidige en toekomstige wetgeving datalek meldplichten
4.
Casus “preventie”
5.
Wat betekent dit voor uw organisatie?
CASUS VOORAF: DATALEK NMBS: FOUT WERKNEMER Persoonlijke gegevens van ca. 1,5 miljoen reizigers op straat. NAW-gegevens en emailadressen van mensen die inlichtingen hadden gevraagd of tickets hadden gekocht •Lek sinds mei 2012 •Lek in december 2012 ontdekt •Lek door menselijke fout! Gegevens 25 miljoen gebruikers Playstation netwerk Sony gehackt. Toegang tot namen, adressen, geboortedata, e-mailadressen, wachtwoorden en creditcardgegevens. Hosting Playstation netwerk was uitbesteed aan hostingprovider.
11
DATALEK NMBS: FOUT WERKNEMER •Werknemer moest twee lijsten van klanten van NMBS Europe samenbrengen en nieuwe lijst opslaan. • •Werknemer werkte niet via interne systeem, maar via het online systeem dat verbonden is met de website •Werknemer drukt op verkeerde knop! Niet bestanden leeg gemaakt op onbeschermde server achter gelaten. •Gegevens o.a. via Google te vinden
12
GEVOLGEN •Bekendheid van het lek in de markt reputatieschade NMBS •De Privacycommissie heeft 2.600 meldingen, vragen of klachten ontvangen.
•NMBS heeft in strijd gehandeld met privacywetgeving •Aansprakelijkheidsclaims betrokkenen en NMBS?
Wat moet NMBS doen?
12
MELDPLICHT BIJ DATALEKKEN, VERLIES OF MISBRUIK Alleen melding van: Datalekken die ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens
4
WET BESCHERMING PERSOONSGEGEVENS (WBP) Van toepassing bij verwerking van persoonsgegevens in het kader van activiteiten van een verantwoordelijke die een vestiging in Nederland heeft.
Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp
6
BELANGRIJKE BEGRIPPEN UIT DE WBP
Persoonsgegeven: Elk gegeven dat herleidbaar is tot een natuurlijke persoon (bijv. naam, mailadres, foto, maar soms óók: IP-adres). Verwerking: Elke handeling m.b.t. persoonsgegevens, van het moment van verzameling tot vernietiging. Ook opslag door cloud leverancier. Verantwoordelijke: Bepaalt doel en middel van de verwerking (bijv. de klant van de cloud service leverancier). Bewerker: “Verwerkt” persoonsgegevens ten behoeve van de verantwoordelijke; staat niet onder direct gezag van de verantwoordelijke (veelal cloud- of SaaS-dienstverlener).
4
UITGANGSPUNTEN WBP
Verwerken: -In overeenstemming met de wet
-op behoorlijke en zorgvuldige wijze. Doeleinden: Persoonsgegevens mogen slechts worden verwerkt
voor welbepaalde, - uitdrukkelijk omschreven en - gerechtvaardigde doeleinden
4
UITGANGSPUNTEN WBP
Verwerkingsgrondslagen: - ondubbelzinnige toestemming - noodzakelijk uitvoering overeenkomst - noodzakelijk ivm wettelijke verplichting - noodzakelijk ter vrijwaring vitaal belang betrokkene -noodzakelijk goede vervulling publiekrechtelijk taak (igv bestuursorgaan) -gerechtvaardigd belang verantwoordelijke/derde tenzij fundamentele rechten en vrijheden zich tegen verwerking verzet.
4
UITGANGSPUNTEN WBP Overige uitgangspunten -Niet langer bewaren dan noodzakelijk voor doeleinden -Geheimhoudingsplicht -Beveiligingsplicht -Bewerker en bewerkersovereenkomst -Bijzondere persoonsgegevens -Meldplicht CBP -Informatieverstrekking aan betrokkene
4
BEWERKERSOVEREENKOMST = WETTELIJK VERPLICHT Wat te regelen? -Beveiligingsplicht en – maatregelen (incl. controle daarop) -Verwerken slechts in opdracht van verantwoordelijke -Geheimhouding -Subbewerkers? -Bewaartermijn -Exitregeling 4
BEWERKERSOVEREENKOMST – VERVOLG Wat te regelen? -Meewerken in geval verzoek betrokkenen -Meldplicht datalek/beveiligingsincident -Waar vindt de verwerking plaats? In EU? -Wat te doen in geval onderzoek autoriteiten -Toepasselijk recht 4
VORDEREN (PERSOONS)GEGEVENS DOOR AUTORITEITEN Stel u bent zelf cloudprovider: Onder welke voorwaarden mogen opsporingsdiensten zoals FIOD etc. gegevens bij u opvragen?
