Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
Juridishce aspecten van privacy, spam, cookies, e-commerce,online wedstrijden, bescherming van intellectuele eigendom, vergelijkende reclame, gebruik van adwords, etc...
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
Juridishce aspecten van privacy, spam, cookies, e-commerce,online wedstrijden, bescherming van intellectuele eigendom, vergelijkende reclame, gebruik van adwords, etc...
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
Beveiliging van persoonsgegevens, meldplicht datalekken, big data & profilering staan dit jaar opnieuw hoog op de agenda van onze privacytoezichthouder. Daarnaast wordt alsmaar benadrukt dat organisaties in onze data driven samenleving de verantwoordelijkheid hebben om zorgvuldig met data om te gaan én dat de consument het recht heeft goed en volledig geïnformeerd te worden. Hoe zorgt u als organisatie dat u daaraan voldoet? Waartoe bent u op basis van privacywetgeving verplicht? Sabine Straver, jurist bij DDMA, vertelt wat dit voor uw organisatie betekent.
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
In dit document kunt u lezen waarom de nieuwe privacywetgeving per 1-1-2016 geen exclusief "ICT feestje" is maar dat het veel belangrijke disciplines binnen organisaties raakt.
Wat is de inhoud en betekenis van de Algemene Verordening Gegevensbescherming (GDPR) voor uw bedrijf en welke stappen zijn nodig om compliant te zijn tegen mei 2018? Sirius Legal geeft u een bevattelijk overzicht.
Presentatie over de nieuwe Privacywet AVG bij Byte internet.
Alles wat je moet weten over de "General Data Protection Regulation".
Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Dit is de Europese wetgeving waarin de bescherming van persoonsgegevens geregeld wordt.
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
Wat is de impact van #gdpr en #privacy op uw bedrijf? Wat is er nodig om uw bedrijf GDPR compliant te maken tegen mei 2018? Hoe verloopt een GDPR compliancy traject binnen uw onderneming? Antwoorden hierop probeert het team van advocatenkantoor Sirius Legal u te geven in deze presentatie
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
Beveiliging van persoonsgegevens, meldplicht datalekken, big data & profilering staan dit jaar opnieuw hoog op de agenda van onze privacytoezichthouder. Daarnaast wordt alsmaar benadrukt dat organisaties in onze data driven samenleving de verantwoordelijkheid hebben om zorgvuldig met data om te gaan én dat de consument het recht heeft goed en volledig geïnformeerd te worden. Hoe zorgt u als organisatie dat u daaraan voldoet? Waartoe bent u op basis van privacywetgeving verplicht? Sabine Straver, jurist bij DDMA, vertelt wat dit voor uw organisatie betekent.
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
In dit document kunt u lezen waarom de nieuwe privacywetgeving per 1-1-2016 geen exclusief "ICT feestje" is maar dat het veel belangrijke disciplines binnen organisaties raakt.
Wat is de inhoud en betekenis van de Algemene Verordening Gegevensbescherming (GDPR) voor uw bedrijf en welke stappen zijn nodig om compliant te zijn tegen mei 2018? Sirius Legal geeft u een bevattelijk overzicht.
Presentatie over de nieuwe Privacywet AVG bij Byte internet.
Alles wat je moet weten over de "General Data Protection Regulation".
Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Dit is de Europese wetgeving waarin de bescherming van persoonsgegevens geregeld wordt.
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
Wat is de impact van #gdpr en #privacy op uw bedrijf? Wat is er nodig om uw bedrijf GDPR compliant te maken tegen mei 2018? Hoe verloopt een GDPR compliancy traject binnen uw onderneming? Antwoorden hierop probeert het team van advocatenkantoor Sirius Legal u te geven in deze presentatie
Minicongres over privacy en de meldplicht datalekken waarin de volgende onderwerpen aan bod kwamen:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen om te voldoen aan de Wbp?
