www.privacycompany.eu
http://www.ad.nl /ad /nl /5595/Digitaal/article/detail /4199971/2015/12/02/125-000-Nederlandse-kinderen-dupe-hack-VTech.dhtml
www.privacycompany.eu
Nieuw in de Wbp
Per 1 januari 2016:
• Boetes tot 820.000 Euro (voorheen 4.500 Euro)
• Meldplicht datalekken (dubbele meldplicht)
www.privacycompany.eu
Wet bescherming persoonsgegevens (Wbp)
Normen en regels:
1. Algemene zorgvuldigheidseis (art. 6)
2. Doel verzameling gegevens (art. 7)
3. Grondslag verwerking (art. 8 a-f)
4. Doelbinding gebruik gegevens (art. 9)
5. Kwaliteit gegevens (art. 11)
6. Beveiliging gegevens (art. 13)
7. Bewaren gegevens (art. 10)
8. Meldingsplicht (art. 27-30)
9. Informatieplicht + meldplicht datalekken (art. 33, 34 en 34a)
10. Rechten van de betrokkene (art. 35, 36, 40-42)
www.privacycompany.eu
Meldplichten
Brede meldplicht datalekken Art. 34a Wbp, per 1-1-2016 Melden bij AutoriteitPersoonsgegevens
Meldplicht Telecomwet Art. 11.3a Telecomwet, sinds 2012 Melden bij AutoriteitConsument en Markt (ACM)
Wet melding inbreuken elektronische informatie-systemen (wetsvoorstel)
Producten of diensten die van zodanig belang zijn voor samenleving dat onderbreking beschikbaarheid-betrouwbaarheid leidt tot ernstige maatschappelijke gevolgen (vitale infrastructuren)
Melden bij NCSCAdvies RvS 08-2015, wachtop 1e en 2e kamer
Meldplicht voor certificaatdienstverleners
Besluit elektronische handtekeningen, 2013 Melden bij ACM
Goed opdrachtnemerschapWanprestatieOnrechtmatige daad
Art. 7:401 Burgerlijk Wetboek (BW); Art. 6:74 BW; Art. 6:162 BW Melden bij klanten / leveranciers / partners
Strafrecht Aantasting van computersystemen die levensgevaar kunnenveroorzaken, art. 161 sexies WvSr.
Melden bij politie
Wet financieel toezicht: integriteitsmeldingenbankwezen
Omvat veel meer dan alleen datalekken Melden bij NederlandseBank
Contract Geheimhouding; treffen beveiligingsmaatregelen; meldenbeveiligingsincidenten
Melden bij contractspartner
Let op: internationaal bedrijf? Dan mogelijk ook meldplichten onder buitenlands recht!
www.privacycompany.eu
Brede meldplicht datalekken Wbp art. 34a
• Uitvloeisel van het regeerakkoord en ‘druk’ vanuit Europa
• Gericht op: verantwoordelijken in de zin van WBP
• Meldplicht bij College Bescherming Persoonsgegevens (vanaf 1-1-2016 Autoriteit Persoonsgegevens)
• Meldplicht jegens betrokkenen
• Bestuurlijke boete als punitieve sanctie 820.000 Euro
• Nederland is de proeftuin voor de meldplicht uit de Europese Verordening Gegevensbescherming.
www.privacycompany.eu
Meldplichtig datalek
Een datalek moet gemeld worden bij de AutoriteitPersoonsgegevens indien het:
“leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” (art 34a Wbp)
www.privacycompany.eu
Brede meldplicht
Waarom is het moeilijk/waar zitten de knelpunten?
•Het wetsvoorstel werkt met veel open normen
“vermoeden van nadelige gevolgen voor de
persoonlijke levenssfeer”, “inbreuken op de
beveiliging”, “onverwijld”, etc.
•Deze zaken worden wel (deels) in de beleidsregels
uitgewerkt!
https://cbpweb.nl/sites/default/files/atoms/files/beleids
regels_meldplicht_datalekken.pdf
www.privacycompany.eu
Risico’s voor bedrijven
Financieel risico; boete: maximaal 820.000 EuroLet op! Boetebedragen worden elke twee jaar geïndexeerd en kunnen dus in 2018 al anders zijn.
