Wet meldplicht datalekken
MKB Rotterdam
Olaf van Haperen + 31 6 17 45 62 99
[email protected]
Introductie •
IE-IT specialisme
•
Grootste afdeling van Rotterdam e.o.
•
Technische ontwikkelingen = juridische ontwikkelingen
•
Branche kennis!
Meldplicht datalekken Wat?
Wie?
Waar?
Wanneer/hoe?
Wie? •
De “Verantwoordelijke” stelt doel en middelen vast van de verwerking van persoonsgegevens (art. 1 sub d Wbp)
•
De “Bewerker” is degene die de verwerking uitvoert, zonder aan rechtstreeks gezag van de Verantwoordelijke te zijn onderworpen (art. 1 sub e Wbp)
•
De Verantwoordelijke moet toezien op de naleving van de Wet meldplicht datalekken (art. 14 lid 1 Wbp)
•
Dus ook ervoor zorgen dat de bewerker maatregelen treft die nodig zijn om aan de meldplicht voor datalekken te kunnen voldoen (artikel 14, lid 3 sub c Wbp)
•
Bewerker heeft géén wettelijke meldplicht!
•
Maar… in veel gevallen is de bewerker wèl de eerste die kennis krijgt van een opgetreden datalek!
Definitie - Wat is een datalek?
•
“Inbreuk op de beveiliging van persoonsgegevens” (art. 13 Wbp)
•
“Onbedoelde of onwettige vernietiging of wijziging van, of niet geautoriseerde toegang tot (verwerkte) persoonsgegevens” (Nota naar aanleiding van het nader verslag, p. 4)
¾ Dus: niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens = datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden!
Voorbeelden – Wat is een datalek? Voorbeelden van datalekken (incidenten): ¾Hack ¾Kwijtgeraakte USB-stick ¾Gestolen laptop ¾Werknemer verschaft een derde inloggegevens bedrijf, tenzij via logbestanden kan worden achterhaald dat niemand persoonsgegevens heeft gebruikt… ¾Vernietiging, tenzij recovery via backup…
Melden²: CBP (1)
Meldplicht nr 1: bij het CBP oVerantwoordelijke eindverantwoordelijk voor melding! oDus: zorgen dat de bewerker u tijdig en adequaat informeert over de datalekken waarvan hij kennis krijgt oMelden incident, indien: “… (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens” (art. 34a Wbp) oDiscussiepunt: wat is “ernstig”? (reacties n.a.v. richtsnoeren CBP)
Melden²: CBP (2)
•In ieder geval meldplicht wanneer de gegevens van gevoelige aard zijn: – Bijzondere categorieën persoonsgegevens (raciale/etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, etc.) – Financiële gegevens – Gegevens die kunnen leiden tot stigmatisering of uitsluiting – Gebruikersnamen, wachtwoorden en andere inloggegevens – Gegevens vatbaar voor misbruik (identiteitsfraude)
Melden²: CBP (3)
•
Restcategorieën: – Grote omvang (databanken overheid) – Gegevens gebruikt om ingrijpende beslissingen te nemen over betrokkene (hacker die gegevens wijzigt in databank om kredietwaardigheid te bepalen) – Keten van instanties (overheden en zorgverleners) – Kwetsbare groepen (kinderen, ouderen, digibeten)
•
Hoe en wanneer? – Webformulier / fax – 2e werkdag na ontdekking van het incident – Melding evt. achteraf wijzigen / aanvullen / intrekken mogelijk!
Melden²: Betrokkene (1) Meldplicht nr 2: aan betrokkene (als er óók meldplicht bij CBP bestaat) •De overweging voor melding ook aan betrokkene “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer” (art. 34a lid 2 Wbp) ¾ onrechtmatige publicatie, aantasting eer/goede naam, ID-fraude, discriminatie, financiële schade •Als Verantwoordelijke voldoende maatregelen genomen voor gegevensbescherming om melding aan betrokkene toch achterwege te kunnen laten? •Maatregelen: –Versleuteling –Remote wipe (controleren Æ tijdig, uitgevoerd, reconstructie onmogelijk?) –Pseudonimisering (voorkomen opnieuw identificeren)
Melden²: Betrokkene (2) •
Versleuteling: –
Encryptie moet effectief (=actief op moment incident) en up-to-date zijn
–
Vernietiging gegevens? Alsnog schade voor betrokkene…
–
Gebaseerd op standaardalgoritme (normen, geschikt voor ‘future use’, rekening houdend met bekende kwetsbaarheden)
–
Veilige implementatie door (externe) deskundige
–
Beveiliging zelf moet niet ‘gelekt’ zijn…
Melden²: Betrokkene (3) Hoe en wanneer? •Onverwijld, maar enige tijd voor onderzoek en voorbereiding behoorlijke zorgvuldige melding •Betrokkene moet in staat gesteld worden maatregelen te nemen tegen schade •Eerste melding om betrokkene in gelegenheid te stellen wachtwoord te veranderen, zonder (nog) volledige details te geven
Melden²: Wat dan? Aan CBP oAard van de inbreuk oInformatiepunt oAanbevolen maatregelen om negatieve gevolgen te voorkomen oBeschrijving van vermoedelijke gevolgen oGetroffen maatregelen ter voorkoming van die gevolgen
Aan betrokkene Aard van de inbreuk Informatiepunt Aanbevolen maatregelen om negatieve gevolgen te voorkomen
Niet gemeld en wel verplicht? ¾Geldboete van de zesde categorie: EUR 810.000 òf 10% jaaromzet ¾Maar pas ná “bindende aanwijzing” CBP, tenzij • Opzettelijke overtreding • Ernstig verwijtbare nalatigheid
Praktische consequenties? Onder andere: ¾Bewerkersovereenkomsten nu aanpassen, want bewerker heeft géén wettelijke verplichting om een datalek aan de verantwoordelijke te melden ¾Protocolplicht overzicht van incidenten bewaren (geen openbaarmakingsplicht!) Æ minimaal 1 jaar bewaren / 3 jaar indien gewichtige reden niet-informeren betrokkene
¾Draaiboek maken (organisatorische maatregelen) Privécomputer werknemer in verantwoordelijkheidsdomein werkgever?
¾Uitdiensttredingsprotocol
Belangrijkste lessen 9
Adequate beveiliging
9
Inventariseer welke gegevens ernstige nadelige gevolgen kunnen veroorzaken in geval van een datalek
9
Zorg dat een draaiboek klaarligt wanneer een datalek voorkomt
9
Zorg dat de IT-organisatie bekend is met de meldplicht / stel een ‘DPO’ aan (vooruitlopend op Privacy Verordening!)
9
Zorg dat alle bewerkers een contractuele meldplicht hebben!
9
Houd een overzicht bij van de geconstateerde incidenten
De definitieve versie richtsnoeren CBP verschijnt eind november 2015. Check ook: www.kneppelhout.nl
Vragen? Olaf van Haperen Managing partner / Advocaat + 31 6 17 45 62 99
[email protected]
www.kneppelhout.nl
