Post on 03-Jul-2020
PRIVACY
Mirjam Elferink en Martijn Kortier
advocaten IE, ICT & Privacy
13 mei 2014
• Lek in dropbox
• Ziekenhuis lekt gegevens 500.000 patiënten
• Betalingsverkeer Global Payments getroffen door datalek
• Rabobank lekt duizenden ondernemersrapporten
• Ernstig datalek ontdekt in KPN-modems
DATALEKKEN IN HET NIEUWS
2
1. Casus datalek
2. Wbp
3. Huidige en toekomstige wetgeving datalek meldplichten
4. Casus “preventie”
5. Wat betekent dit voor uw organisatie?
ONDERWERPEN
2
CASUS VOORAF: DATALEK NMBS: FOUT WERKNEMER
11
Persoonlijke gegevens van ca. 1,5 miljoen reizigers op straat. NAW-gegevens en e-mailadressen van mensen die inlichtingen hadden gevraagd of tickets hadden gekocht
•Lek sinds mei 2012
•Lek in december 2012 ontdekt
•Lek door menselijke fout!
Gegevens 25 miljoen gebruikers Playstation netwerk Sony gehackt.
Toegang tot namen, adressen, geboortedata, e-mailadressen, wachtwoorden en creditcardgegevens.
Hosting Playstation netwerk was uitbesteed aan hostingprovider.
DATALEK NMBS: FOUT WERKNEMER
12
•Werknemer moest twee lijsten van klanten van NMBS Europe samenbrengen en nieuwe lijst opslaan.
•
•Werknemer werkte niet via interne systeem, maar via het online systeem dat verbonden is met de website
•Werknemer drukt op verkeerde knop! Niet bestanden leeg gemaakt op onbeschermde server achter gelaten.
•Gegevens o.a. via Google te vinden
GEVOLGEN
12
•Bekendheid van het lek in de markt reputatieschade NMBS
•De Privacycommissie heeft 2.600 meldingen, vragen of klachten ontvangen.
•NMBS heeft in strijd gehandeld met privacywetgeving
•Aansprakelijkheidsclaims betrokkenen en NMBS?
Wat moet NMBS doen?
Alleen melding van:
Datalekken die ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens
MELDPLICHT BIJ DATALEKKEN, VERLIES OF MISBRUIK
4
Van toepassing bij verwerking van persoonsgegevens in het kader van activiteiten van een verantwoordelijke die een vestiging in Nederland heeft.
Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp
WET BESCHERMING PERSOONSGEGEVENS (WBP)
6
Persoonsgegeven:
Elk gegeven dat herleidbaar is tot een natuurlijke persoon (bijv. naam, mailadres, foto, maar soms óók: IP-adres).
Verwerking:
Elke handeling m.b.t. persoonsgegevens, van het moment van verzameling tot vernietiging. Ook opslag door cloud leverancier.
Verantwoordelijke:
Bepaalt doel en middel van de verwerking (bijv. de klant van de cloud service leverancier).
Bewerker:
“Verwerkt” persoonsgegevens ten behoeve van de verantwoordelijke; staat niet onder direct gezag van de verantwoordelijke (veelal cloud- of SaaS-dienstverlener).
BELANGRIJKE BEGRIPPEN UIT DE WBP
4
Verwerken:
-In overeenstemming met de wet
-op behoorlijke en zorgvuldige wijze.
Doeleinden:
Persoonsgegevens mogen slechts worden verwerkt
voor welbepaalde,
- uitdrukkelijk omschreven en
- gerechtvaardigde doeleinden
UITGANGSPUNTEN WBP
4
Verwerkingsgrondslagen:
- ondubbelzinnige toestemming
- noodzakelijk uitvoering overeenkomst
- noodzakelijk ivm wettelijke verplichting
- noodzakelijk ter vrijwaring vitaal belang betrokkene
-noodzakelijk goede vervulling publiekrechtelijk taak (igv bestuursorgaan)
-gerechtvaardigd belang verantwoordelijke/derde tenzij fundamentele rechten en vrijheden zich tegen verwerking verzet.
UITGANGSPUNTEN WBP
4
Overige uitgangspunten
-Niet langer bewaren dan noodzakelijk voor doeleinden
-Geheimhoudingsplicht
-Beveiligingsplicht
-Bewerker en bewerkersovereenkomst
-Bijzondere persoonsgegevens
-Meldplicht CBP
-Informatieverstrekking aan betrokkene
UITGANGSPUNTEN WBP
4
Wat te regelen?
-Beveiligingsplicht en – maatregelen (incl. controle daarop)
-Verwerken slechts in opdracht van verantwoordelijke
-Geheimhouding
-Subbewerkers?
-Bewaartermijn
-Exitregeling
BEWERKERSOVEREENKOMST = WETTELIJK VERPLICHT
4
Wat te regelen?