Compliance risico:• De procedure is niet op tijd gereed (1 januari 2016)• De informatie kan niet onverwijld geleverd worden (primaire melding binnen 72 uur, indien
later dan dat motiveren)• Datalek heeft plaatsgevonden bij een bewerker die nalaat melding te doen aan de
verantwoordelijke• Bewerkersovereenkomst ‘oude stijl’ waarin geen clausule over datalekken is opgenomen
Bepaalde interne inbreuken op de beveiliging waarbij persoonsgegevens betrokken zijn worden gemist
Reputatierisico:• Verlies van vertrouwen van klanten• Bekendmaking van boetes door toezichthouder
www.privacycompany.eu
Datalek
•Een datalek is een inbreuk op de beveiliging(als bedoeld in artikel 13 Wbp): gegevens beveiligentegen verlies en onrechtmatige verwerking
• Dit begrip moet ruim uitgelegd worden:
Gestolen of verloren gegevensdragers of devices
Verlies van gegevens door brand
Inbraak door een hacker
Malware-besmetting
www.privacycompany.eu
De 3 rollen
Er zijn (ten minste) drie rollen die onderscheiden moeten worden om een datalek succesvol af te handelen.
I. ONTDEKKER
Degene die het datalek op het spoor komt en het proces in werking moet stellen.
II. MELDER
Degene die verantwoordelijk is voor het melden van het datalek bij de Autoriteit Persoonsgegevens.
III. TECHNICUS
Degene die de oorzaak van het datalek kan vinden en kan (laten) repareren.
www.privacycompany.eu
De 6 fasen
In het leven van een datalek zijn 6 fasen te onderscheiden:
1. ontdekken
2. inventariseren
3. beoordelen
4. repareren
5. melden
6. documenteren
www.privacycompany.eu
De 6 fasen 2
1. OntdekkenONTDEKKER merkt een datalek op. Bijvoorbeeld via eigen waarneming of een klacht van een klant. De ONTDEKKER vergaart zoveel mogelijk informatie over het datalek en zet het proces in werking waardoor deze informatie ten minste bij de MELDERterechtkomt.
2. InventariserenDe MELDER op zijn beurt, beoordeelt of er voldoende informatie omtrent het datalek bekend is. Zo niet, dan zet hij aanvullende vragen uit.
3. BeoordelenWanneer MELDER voldoende informatie heeft verzameld, beoordeelt hij de feiten om te bepalen of een melding aan de Autoriteit Persoonsgegevens en/of betrokkenen vereist is.
www.privacycompany.eu
De 6 fasen 3
4. ReparerenDe TECHNICUS zal moeten achterhalen wat de oorzaak van het lek is en deze moeten repareren.
5. MeldenIndien de conclusie bij stap 3 is dat er gemeld moet worden aan toezichthouder (eventueel betrokkenen), dan moet de MELDER
dit doen.
6. DocumenterenDe informatie die in de voorafgaande stappen is ingewonnen of ontstaan (bijvoorbeeld CBP-meldingsnummer, afschrift melding, brief aan betrokkenen) moeten worden gearchiveerd door MELDER.
www.privacycompany.eu
1 Ontdekken
1. Personeel moet getraind zijn op het herkennen van een datalek en het inzetten van het daarbij behorende proces.
2. De ONTDEKKER wint als eerste informatie over het datalek in:
www.privacycompany.eu
1 Ontdekken2
• Een feitelijke beschrijving van het datalek in kwestie (wat is er precies gebeurd?)
• Welke (typen) persoonsgegevens zijn gelekt?
• Hoeveel personen zijn betrokken bij het datalek betrokken?
• Kan de groep betrokkenen worden beschreven? (klanten, 65+ers, asielzoekers, kinderen etc.)
• Wat is de oorzaak van het datalek?
• Wanneer heeft het datalek plaatsgevonden?
• Zijn er klantnummers of contactgegevens van getroffen klant(en) zodat deze (eventueel) in kennis gesteld kunnen worden van het datalek.
• Verstrek eigen contactgegevens (van ONTDEKKER dus) in verband met nadere informatie.
www.privacycompany.eu
2 Inventariseren
Een deel van deze informatie wordt (hopelijk) door ontdekker verstrekt. Een deel door technicus. Een deel moet melder zelf d.m.v. kwalificatie verkrijgen.
Samenvatting van het incident
Aantal betrokkenen bij de inbreuk
Omschrijving van de groep betrokkenen
Datum/periode van de inbreuk
Aard van de inbreuk
Type persoonsgegevens in kwestie
Mogelijke gevolgen voor de persoonlijke levenssfeer van betrokkenen
Wordt het datalek aan betrokkenen gemeld? Hoe? Inhoud melding?
Waarom wordt het lek niet aan betrokkenen gemeld?
Heeft de inbreuk betrekking op personen in andere EU-landen?
