WeSecure Data Security Congres: Meldplicht Datalekken

G R E E N B E R G T R A U R I G , L L P | A T T O R N E Y S A T L A W | W W W . G T L A W . C O M
©2014 Greenberg Traurig, LLP. All rights reserved.
De meldplicht datalekken
Wat zijn de gevolgen voor uw
onderneming en IT afdeling?
Data Security Congres – 18 juni 2015
mr. Jan Brölmann| brolmannj@eu.gtlaw.com | 020 30 17 379

Title of PresentationGreenberg Traurig, LLP | gtlaw.com
Agenda
> Bespreking van de nieuwe wet: meldplicht datalekken
– Aanleiding en herkomst
– Inhoud van de nieuwe wetgeving
– Sancties
> Tips en tricks voor uw bedrijf
> Overige ontwikkelingen
– Europese Privacyverordening
2

Quizvraag 1: Welke instantie gaat handhaven en
boetes uitdelen?
A) De Autoriteit Consument & Markt (ACM)
B) Het College bescherming persoonsgegevens (Cbp)
C) De Autoriteit Financiële Markten (AFM)
3

Quizvraag 2: U doet geen (tijdige) melding van een
datalek. Hoe hoog is de boete maximaal?
A) 10 % van de jaaromzet
B) € 450.000,-
C) € 810.000,-
D) € 810.000,-, of 10% van de jaaromzet als dat bedrag
hoger is
4

Herkomst en aanleiding
> Aanleiding voor de nieuwe wet?
> Een groot aantal incidenten:
– LinkedIn: 6,5 miljoen wachtwoorden op straat
– Sony Playstation network: miljoenen
gebruikersgegevens (EUR 300.000 boete)
– Groene Hart Ziekenhuis lekt patiëntgegevens (geen
versleuteling, wachtwoord was ‘groen2000’)
– KPN: publicatie van 539 klantgegevens door hack
– https://www.bof.nl/category/zwartboek-datalekken/
5

Doel van de meldplicht
> Preventief: het voorkomen van datalekken
> Repressief: het beperken van de gevolgen
> Meldplicht moet bijdragen aan behoud en herstel van
vertrouwen in omgang met persoonsgegevens
6

Bestaande wettelijke meldplichten
> Meldplicht voor internet providers (XS4ALL, ZIGGO)
> Meldplicht voor telecom providers (KPN, T-mobile,
Vodafone)
– KPN op 16 december 2013 beboet door ACM voor een
bedrag van € 364.000,-
> Meldplicht (incidenten) voor financiële aanbieders
(ABN AMRO, ING Bank)
7

Introductie ‘brede’ meldplicht datalekken
> Meldplicht voor zowel bedrijven als de overheid
> Meldplicht geïmplementeerd in de Wet bescherming
persoonsgegevens
> De meldplicht ziet dus op persoonsgegevens
8

Wat zijn persoonsgegevens?
> Artikel 1 (a) Wbp:
> persoonsgegeven: elk gegeven betreffende een
geïdentificeerde of identificeerbare natuurlijke
persoon;
> Data die direct of indirect herleidbaar is tot een
persoon
9

Directe persoonsgegevens
> Naam [Piet Jansen]
> Emailadres [PietJansen@...]
> Postcode? Nee
> Postcode + huisnummer? Ja
10

Indirecte persoonsgegevens
> Naam eenmanszaak en KvK-nummer
> En ook de winst van eenmanszaak
> Sofinummer
> DNA-profiel
> Mobiel telefoonnummer
> Kenteken van auto
> Foto’s
> IP-adres
11

Scope van de meldplicht datalekken
> Het moet dus gaan om tot een persoon herleidbare
gegevens (persoonsgegevens)
> Een persoon is identificeerbaar als de identiteit zonder
onevenredige inspanning kan worden vastgesteld
> Out of scope:
– Objectgegevens
– Technische gegevens
– En alle andere (big) data die niet herleidbaar zijn tot een
persoon
12