Vanaf 25 mei 2018 zullen organisaties moeten kunnen aantonen dat ze voldoen aan de eisen van de privacy wetgeving van de GDPR of AVG privacy wet een nieuwe, strengere, gegevensbeschermingswet.
2. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Agenda
> Bespreking van de nieuwe wet: meldplicht datalekken
– Aanleiding en herkomst
– Inhoud van de nieuwe wetgeving
– Sancties
> Tips en tricks voor uw bedrijf
> Overige ontwikkelingen
– Europese Privacyverordening
2
3. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Quizvraag 1: Welke instantie gaat handhaven en
boetes uitdelen?
A) De Autoriteit Consument & Markt (ACM)
B) Het College bescherming persoonsgegevens (Cbp)
C) De Autoriteit Financiële Markten (AFM)
3
4. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Quizvraag 2: U doet geen (tijdige) melding van een
datalek. Hoe hoog is de boete maximaal?
A) 10 % van de jaaromzet
B) € 450.000,-
C) € 810.000,-
D) € 810.000,-, of 10% van de jaaromzet als dat bedrag
hoger is
4
5. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Herkomst en aanleiding
> Aanleiding voor de nieuwe wet?
> Een groot aantal incidenten:
– LinkedIn: 6,5 miljoen wachtwoorden op straat
– Sony Playstation network: miljoenen
gebruikersgegevens (EUR 300.000 boete)
– Groene Hart Ziekenhuis lekt patiëntgegevens (geen
versleuteling, wachtwoord was ‘groen2000’)
– KPN: publicatie van 539 klantgegevens door hack
– https://www.bof.nl/category/zwartboek-datalekken/
5
6. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Doel van de meldplicht
> Preventief: het voorkomen van datalekken
> Repressief: het beperken van de gevolgen
> Meldplicht moet bijdragen aan behoud en herstel van
vertrouwen in omgang met persoonsgegevens
6
7. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Bestaande wettelijke meldplichten
> Meldplicht voor internet providers (XS4ALL, ZIGGO)
> Meldplicht voor telecom providers (KPN, T-mobile,
Vodafone)
– KPN op 16 december 2013 beboet door ACM voor een
bedrag van € 364.000,-
> Meldplicht (incidenten) voor financiële aanbieders
(ABN AMRO, ING Bank)
7
8. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Introductie ‘brede’ meldplicht datalekken
> Meldplicht voor zowel bedrijven als de overheid
> Meldplicht geïmplementeerd in de Wet bescherming
persoonsgegevens
> De meldplicht ziet dus op persoonsgegevens
8
9. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Wat zijn persoonsgegevens?
> Artikel 1 (a) Wbp:
> persoonsgegeven: elk gegeven betreffende een
geïdentificeerde of identificeerbare natuurlijke
persoon;
> Data die direct of indirect herleidbaar is tot een
persoon
9
10. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Directe persoonsgegevens
> Naam [Piet Jansen]
> Emailadres [PietJansen@...]
> Postcode? Nee
> Postcode + huisnummer? Ja
10
11. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Indirecte persoonsgegevens
> Naam eenmanszaak en KvK-nummer
> En ook de winst van eenmanszaak
> Sofinummer
> DNA-profiel
> Mobiel telefoonnummer
> Kenteken van auto
> Foto’s
> IP-adres
11
12. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Scope van de meldplicht datalekken
> Het moet dus gaan om tot een persoon herleidbare
gegevens (persoonsgegevens)
> Een persoon is identificeerbaar als de identiteit zonder
onevenredige inspanning kan worden vastgesteld
> Out of scope:
– Objectgegevens
– Technische gegevens
– En alle andere (big) data die niet herleidbaar zijn tot een
persoon
12
13. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Wie is meldplichtig?
> ‘Verantwoordelijke’ in de zin van de Wbp:
natuurlijke persoon, rechtspersoon of ieder ander die of het
bestuursorgaan dat, alleen of te zamen met anderen, het
doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt
13
14. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Wie is meldplichtig?