Technische en organisatorische maatregelen ter aanpak inbreuk en voorkoming verdere inbreuk. (Hierin ligt besloten dat de oorzaak bekend moet zijn)
Zijn de gegevens onbegrijpelijk voor degenen die er kennis van kunnen hebben genomen? Hoe?
www.privacycompany.eu
3 Beoordelen
Een datalek moet gemeld worden bij de AutoriteitPersoonsgegevens indien het:
‘leidt tot de aanzienlijke kans op ernstige nadelige gevolgendan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.’ (art 34a Wbp)
Of een melding vervolgens gedaan moet worden aanbetrokkenen is een afweging die je zelf moet maken.
Let op! Stel tenminste vast of je überhaupt moet melden! Ben je verantwoordelijke? Of bewerker?
www.privacycompany.eu
3 beoordelen2
‘De verantwoordelijke, stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.’
Bijv: onrechtmatige publicatie, aantasting van eer en goede naam, (identiteits)fraude of discriminatie
Of een melding vervolgens gedaan moet worden aanbetrokkenen is een afweging die je zelf moet maken.
www.privacycompany.eu
3 beoordelen3
Bron: Beleidsregels meldplicht datalekken p. 5
www.privacycompany.eu
3 Beoordelen5
MELDER moet beoordelen:
• Of het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens(art. 34a lid 1 Wbp)
• “Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.”
• Of het datalek gemeld moet worden aan betrokkenen(art. 34a lid 2 Wbp)
• Invulling door beleidsregels (verschenen 9-12-2015): https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf. Let op! In de loop van 2017, of wanneer het aantal ontvangen meldingen daar aanleiding toe geeft, zullen de beleidsregels worden geëvalueerd en waar nodig aangepast (inclusief consultatie)
www.privacycompany.eu
Gevoelige persoonsgegevens• Bijzondere persoonsgegevens• Financiële gegevens• Gegevens die kunnen leiden tot
stigmatisering of uitsluiting• Inloggegevens• Risico op(identiteits)fraude (ook
BSN!)• Gegevens uit DNA databanken• Gegevens die onderworpen zijn
aan geheimhouding / beroepsgeheim
In deze gevallen sowieso melden!
3 Beoordelen4
Andere factoren• Omvangrijke verwerkingen zoals bij de
overheid (ketens)
• Hoeveelheid betrokkenen
• Hoeveelheid gelekte gegevens per
persoon
• Ingrijpende beslissingen worden
genomen met gegevens
• Kwetsbare groepen (kinderen, in blijf van
mijn lijf huis, gehandicapten)
• Niet-ethische hacks
Welke factoren weeg je mee?
www.privacycompany.eu
4 Repareren
Een datalek moet natuurlijk ook weer gedicht worden:
• IncidenteelAlleen de negatieve gevolgen voor de betrokkenen in het individuele geval beperken.
• StructureelDe negatieve gevolgen niet alleen voor de betrokkenen in het individuele geval beperken maar ook voor alle mogelijke betrokkenen.
• Vertel de Autoriteit Persoonsgegevens wat je doet!
www.privacycompany.eu
5 Melden
Melden bij Autoriteit Persoonsgegevens (als de informatie nagenoeg compleet is):
De inbreuk heeft (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.
En (zo nodig), bij betrokkenen:
De inbreuk waarschijnlijk ongunstige gevolgen zal hebbenvoor diens persoonlijke levenssfeer.
www.privacycompany.eu
5 Melden2
Hoe melden aan de Autoriteit Persoonsgegevens?• Onverwijld (72 uur, indien later motiveren)• Online portal (nog niet live)• Per fax
Hoe melden aan de betrokkene?• Onverwijld• Alle redelijke directe middelen (bijvoorbeeld e-mail, post, sms,
telefoon)• Niet: melden op een persoonlijk portaal (zoals een online
klantdossier) wat misschien niet steeds wordt bekeken(zorgvuldig en behoorlijk!).
• Ook: landelijk melden in de pers als onduidelijk is wie de betrokkenen zijn
www.privacycompany.eu
6 Documenteren
Alle informatie van de melding zelf moet opgenomen worden in het archief.
Het maakt hier bij niet uit of u:
- Een excel gebruikt
- Aansluit op reeds bestaande incidentmanagementsystemen
- Nieuwe software aanschaft
Bewaartermijn van de incidentoverzichten (protocolplicht)
• In beginsel minimaal 1 jaar.
• Hangt ook af van je eigen regels.
• Zie beleidsregels, p. 47.
www.privacycompany.eu
Aansprakelijkheid
• Bestuurders
• Let op! De verantwoordelijke is ook verantwoordelijk voor het handelen van zijn bewerkers. Verhaal kan wel bij contract geregeldworden.