Wie is meldplichtig?
> ‘Verantwoordelijke’ in de zin van de Wbp:
natuurlijke persoon, rechtspersoon of ieder ander die of het
bestuursorgaan dat, alleen of te zamen met anderen, het
doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt
13

> Bewerker is:
degene die ten behoeve van de verantwoordelijke
persoonsgegevens verwerkt, zonder aan zijn rechtstreeks
gezag te zijn onderworpen
> Voorbeeld: ICT dienstverlener, hosting provider
> Soms is onderscheid niet helder
> Pas op voor gezamenlijke verantwoordelijkheid
14

15
Bewerkersovereenkomst
Verantwoordelijke Bewerker
Onderneming ICT-dienstverlener

Wat is een datalek?
> Volgens de Memorie van Toelichting bij de wet:
In dit wetsvoorstel wordt een meldplicht geïntroduceerd in
de Wet bescherming persoonsgegevens (hierna: Wbp) voor
verantwoordelijken voor de verwerking van
persoonsgegevens in geval van gebleken doorbrekingen
van de getroffen maatregelen ter beveiliging van
persoonsgegevens.
16

Wat is een datalek?
> Artikel 34a lid 1 Wbp:
een inbreuk op de beveiliging, bedoeld in artikel 13 die leidt
tot de aanzienlijke kans op ernstige nadelige gevolgen dan
wel ernstige nadelige gevolgen heeft voor de bescherming
van persoonsgegevens;
17

Wat is een datalek?
> Voorbeelden
– Inbraak in databestand door hacker
– Kwijtraken of vergeten USB-stick
– Geen of geringe beveiliging (slordig wachtwoordbeheer)
– Diefstal van een laptop/mobiel
– Maar ook diefstal van papieren gegevens
– Dus online en offline datalekken
18

Wat is een datalek?
> Meldplicht gekoppeld aan artikel 13 Wbp:
De verantwoordelijke legt passende technische en
organisatorische maatregelen ten uitvoer om
persoonsgegevens te beveiligen tegen verlies of tegen
enige vorm van onrechtmatige verwerking. Deze
maatregelen garanderen, rekening houdend met de stand
van de techniek en de kosten van de tenuitvoerlegging, een
passend beveiligingsniveau gelet op de risico's die de
verwerking en de aard van te beschermen gegevens met
zich meebrengen. De maatregelen zijn er mede op gericht
onnodige verzameling en verdere verwerking van
persoonsgegevens te voorkomen.
19

Open normen
Om persoonsgegevens te beveiligen moet de
verantwoordelijke:
(i) passende technische en organisatorische
maatregelen nemen;
(ii) meegaan met de stand van de techniek;
(iii) een passend beveiligingsniveau hebben.
20

Tussenstand meldplicht datalekken
> Verantwoordelijke
> Persoonsgegevens
> Inbreuk op een beveiliging
> Passende technische en organisatorische maatregelen
> Maar nu, een datalek, wat te doen
– Hoe meld ik?
– Aan wie meld ik?
– Wat moet ik melden?
21

Meldplicht datalekken: aan wie en wanneer melden?
De verantwoordelijke stelt het College onverwijld in kennis
van een inbreuk op de beveiliging, bedoeld in artikel 13, die
leidt tot de aanzienlijke kans op ernstige nadelige
gevolgen dan wel ernstige nadelige gevolgen heeft voor
de bescherming van persoonsgegevens.
22

Meldplicht datalekken: aan wie en wanneer melden?
> Onverwijld melden bij het Cbp (advies = 24 uur)
> Aard en omvang van het datalek van belang
> Soort persoonsgegevens (alleen namen, of
medische/strafrechtelijke gegevens)
> Voorbeelden MvT:
– zoekraken USB-stick met ledenbestand kleine sportclub
(niet melden)
– Lek belastingdienst over wanbetalers (melden)
– Cbp moet richtsnoeren opstellen om nodeloze
meldingen te voorkomen
23