4
VORDEREN (PERSOONS)GEGEVENS DOOR AUTORITEITEN Art. 126nd Wetboek van Strafvordering - In geval van verdenking van misdrijf - In belang van het onderzoek - van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens - door de Officier van Justitie.
4
VORDEREN (PERSOONS)GEGEVENS DOOR AUTORITEITEN Art. 126nd Wetboek van Strafvordering Vordering mag geen betrekking hebben op bijzondere persoonsgegevens (lid2) en kan niet worden gericht tot de verdachte zelf. Vordering bevat: Nauwkeurige omschrijving persoon op wie gegevens betrekking hebben en van de gegevens zelf •geldige titel; •Evt. mondeling, maar achteraf op schrift; •OvJ dient een proces-verbaal op te maken. 4
MELDEN DATALEK BIJ INBREUK PRIVACY
Huidig: Telecommunicatiewet per 5 juni 2012 (‘smalle’ meldplicht)
Toekomstige wetgeving: - Voorstel tot wijziging Wet bescherming persoonsgegevens (‘brede meldplicht’) - Voorstel Europese verordening (‘brede’ meldplicht)
12
‘SMALLE’ MELDPLICHT TW: VOOR WIE? - Aanbieders telefonie - Internet Service Providers
Niet: Banken, Webwinkels,Webhosters,Overheid.
4
WAT HOUDT DE MELDPLICHT IN? Onverwijlde’ melding doen van inbreuk beveiliging met gevolgen voor persoonsgegevens Bij ACM Ook onverwijlde melding, indien dit waarschijnlijk leidt tot nadelige gevolgen Bij betrokkene
Niet melden: Boete: max. € 450.000.
14
TOEKOMSTIGE WETGEVING
Wetsvoorstel tot wijziging Wbp
Breder toepassingsbereik: “verantwoordelijken” melden bij CBP en betrokkene; Nalaten melding: bestuurlijke boete: max. € 450.000,= Europese Verordening Gegevensbescherming
Verwachting: van toepassing omstreeks 2016 ? Boetes: tot 1 miljoen Euro / 2% wereldwijde jaaromzet (!)
15
MELDEN DATALEK BIJ GROOT BEVEILIGINGSINCIDENT Toekomstige Europese wetgeving:
Cybersecurity – richtlijnen
Doel: tegengaan cybercrime, waaronder datalekken
35
MELDEN DATALEK BIJ GROOT BEVEILIGINGSINCIDENT Voor wie? voor overheid, operatoren van kritieke infrastructuur in bepaalde sectoren (ook financiële dienstverlening) en belangrijke internetbedrijven Wat? schaal van het probleem, datum en tijd incident, aard incident en de reactie van het bedrijf op het incident EU: beter eerlijk en open zijn over lek dan lek wegmoffelen vb. Diginotar
4
TERUG NAAR CASUS NMBS
PREVENTIE VAN DATALEKKEN: WAT HAD NMBS OP VOORHAND KUNNEN DOEN?
4
•
Monitoren werknemers?
•
Mag dat zomaar?
CASUS: “PREVENTIE” Werknemer mailt naar een klant (zakelijke e-mails):
"(..) I can tell you it is impossible to work with pigs, and that is what I am facing now!” en ook
“(..) Das wissen wir auch night was da los ist, es ist hier ein komplett chaos.(..)”.
4
CASUS: “PREVENTIE”
Gevolg: Reputatieschade bedrijf Werkgever komt via controle deze zakelijke e-mails tegen.
•Mag u zomaar monitoren? •En wat kunt u tegen de werknemer doen? •Ontbinding arbeidsovereenkomst? •En wat kunt u doen ter preventie?
4
CASUS: “PREVENTIE”
Feiten:
•Ontbindingsprocedure arbeidsovk werknemer •Tegen de vader van de werknemer, die bij hetzelfde bedrijf werkt, liep al een ontslagaanvraag; •Werknemer laat zich via mail tegen klanten negatief uit over bedrijf; •Bedrijf kijkt in de e-mailbox van werknemer; •Geen ICT-protocol
4
CASUS: “PREVENTIE” Stellingen bedrijf monitoren zakelijke e-mail: •Gerechtvaardigd doel •Verdenkingen betrokkenheid meerdere werknemers bij de malversaties van de werknemer Dus: controle e-mailberichten noodzakelijk.