> Bewerker is:
degene die ten behoeve van de verantwoordelijke
persoonsgegevens verwerkt, zonder aan zijn rechtstreeks
gezag te zijn onderworpen
> Voorbeeld: ICT dienstverlener, hosting provider
> Soms is onderscheid niet helder
> Pas op voor gezamenlijke verantwoordelijkheid
14
15. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Wie is meldplichtig?
15
Bewerkersovereenkomst
Verantwoordelijke Bewerker
Onderneming ICT-dienstverlener
16. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Wat is een datalek?
> Volgens de Memorie van Toelichting bij de wet:
In dit wetsvoorstel wordt een meldplicht geïntroduceerd in
de Wet bescherming persoonsgegevens (hierna: Wbp) voor
verantwoordelijken voor de verwerking van
persoonsgegevens in geval van gebleken doorbrekingen
van de getroffen maatregelen ter beveiliging van
persoonsgegevens.
16
17. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Wat is een datalek?
> Artikel 34a lid 1 Wbp:
een inbreuk op de beveiliging, bedoeld in artikel 13 die leidt
tot de aanzienlijke kans op ernstige nadelige gevolgen dan
wel ernstige nadelige gevolgen heeft voor de bescherming
van persoonsgegevens;
17
18. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Wat is een datalek?
> Voorbeelden
– Inbraak in databestand door hacker
– Kwijtraken of vergeten USB-stick
– Geen of geringe beveiliging (slordig wachtwoordbeheer)
– Diefstal van een laptop/mobiel
– Maar ook diefstal van papieren gegevens
– Dus online en offline datalekken
18
19. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Wat is een datalek?
> Meldplicht gekoppeld aan artikel 13 Wbp:
De verantwoordelijke legt passende technische en
organisatorische maatregelen ten uitvoer om
persoonsgegevens te beveiligen tegen verlies of tegen
enige vorm van onrechtmatige verwerking. Deze
maatregelen garanderen, rekening houdend met de stand
van de techniek en de kosten van de tenuitvoerlegging, een
passend beveiligingsniveau gelet op de risico's die de
verwerking en de aard van te beschermen gegevens met
zich meebrengen. De maatregelen zijn er mede op gericht
onnodige verzameling en verdere verwerking van
persoonsgegevens te voorkomen.
19
20. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Open normen
Om persoonsgegevens te beveiligen moet de
verantwoordelijke:
(i) passende technische en organisatorische
maatregelen nemen;
(ii) meegaan met de stand van de techniek;
(iii) een passend beveiligingsniveau hebben.
20
21. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Tussenstand meldplicht datalekken
> Verantwoordelijke
> Persoonsgegevens
> Inbreuk op een beveiliging
> Passende technische en organisatorische maatregelen
> Maar nu, een datalek, wat te doen
– Hoe meld ik?
– Aan wie meld ik?
– Wat moet ik melden?
21
22. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: aan wie en wanneer melden?
> Artikel 34a lid 1 Wbp:
De verantwoordelijke stelt het College onverwijld in kennis
van een inbreuk op de beveiliging, bedoeld in artikel 13, die
leidt tot de aanzienlijke kans op ernstige nadelige
gevolgen dan wel ernstige nadelige gevolgen heeft voor
de bescherming van persoonsgegevens.
22
23. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: aan wie en wanneer melden?
> Onverwijld melden bij het Cbp (advies = 24 uur)
> Aard en omvang van het datalek van belang
> Soort persoonsgegevens (alleen namen, of
medische/strafrechtelijke gegevens)
> Voorbeelden MvT:
– zoekraken USB-stick met ledenbestand kleine sportclub
(niet melden)
– Lek belastingdienst over wanbetalers (melden)
– Cbp moet richtsnoeren opstellen om nodeloze
meldingen te voorkomen
23
24. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: ook aan betrokkene melden?