Meldplicht datalekken: ook aan betrokkene melden?
De verantwoordelijke, bedoeld in het eerste lid, stelt de
betrokkene onverwijld in kennis van de inbreuk, bedoeld in
het eerste lid, indien de inbreuk waarschijnlijk ongunstige
gevolgen zal hebben voor diens persoonlijke levenssfeer.
24

Meldplicht datalekken: ook aan betrokkene melden?
> Ja, bij kans op grote inbreuk op diens privacy:
– Datalek van gegevens belastingdienst over wanbetalers
(financiële gevolgen);
– Medische patiëntgegevens op straat (leidt tot
doorbreking geheimhoudingsplicht);
– Strafrechtelijke persoonsgegevens (problemen bij
rehabilitatie, solliciteren);
– Persoonsgegevens met betrekking tot bankrekeningen
en krediet
25

Meldplicht datalekken: melden aan Cbp en/of
betrokkene?
> Verantwoordelijke dient zelf in te schatten of enkel
aan Cbp of ook aan betrokkene moet worden gemeld
> Hangt af van inbreuk op privacy van de betrokkene
> Indien enkel aan Cbp wordt gemeld, kan Cbp alsnog
verzoeken dat ook wordt gemeld aan de betrokkene
26

Meldplicht datalekken: inhoud van de melding?
> De kennisgeving aan het College en de betrokkene
omvat in ieder geval:
– de aard van de inbreuk (Hack of verlies? Soort data?);
– de instanties waar meer informatie over de inbreuk kan
worden verkregen (verantwoordelijke of
(sub)bewerker); en
– de aanbevolen maatregelen om de negatieve gevolgen
van de inbreuk te beperken.
27

Meldplicht datalekken: inhoud van de melding?
> Artikel 34a lid 4 Wbp
> Aanvullende informatie aan Cbp verstrekken
> De kennisgeving aan het College omvat tevens:
– een beschrijving van de geconstateerde en de
vermoedelijke gevolgen van de inbreuk voor de
verwerking van persoonsgegevens; en
– de maatregelen die de verantwoordelijke heeft
getroffen of voorstelt te treffen om deze gevolgen te
verhelpen.
28

Meldplicht datalekken: hoe melden bij Cbp?
29

Meldplicht datalekken: hoe melden aan betrokkene?
> Een eenvoudige meldingswijze (aldus MvT)
> Die een behoorlijke en zorgvuldige
informatievoorziening waarborgt
> Afhankelijk van omvang
> Advertentie in dagblad
> Persoonlijk benaderen
30

Meldplicht datalekken: uitzondering
> Geen melding doen aan betrokkene als:
de verantwoordelijke passende technische
beschermingsmaatregelen heeft genomen waardoor de
persoonsgegevens die het betreft onbegrijpelijk of
ontoegankelijk zijn voor eenieder die geen recht heeft op
kennisname van de gegevens.
31

Meldplicht datalekken: overzicht bijhouden
> Verantwoordelijke is verplicht een overzicht bij te
houden van alle datalekken
> Deze ‘protocolplicht’ is bedoeld ter ondersteuning van
het interne en externe toezicht
32

Meldplicht datalekken: overzicht bijhouden
> Overzicht datalekken bevat in ieder geval:
– Feiten en gegevens omtrent de aard van de inbreuk (zie
inhoud van de melding hiervoor besproken); en
– de tekst van de kennisgeving aan de betrokkene
> Advies: kennisgeving aan Cbp en betrokkenen
bewaren in overzicht
33

Sancties: schending meldplicht
> Melding niet gedaan, niet tijdig gedaan of niet gedaan
in overeenstemming met de Wbp?
> Sancties:
> Boetbevoegdheid Cbp
> Maximumboete van EUR 810.000,-
> 10% van de jaaromzet
> Dus, tijd voor de tips en tricks!
34