4
CASUS: “PREVENTIE” Stellingen werknemer: •Inkijken e-mail is inbreuk privacy •Geen verdenking of waarschuwing •Daarom onrechtmatig bewijs in de ontslagprocedure Dus: controle e-mailberichten ongerechtvaardigd.
4
CASUS: “PREVENTIE” Maar wat vindt de rechter?
Kantonrechter Rb Rotterdam 21 september 2011 Monitoren zakelijke e-mail: •werknemer mag verwachten dat werkgever, eerder dan bij privéberichten, inhoud van zakelijke e-mailberichten bekijkt; •inbreuk privacy werknemer gerechtvaardigd en proportioneel •
geen ander middel om de correspondentie te controleren;
•e-mails als bewijs meegewogen voor bepalen dringende reden ontslag
4
CASUS: “GMAIL” Feiten:
•Werknemer uitgezonden naar China om nieuwe markt aan te boren; •Werknemer voerde via privé Gmail correspondentie over het opzetten van een nieuwe concurrerende vennootschap. Bovendien bleek uit account dat hij producttechnische tekeningen van het bedrijf werden gekopieerd; •Privé Gmail werd soms ook zakelijk gebruikt; •Bedrijf kreeg inzicht in deze e-mails; •Werknemer op non-actief; •Ontslagprocedure -> dringende reden? Rechtmatig bewijs?
4
CASUS: “GMAIL” Stelt u zich eens voor dat u rechter bent. Hoe zou u dan oordelen?
•Waarom mocht het bedrijf wel in de Gmail kijken? •Waarom mocht het bedrijf niet in de Gmail kijken?
4
CASUS: “GMAIL” Stellingen bedrijf:
Geen sprake van onrechtmatig bewijs; Gmail werd zakelijk gebruikt en stond centraal in bedrijfsvoering; O.b.v. ICT-protocol was het toegestaan te monitoren; Bedrijf had in het verleden het wachtwoord gekregen.
4
CASUS: “GMAIL” Stellingen werknemer:
•Onrechtmatig verkregen bewijs; •Privacybelang;
•Bedrijf geen toestemming om te kijken in privé mailbox; •Account slechts heel af en toe zakelijk gebruikt, in het geval de zakelijke mail niet functioneerde; •Wachtwoord in het verleden wel verstrekt, maar recent gewijzigd.
4
CASUS: “GMAIL” Maar wat vindt de rechter? Gerechtshof ‘s-Hertogenbosch 19 maart 2013
Bedrijf had geen toegang om de beveiligde privé e-mail te bekijken; E-mail werd slechts af en toe zakelijk gebruikt;
Onvoldoende duidelijk wat status van account was, in ieder geval ook privé; Laat bedrijf toe te bewijzen dat account zakelijk werd gebruikt en centraal stond in de bedrijfsvoering; Laat bedrijf toe duidelijkheid te verschaffen hoe en wanneer zij toegang had tot het account;
Wordt vervolgd!
4
WAT BETEKENT DIT VOOR ORGANISATIES?
To do:
ICT protocol: duidelijk regelen wat werknemers wel en niet mogen; met de ICT-voorzieningen van een organisaties;
bijv. op social media.
4
WAT BETEKENT DIT VOOR ORGANISATIES? Organisaties moeten processen inrichten en richtlijnen maken over hoe te handelen als zich een datalek voordoet: maak een datalek draaiboek! Zorgen dat beveiliging op orde is, zowel technisch als ook organisatorisch De data moet versleuteld worden Aspecten rondom beveiliging, datalekken en privacy moeten vóóraf in een overeenkomst geregeld worden!
4
WAT BETEKENT DIT VOOR ORGANISATIES? Melden binnen 24 uur na lek ! Aan ACM en betrokkenen: •Aard van de inbreuk;
•Instantie waar meer info verkregen kan worden; •Aanbevolen maatregelen ter beperking negatieve gevolgen; Aan ACM:
•Gevolgen inbreuk op persoonsgegevens; •Aanbevolen maatregelen om inbreuk aan te pakken.
4
WAT BETEKENT DIT VOOR ORGANISATIES? Risico bij niets doen: verantwoordelijke aansprakelijk. Gevolg: boetes, reputatieschade en claims Denk ook aan opnemen van aansprakelijkheids-beperkingen in de overeenkomst!
***
4
HARTELIJK DANK VOOR UW AANDACHT!
Vragen?
[email protected] [email protected] Twitter: @MirjamElferink @MartijnKortier
4