> Artikel 34a lid 2 Wbp:
De verantwoordelijke, bedoeld in het eerste lid, stelt de
betrokkene onverwijld in kennis van de inbreuk, bedoeld in
het eerste lid, indien de inbreuk waarschijnlijk ongunstige
gevolgen zal hebben voor diens persoonlijke levenssfeer.
24
25. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: ook aan betrokkene melden?
> Ja, bij kans op grote inbreuk op diens privacy:
– Datalek van gegevens belastingdienst over wanbetalers
(financiële gevolgen);
– Medische patiëntgegevens op straat (leidt tot
doorbreking geheimhoudingsplicht);
– Strafrechtelijke persoonsgegevens (problemen bij
rehabilitatie, solliciteren);
– Persoonsgegevens met betrekking tot bankrekeningen
en krediet
25
26. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: melden aan Cbp en/of
betrokkene?
> Verantwoordelijke dient zelf in te schatten of enkel
aan Cbp of ook aan betrokkene moet worden gemeld
> Hangt af van inbreuk op privacy van de betrokkene
> Indien enkel aan Cbp wordt gemeld, kan Cbp alsnog
verzoeken dat ook wordt gemeld aan de betrokkene
26
27. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: inhoud van de melding?
> Artikel 34a lid 3 Wbp:
> De kennisgeving aan het College en de betrokkene
omvat in ieder geval:
– de aard van de inbreuk (Hack of verlies? Soort data?);
– de instanties waar meer informatie over de inbreuk kan
worden verkregen (verantwoordelijke of
(sub)bewerker); en
– de aanbevolen maatregelen om de negatieve gevolgen
van de inbreuk te beperken.
27
28. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: inhoud van de melding?
> Artikel 34a lid 4 Wbp
> Aanvullende informatie aan Cbp verstrekken
> De kennisgeving aan het College omvat tevens:
– een beschrijving van de geconstateerde en de
vermoedelijke gevolgen van de inbreuk voor de
verwerking van persoonsgegevens; en
– de maatregelen die de verantwoordelijke heeft
getroffen of voorstelt te treffen om deze gevolgen te
verhelpen.
28
30. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: hoe melden aan betrokkene?
> Een eenvoudige meldingswijze (aldus MvT)
> Die een behoorlijke en zorgvuldige
informatievoorziening waarborgt
> Afhankelijk van omvang
> Advertentie in dagblad
> Persoonlijk benaderen
30
31. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: uitzondering
> Artikel 34a lid 6 Wbp:
> Geen melding doen aan betrokkene als:
de verantwoordelijke passende technische
beschermingsmaatregelen heeft genomen waardoor de
persoonsgegevens die het betreft onbegrijpelijk of
ontoegankelijk zijn voor eenieder die geen recht heeft op
kennisname van de gegevens.
31
32. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: overzicht bijhouden
> Artikel 34a lid 8 Wbp:
> Verantwoordelijke is verplicht een overzicht bij te
houden van alle datalekken
> Deze ‘protocolplicht’ is bedoeld ter ondersteuning van
het interne en externe toezicht
32
33. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Meldplicht datalekken: overzicht bijhouden
> Overzicht datalekken bevat in ieder geval:
– Feiten en gegevens omtrent de aard van de inbreuk (zie
inhoud van de melding hiervoor besproken); en
– de tekst van de kennisgeving aan de betrokkene
> Advies: kennisgeving aan Cbp en betrokkenen
bewaren in overzicht
33
34. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Sancties: schending meldplicht
> Melding niet gedaan, niet tijdig gedaan of niet gedaan
in overeenstemming met de Wbp?
> Sancties:
> Boetbevoegdheid Cbp
> Maximumboete van EUR 810.000,-
> 10% van de jaaromzet
> Dus, tijd voor de tips en tricks!