Tips & Tricks: Datalekprotocol
> Inventariseer waar in uw onderneming welke
gegevens worden verwerkt
> Let op onderscheid gegevens en (bijzondere)
persoonsgegevens
> Inventariseer de mogelijke risico’s van verlies van
gegevens (medische gegevens/bankgegevens?)
> Stel een datalekprotocol (actieplan) op
> Zorg voor een beslismodel in uw organisatie
35

Tips & Tricks - Datalekprotocol
1. Stel een datalekken-team samen (privacy officer,
technology officer, compliance officer, legal, PR-
communications)
2. Datalek wordt gemeld aan het team (door bewerker)
3. Team meldt datalek aan verantwoordelijke
bestuurder
4. Team datalekken vangt direct aan met onderzoek
36

Tips & Tricks - Datalekprotocol
> Zorg voor training van het team in de uitvoering van
het actieplan.
> Evalueer datalekprotocol na ieder incident en verbeter
(indien nodig)
> Is er sprake van een hack? Strafbaar feit (artikel 138 ab
Sr). Aangifte bij de politie.
37

Tips & Tricks - Overige
> Beveilig (draagbare) apparatuur die voor opslag van
persoonsgegevens wordt gebruikt
> Creëer beleid (hotmail, dropbox, BYOD)
> Kortom, voer strikt beleid en beveilig data.
38

Tips & Tricks - Juridisch
> Juridische actiepunten ivm meldplicht:
1. Check: bent u verantwoordelijke of bewerker?
2. Check uw overeenkomsten
3. Bent u meldplichtig als bewerker/verantwoordelijke
4. Is de (sub)bewerker contractueel verplicht te
melden?
5. Is er een bewerkersovereenkomst
6. Is de aansprakelijkheid beperkt/verlegd?
7. Neem een tijdslimiet op (binnen 24 uur)
39

Quizvraag: wanneer treedt de meldplicht in werking?
A) De meldplicht datalekken geldt al
B) 1 januari 2016
C) 1 januari 2017
D) 1 januari 2018
40

Europese privacyverordening: meldplicht datalekken
> Recente ontwikkeling
> Op 15 juni 2015 is een ‘general approach’ bereikt
> Volgens oude voorstel privacyverordening:
– Ieder datalek van persoonsgegevens melden (ongeacht
gevolgen daarvan); en
– Binnen 24 uur;
– Boete van 100 miljoen of 5% van de jaaromzet
41

> ‘general approach’ versoepelt EU-Verordening
> Meer in lijn met Nederlandse meldplicht datalekken
> ‘Business-friendly’ approach
> Niet langer iedere datalek melden
> En binnen 72 uur
> Boete van 1 miljoen of 2% van de jaaromzet
> Ook een meldplicht voor de bewerker
42

In the case of a personal data breach which is likely to result in
a high risk for the rights and freedoms of individuals, such as
discrimination, identity theft or fraud, financial loss,
unauthorized reversal of pseudonymisation, damage to the
reputation, loss of confidentiality of data protected by
professional secrecy or any other significant economic or social
disadvantage, the controller shall without undue delay and,
where feasible, not later than 72 hours after having become
aware of it, notify the personal data breach to the supervisory
authority competent in accordance with Article 51. The
notification to the supervisory authority shall be accompanied
by a reasoned justification in cases where it is not made within
72 hours.
43

> Tekst is nog niet definitief
> Naar verwachting in werking in 2017
> Check of uw privacybeleid dan nog volstaat
> Tot die tijd: de Meldplicht Datalekken
> Voorkom een boete en beveilig uw data goed!
44

Dank voor uw aandacht!
45
Jan Brölmann
(t) 020 3017379
(e) brolmannj@eu.gtlaw.com

WeSecure Data Security Congres: Meldplicht Datalekken

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to WeSecure Data Security Congres: Meldplicht Datalekken

Similar to WeSecure Data Security Congres: Meldplicht Datalekken (20)

WeSecure Data Security Congres: Meldplicht Datalekken