-Meewerken in geval verzoek betrokkenen
-Meldplicht datalek/beveiligingsincident
-Waar vindt de verwerking plaats? In EU?
-Wat te doen in geval onderzoek autoriteiten
-Toepasselijk recht
BEWERKERSOVEREENKOMST – VERVOLG -
4
Stel u bent zelf cloudprovider:
Onder welke voorwaarden mogen opsporingsdiensten zoals FIOD etc. gegevens bij u opvragen?
VORDEREN (PERSOONS)GEGEVENS DOOR AUTORITEITEN
4
Art. 126nd Wetboek van Strafvordering
- In geval van verdenking van misdrijf
- In belang van het onderzoek
- van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens
- door de Officier van Justitie.
VORDEREN (PERSOONS)GEGEVENS DOOR AUTORITEITEN
4
Art. 126nd Wetboek van Strafvordering
Vordering mag geen betrekking hebben op bijzondere persoonsgegevens (lid2) en kan niet worden gericht tot de verdachte zelf.
Vordering bevat:
Nauwkeurige omschrijving persoon op wie gegevens betrekking hebben en van de gegevens zelf
•geldige titel;
•Evt. mondeling, maar achteraf op schrift;
•OvJ dient een proces-verbaal op te maken.
VORDEREN (PERSOONS)GEGEVENS DOOR AUTORITEITEN
4
MELDEN DATALEK BIJ INBREUK PRIVACY
12
Huidig:
Telecommunicatiewet per 5 juni 2012 (‘smalle’ meldplicht)
Toekomstige wetgeving:
- Voorstel tot wijziging Wet bescherming persoonsgegevens (‘brede meldplicht’)
- Voorstel Europese verordening (‘brede’ meldplicht)
- Aanbieders telefonie
- Internet Service Providers
Niet:
Banken, Webwinkels,Webhosters,Overheid.
‘SMALLE’ MELDPLICHT TW: VOOR WIE?
4
Onverwijlde’ melding doen van inbreuk beveiliging met gevolgen voor persoonsgegevens Bij ACM
Ook onverwijlde melding, indien dit waarschijnlijk leidt tot nadelige gevolgen Bij betrokkene
Niet melden: Boete: max. € 450.000.
14
WAT HOUDT DE MELDPLICHT IN?
Wetsvoorstel tot wijziging Wbp
Breder toepassingsbereik: “verantwoordelijken” melden bij CBP en betrokkene;
Nalaten melding: bestuurlijke boete: max. € 450.000,=
Europese Verordening Gegevensbescherming
Verwachting: van toepassing omstreeks 2016 ?
Boetes: tot 1 miljoen Euro / 2% wereldwijde jaaromzet (!)
TOEKOMSTIGE WETGEVING
15
MELDEN DATALEK BIJ GROOT BEVEILIGINGSINCIDENT
35
Toekomstige Europese wetgeving:
Cybersecurity – richtlijnen
Doel: tegengaan cybercrime, waaronder datalekken
Voor wie? voor overheid, operatoren van kritieke infrastructuur in bepaalde sectoren (ook financiële dienstverlening) en belangrijke internetbedrijven
Wat? schaal van het probleem, datum en tijd incident, aard incident en de reactie van het bedrijf op het incident
EU: beter eerlijk en open zijn over lek dan lek wegmoffelen vb. Diginotar
MELDEN DATALEK BIJ GROOT BEVEILIGINGSINCIDENT
4
PREVENTIE VAN DATALEKKEN: WAT HAD NMBS OP VOORHAND KUNNEN DOEN?
• Monitoren werknemers?
• Mag dat zomaar?
TERUG NAAR CASUS NMBS
4
Werknemer mailt naar een klant (zakelijke e-mails):
"(..) I can tell you it is impossible to work with pigs, and that is what I am facing now!”
en ook
“(..) Das wissen wir auch night was da los ist, es ist hier ein komplett chaos.(..)”.
CASUS: “PREVENTIE”
4
Gevolg: Reputatieschade bedrijf
Werkgever komt via controle deze zakelijke e-mails tegen.
•Mag u zomaar monitoren?
•En wat kunt u tegen de werknemer doen?
•Ontbinding arbeidsovereenkomst?
•En wat kunt u doen ter preventie?
CASUS: “PREVENTIE”
4
Feiten:
•Ontbindingsprocedure arbeidsovk werknemer
•Tegen de vader van de werknemer, die bij hetzelfde bedrijf werkt, liep al een ontslagaanvraag;
•Werknemer laat zich via mail tegen klanten negatief uit over bedrijf;
•Bedrijf kijkt in de e-mailbox van werknemer;
•Geen ICT-protocol
CASUS: “PREVENTIE”
4
Stellingen bedrijf monitoren zakelijke e-mail:
•Gerechtvaardigd doel
•Verdenkingen betrokkenheid meerdere werknemers bij de malversaties van de werknemer
Dus: controle e-mailberichten noodzakelijk.