34
35. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Tips & Tricks: Datalekprotocol
> Inventariseer waar in uw onderneming welke
gegevens worden verwerkt
> Let op onderscheid gegevens en (bijzondere)
persoonsgegevens
> Inventariseer de mogelijke risico’s van verlies van
gegevens (medische gegevens/bankgegevens?)
> Stel een datalekprotocol (actieplan) op
> Zorg voor een beslismodel in uw organisatie
35
36. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Tips & Tricks - Datalekprotocol
1. Stel een datalekken-team samen (privacy officer,
technology officer, compliance officer, legal, PR-
communications)
2. Datalek wordt gemeld aan het team (door bewerker)
3. Team meldt datalek aan verantwoordelijke
bestuurder
4. Team datalekken vangt direct aan met onderzoek
36
37. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Tips & Tricks - Datalekprotocol
> Zorg voor training van het team in de uitvoering van
het actieplan.
> Evalueer datalekprotocol na ieder incident en verbeter
(indien nodig)
> Is er sprake van een hack? Strafbaar feit (artikel 138 ab
Sr). Aangifte bij de politie.
37
38. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Tips & Tricks - Overige
> Beveilig (draagbare) apparatuur die voor opslag van
persoonsgegevens wordt gebruikt
> Creëer beleid (hotmail, dropbox, BYOD)
> Kortom, voer strikt beleid en beveilig data.
38
39. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Tips & Tricks - Juridisch
> Juridische actiepunten ivm meldplicht:
1. Check: bent u verantwoordelijke of bewerker?
2. Check uw overeenkomsten
3. Bent u meldplichtig als bewerker/verantwoordelijke
4. Is de (sub)bewerker contractueel verplicht te
melden?
5. Is er een bewerkersovereenkomst
6. Is de aansprakelijkheid beperkt/verlegd?
7. Neem een tijdslimiet op (binnen 24 uur)
39
40. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Quizvraag: wanneer treedt de meldplicht in werking?
A) De meldplicht datalekken geldt al
B) 1 januari 2016
C) 1 januari 2017
D) 1 januari 2018
40
41. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Europese privacyverordening: meldplicht datalekken
> Recente ontwikkeling
> Op 15 juni 2015 is een ‘general approach’ bereikt
> Volgens oude voorstel privacyverordening:
– Ieder datalek van persoonsgegevens melden (ongeacht
gevolgen daarvan); en
– Binnen 24 uur;
– Boete van 100 miljoen of 5% van de jaaromzet
41
42. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Europese privacyverordening: meldplicht datalekken
> ‘general approach’ versoepelt EU-Verordening
> Meer in lijn met Nederlandse meldplicht datalekken
> ‘Business-friendly’ approach
> Niet langer iedere datalek melden
> En binnen 72 uur
> Boete van 1 miljoen of 2% van de jaaromzet
> Ook een meldplicht voor de bewerker
42
43. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Europese privacyverordening: meldplicht datalekken
In the case of a personal data breach which is likely to result in
a high risk for the rights and freedoms of individuals, such as
discrimination, identity theft or fraud, financial loss,
unauthorized reversal of pseudonymisation, damage to the
reputation, loss of confidentiality of data protected by
professional secrecy or any other significant economic or social
disadvantage, the controller shall without undue delay and,
where feasible, not later than 72 hours after having become
aware of it, notify the personal data breach to the supervisory
authority competent in accordance with Article 51. The
notification to the supervisory authority shall be accompanied
by a reasoned justification in cases where it is not made within
72 hours.
43
44. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Europese privacyverordening: meldplicht datalekken
> Tekst is nog niet definitief
> Naar verwachting in werking in 2017
> Check of uw privacybeleid dan nog volstaat
> Tot die tijd: de Meldplicht Datalekken
> Voorkom een boete en beveilig uw data goed!
44
45. Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Dank voor uw aandacht!
45
Jan Brölmann
(t) 020 3017379
(e) brolmannj@eu.gtlaw.com