• bewerkers of partners
• Voor hun eigen handelen
• Heel soms uw medewerkers
• Strafbare feiten
• Opzet of bewuste roekeloosheid (zware bewijslast voor werkgever)
www.privacycompany.eu
Beleidsregels handhaving
Art. 4
“Bij de afweging die ten grondslag ligt aan de inzet van handhavingsinstrumenten naar aanleiding van een bemiddelingsverzoek, handhavingsverzoek en/of klacht alsmede bij het instellen van ambtshalve onderzoek geeft de Autoriteit Persoonsgegevens prioriteit aan zaken waarbij het vermoeden heeft van:
a. ernstige overtredingen;
b. structurele overtredingen;
c. overtredingen die veel mensen treffen;
d. overtredingen waarbij de Autoriteit Persoonsgegevens door de inzet van handhavingsinstrumenten effectief verschil kan maken;
e. overtredingen die vallen binnen de (jaarlijkse) aandachtspunten die door de Autoriteit Persoonsgegevens bekend zijn gemaakt.”
www.privacycompany.eu
Boetemaxima
Regel Maximale
boete
Melding bij CBP, melding bij betrokkene, bijhouden overzicht
inbreuken (artikel 34a lid 1, lid 2, lid 7, lid 8 Wbp)
€ 500.000,-
Wijze van kennisgeving aan CBP en betrokkene (artikel 34a lid 3, lid 4,
lid 5 en lid 11)
€ 200.000,-
Niet-nakoming bindende aanwijzing (artikel 66 lid 5 Wbp) € 820.000,-
Medewerkingsplicht (inclusief leveren documenten en inzicht in
systemen) (artikel 5:20 Awb)
€ 820.000,-
www.privacycompany.eu
Toezicht en onderzoek
• De Autoriteit Persoonsgegevens kan eigen onderzoek instellen
(artikel 60 Wbp)• op grond van een klacht van een belanghebbende
• op eigen initiatief
• De Autoriteit Persoonsgegevens kan inlichtingen vorderen,
inzage vorderen in zakelijke gegevens, zaken en middelen
onderzoeken (waaronder computerapparatuur) en ruimtes
betreden, waaronder woningen. (artikel 61 lid 2 Wbp jo. 5:15 Awb)
• U bent verplicht alle gevraagde medewerking te verlenen
www.privacycompany.eu
Boetefactoren
Bij beoordeling van de
ernst van de
overtreding gelet op:
Rekening gehouden met: Eventueel rekening
gehouden met:
• Aard en omvang
overtreding
• Duur van de
overtreding• Impact op betrokkene
en/of maatschappij
• (financiële) voordeel
voor de overtreder
• Verwijtbaarheid
overtreder (aanzienlijk
indien opzet of ernstig
verwijtbare nalatigheid); in dit geval hoeft niet
eerst een bindende
aanwijzing te worden
gegeven
• Omstandigheden
waaronder
overtreding is
gepleegd en (financiële)
omstandigheden
overtreder
www.privacycompany.eu
Boetefactoren2
Boeteverhogende omstandigheden Boeteverlagende omstandigheden:
1. Eerdere (zelfde of vergelijkbare)
overtreding
2. Onderzoek toezichthouder
tegenwerken of belemmeren
3. geen boeteverhoging als de boete
is opgelegd wegens niet-
meewerken
1. Meer medewerking verlenen aan
de toezichthouder dan verplicht
2. Overtreding uit eigen beweging
beëindigd
3. Schadeloosstelling ‘slachtoffer(s)’
• Bij meerdere overtredingen kan een boete voor alle overtredingen gezamenlijk worden opgelegd
• Bij verwijtbaarheid van de overtreder (opzet, ernstige nalatigheid)• Nadat een bindende aanwijzing niet is opgevolgd
www.privacycompany.eu
Het college mag handhavingsbesluiten openbaar maken. Ziehiervoor de beleidsregels actieve openbaarmaking:
http://wetten.overheid.nl/BWBR0034173/geldigheidsdatum_04-12-2015#4
Openbaarmaking
www.privacycompany.eu
Aandachtspunten
• Uitvoering
• Voer een goede administratie
• Leg een overzicht met standaardinformatie aan (data inventarisatie)
• Vergeet de bewerkersovereenkomsten niet!
• Proces
• Zorg voor een adequate interne melding
• Maak rollen en verantwoordelijkheden duidelijk!