CASUS: “PREVENTIE”
4
Stellingen werknemer:
•Inkijken e-mail is inbreuk privacy
•Geen verdenking of waarschuwing
•Daarom onrechtmatig bewijs in de ontslagprocedure
Dus: controle e-mailberichten ongerechtvaardigd.
CASUS: “PREVENTIE”
4
Maar wat vindt de rechter?
Kantonrechter Rb Rotterdam 21 september 2011
Monitoren zakelijke e-mail:
•werknemer mag verwachten dat werkgever, eerder dan bij privéberichten, inhoud van zakelijke e-mailberichten bekijkt;
•inbreuk privacy werknemer gerechtvaardigd en proportioneel
• geen ander middel om de correspondentie te controleren;
•e-mails als bewijs meegewogen voor bepalen dringende reden ontslag
CASUS: “PREVENTIE”
4
Feiten:
•Werknemer uitgezonden naar China om nieuwe markt aan te boren;
•Werknemer voerde via privé Gmail correspondentie over het opzetten van een nieuwe concurrerende vennootschap. Bovendien bleek uit account dat hij producttechnische tekeningen van het bedrijf werden gekopieerd;
•Privé Gmail werd soms ook zakelijk gebruikt;
•Bedrijf kreeg inzicht in deze e-mails;
•Werknemer op non-actief;
•Ontslagprocedure -> dringende reden? Rechtmatig bewijs?
CASUS: “GMAIL”
4
Stelt u zich eens voor dat u rechter bent. Hoe zou u dan oordelen?
•Waarom mocht het bedrijf wel in de Gmail kijken?
•Waarom mocht het bedrijf niet in de Gmail kijken?
CASUS: “GMAIL”
4
Stellingen bedrijf:
Geen sprake van onrechtmatig bewijs;
Gmail werd zakelijk gebruikt en stond centraal in bedrijfsvoering;
O.b.v. ICT-protocol was het toegestaan te monitoren;
Bedrijf had in het verleden het wachtwoord gekregen.
CASUS: “GMAIL”
4
Stellingen werknemer:
•Onrechtmatig verkregen bewijs;
•Privacybelang;
•Bedrijf geen toestemming om te kijken in privé mailbox;
•Account slechts heel af en toe zakelijk gebruikt, in het geval de zakelijke mail niet functioneerde;
•Wachtwoord in het verleden wel verstrekt, maar recent gewijzigd.
CASUS: “GMAIL”
4
Maar wat vindt de rechter?
Gerechtshof ‘s-Hertogenbosch 19 maart 2013
Bedrijf had geen toegang om de beveiligde privé e-mail te bekijken;
E-mail werd slechts af en toe zakelijk gebruikt;
Onvoldoende duidelijk wat status van account was, in ieder geval ook privé;
Laat bedrijf toe te bewijzen dat account zakelijk werd gebruikt en centraal stond in de bedrijfsvoering;
Laat bedrijf toe duidelijkheid te verschaffen hoe en wanneer zij toegang had tot het account;
Wordt vervolgd!
CASUS: “GMAIL”
4
To do:
ICT protocol:
duidelijk regelen wat werknemers wel en niet mogen;
met de ICT-voorzieningen van een organisaties;
bijv. op social media.
WAT BETEKENT DIT VOOR ORGANISATIES?
4
Organisaties moeten processen inrichten en richtlijnen maken over hoe te handelen als zich een datalek voordoet: maak een datalek draaiboek!
Zorgen dat beveiliging op orde is, zowel technisch als ook organisatorisch
De data moet versleuteld worden
Aspecten rondom beveiliging, datalekken en privacy moeten vóóraf in een overeenkomst geregeld worden!
WAT BETEKENT DIT VOOR ORGANISATIES?
4
Melden binnen 24 uur na lek ! Aan ACM en betrokkenen:
•Aard van de inbreuk;
•Instantie waar meer info verkregen kan worden;
•Aanbevolen maatregelen ter beperking negatieve gevolgen;
Aan ACM:
•Gevolgen inbreuk op persoonsgegevens;
•Aanbevolen maatregelen om inbreuk aan te pakken.
WAT BETEKENT DIT VOOR ORGANISATIES?
4
Risico bij niets doen: verantwoordelijke aansprakelijk. Gevolg: boetes, reputatieschade en claims
Denk ook aan opnemen van aansprakelijkheids-beperkingen in de overeenkomst!
***
WAT BETEKENT DIT VOOR ORGANISATIES?
4
HARTELIJK DANK VOOR UW AANDACHT!
Vragen?
mirjam.elferink@kienhuishoving.nl
martijn.kortier@kienhuishoving.nl
Twitter:
@MirjamElferink
@MartijnKortier
4