• Start voor 1-1-2016 met tenminste een plan
www.privacycompany.eu
Plan de campagne
Data inventarisatie
•Wat heb je? •Hoeveel heb je?•Wie spreek je aan?•Waar heb je het? (systeem & locatie)•Waarom heb je het?•Met wie deel je het? (verantwoordelijke)•Van wie krijg je het? (bewerker)
www.privacycompany.eu
Plan de campagne2
Inventariseer:
•Wie je nodig hebt om het proces op orde te krijgen(stakeholders)
•Welke interne informatieprocessen moeten wordeningericht
•Welke informatie in- en extern gecommuniceerdmoet worden
www.privacycompany.eu
Plan de campagne3: Bewerkersovereenkomst
• Bevat minstens een clausule over lekken
• Kan een clausule bevatten die regelt dat de bewerker de melding doet.
• De verantwoordelijke blijft verantwoordelijk voor het geheel, dus ook voor de
melding.
• Bevat afspraken over informatieverstrekking
• Wijze waarop informatie zal worden verstrekt (protocol/documentatieplicht)
• Termijnen waarbinnen informatie zal worden verstrekt
• Bevat afspraken over eigen mogelijkheden tot inzage in de systemen van de bewerker
(audits)
• Bevat eventueel boetes voor het nalaten van de melding aan de verantwoordelijke
• Bevat afspraken over passende technische en organisatorische maatregelen
• Als de bewerker in het buitenland is gevestigd moet hij zorgen voor compliance in dat
land. Ook wat betreft lekken!
www.privacycompany.eu
Plan de campagne4: Crisiscommunicatie
Tijdstip:• 100% betrouwbare en valide informatie• Officieel persmoment • Leg uit wat je gaat doen (tussen nu en persmoment) en hoe je dit gaat doen• Zorg voor juiste, tijdige (snelle) proportionele en begrijpelijke informatie
Reden:• ‘ Daar kan ik geen mededeling over doen’ is geen goed antwoord• Zorg dat bij meerdere betrokken partijen een partij de woordvoering doet en
communiceer wie dat is• Leg uit waarom je iets niet kunt vertellen (bijvoorbeeld omdat er nog onderzoek
gedaan moet worden)• Kweek begrip!
Uitleg:• Waarom ga je x, y en z doen?• Als iets een standaardprocedure is, zeg dat dan, dat neemt onzekerheid weg
www.privacycompany.eu
Plan de campagne5: Crisiscommunicatie2
Wat leg je klaar?
Standaard reactie van directie / raad van bestuur / managerVoor:
• Betrokkenen• Aandeelhouder• Ondernemingsraad• Pers
Praktisch• Brieven (weet ook waar je ze snel kan laten printen)• Website die snel kan worden opgetuigd• Telefoonnummer voor vragen• Instructies voor klantenservice
• Webcare• Call Center
www.privacycompany.eu
Plan de campagne6
Met andere woorden
Wees voorbereid!
www.privacycompany.eu
Aanbevelingen
Onderwerp Aanbeveling
Data inventarisatie Breng gegevens in kaart Wat wordt verwerkt? Met welk doel? Bewaartermijn? Door wie en voor wie?
Bewaartermijnen Stel beleid op Breng privacybeleid en informatiebeleid op één lijn
Toegang en autorisaties Zorg voor beleid omtrent toegang en autorisaties Zorg voor geheimhouding Zorg voor beleid omtrent autorisaties
Informatie Zorg voor privacy statements
Rechten Informeer betrokkenen duidelijk over de uitoefening van hun rechten Zorg voor een duidelijk aanspreekpunt binnen de woningcorporatie Realiseer waar nodig rechten in een eigen online dossier
Meldplicht datalekken Start de implementatie van het meldplichtproces Zorg voor beleid Maak afspraken met alle derde partijen (leveranciers)
Dataminimalisatie Vraag niet wat je niet nodig hebt Let op bij de verwerking van gevoelige en bijzondere gegevens
Awareness Zet de meldplicht datalekken en de AVG intern op de agenda Probeer privacy in te bedden in het collectieve bewustzijn van de organisatie,
eventueel door training Neem privacy mee bij een jaarlijkse audit
www.privacycompany.eu
Meer weten?
• Nee hoor, ik weet alles nu, maar mijn collega’s nog niet:
Avondsessie meldplicht datalekken: http://www.cibit.nl/nl/ict-opleidingen/meldplicht-datalekken-avondsessie/
• Ik wil graag weten hoe ik dit in mijn organisatie kan inbedden (ooktechnisch):
Cursus meldplicht datalekken in de praktijk (met Cibit Docent Mark Tissink MSc RE CISSP CISA) http://www.cibit.nl/nl/ict-opleidingen/cursus-meldplicht-datalekken-in-de-praktijk/
www.privacycompany.eu
Vragen?