Meldplicht datalekken · Meldplichten Brede meldplicht datalekken Art. 34a Wbp, per 1-1-2016 Melden...

www.privacycompany.eu

8 December 2015

Meldplicht datalekken

Simone Fennell

[email protected]


http://www.ad.nl /ad /nl /5595/Digitaal/article/detail /4199971/2015/12/02/125-000-Nederlandse-kinderen-dupe-hack-VTech.dhtml


Nieuw in de Wbp

Per 1 januari 2016:

• Boetes tot 820.000 Euro (voorheen 4.500 Euro)

• Meldplicht datalekken (dubbele meldplicht)


Wet bescherming persoonsgegevens (Wbp)

Normen en regels:

1. Algemene zorgvuldigheidseis (art. 6)

2. Doel verzameling gegevens (art. 7)

3. Grondslag verwerking (art. 8 a-f)

4. Doelbinding gebruik gegevens (art. 9)

5. Kwaliteit gegevens (art. 11)

6. Beveiliging gegevens (art. 13)

7. Bewaren gegevens (art. 10)

8. Meldingsplicht (art. 27-30)

9. Informatieplicht + meldplicht datalekken (art. 33, 34 en 34a)

10. Rechten van de betrokkene (art. 35, 36, 40-42)


Meldplichten

Brede meldplicht datalekken Art. 34a Wbp, per 1-1-2016 Melden bij AutoriteitPersoonsgegevens

Meldplicht Telecomwet Art. 11.3a Telecomwet, sinds 2012 Melden bij AutoriteitConsument en Markt (ACM)

Wet melding inbreuken elektronische informatie-systemen (wetsvoorstel)

Producten of diensten die van zodanig belang zijn voor samenleving dat onderbreking beschikbaarheid-betrouwbaarheid leidt tot ernstige maatschappelijke gevolgen (vitale infrastructuren)

Melden bij NCSCAdvies RvS 08-2015, wachtop 1e en 2e kamer

Meldplicht voor certificaatdienstverleners

Besluit elektronische handtekeningen, 2013 Melden bij ACM

Goed opdrachtnemerschapWanprestatieOnrechtmatige daad

Art. 7:401 Burgerlijk Wetboek (BW); Art. 6:74 BW; Art. 6:162 BW Melden bij klanten / leveranciers / partners

Strafrecht Aantasting van computersystemen die levensgevaar kunnenveroorzaken, art. 161 sexies WvSr.

Melden bij politie

Wet financieel toezicht: integriteitsmeldingenbankwezen

Omvat veel meer dan alleen datalekken Melden bij NederlandseBank

Contract Geheimhouding; treffen beveiligingsmaatregelen; meldenbeveiligingsincidenten

Melden bij contractspartner

Let op: internationaal bedrijf? Dan mogelijk ook meldplichten onder buitenlands recht!


Brede meldplicht datalekken Wbp art. 34a

• Uitvloeisel van het regeerakkoord en ‘druk’ vanuit Europa

• Gericht op: verantwoordelijken in de zin van WBP

• Meldplicht bij College Bescherming Persoonsgegevens (vanaf 1-1-2016 Autoriteit Persoonsgegevens)

• Meldplicht jegens betrokkenen

• Bestuurlijke boete als punitieve sanctie 820.000 Euro

• Nederland is de proeftuin voor de meldplicht uit de Europese Verordening Gegevensbescherming.


Meldplichtig datalek

Een datalek moet gemeld worden bij de AutoriteitPersoonsgegevens indien het:

“leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” (art 34a Wbp)


Brede meldplicht

Waarom is het moeilijk/waar zitten de knelpunten?

•Het wetsvoorstel werkt met veel open normen

“vermoeden van nadelige gevolgen voor de

persoonlijke levenssfeer”, “inbreuken op de

beveiliging”, “onverwijld”, etc.

•Deze zaken worden wel (deels) in de beleidsregels

uitgewerkt!

https://cbpweb.nl/sites/default/files/atoms/files/beleids

regels_meldplicht_datalekken.pdf

https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf


Risico’s voor bedrijven

Financieel risico; boete: maximaal 820.000 EuroLet op! Boetebedragen worden elke twee jaar geïndexeerd en kunnen dus in 2018 al anders zijn.

Compliance risico:• De procedure is niet op tijd gereed (1 januari 2016)• De informatie kan niet onverwijld geleverd worden (primaire melding binnen 72 uur, indien

later dan dat motiveren)• Datalek heeft plaatsgevonden bij een bewerker die nalaat melding te doen aan de

verantwoordelijke• Bewerkersovereenkomst ‘oude stijl’ waarin geen clausule over datalekken is opgenomen

Bepaalde interne inbreuken op de beveiliging waarbij persoonsgegevens betrokken zijn worden gemist

Reputatierisico:• Verlies van vertrouwen van klanten• Bekendmaking van boetes door toezichthouder


Datalek

•Een datalek is een inbreuk op de beveiliging(als bedoeld in artikel 13 Wbp): gegevens beveiligentegen verlies en onrechtmatige verwerking

• Dit begrip moet ruim uitgelegd worden:

Gestolen of verloren gegevensdragers of devices

Verlies van gegevens door brand

Inbraak door een hacker

Malware-besmetting


De 3 rollen

Er zijn (ten minste) drie rollen die onderscheiden moeten worden om een datalek succesvol af te handelen.

I. ONTDEKKER

Degene die het datalek op het spoor komt en het proces in werking moet stellen.

II. MELDER

Degene die verantwoordelijk is voor het melden van het datalek bij de Autoriteit Persoonsgegevens.

III. TECHNICUS

Degene die de oorzaak van het datalek kan vinden en kan (laten) repareren.


De 6 fasen

In het leven van een datalek zijn 6 fasen te onderscheiden:

1. ontdekken

2. inventariseren

3. beoordelen

4. repareren

5. melden

6. documenteren


De 6 fasen 2

1. OntdekkenONTDEKKER merkt een datalek op. Bijvoorbeeld via eigen waarneming of een klacht van een klant. De ONTDEKKER vergaart zoveel mogelijk informatie over het datalek en zet het proces in werking waardoor deze informatie ten minste bij de MELDERterechtkomt.

2. InventariserenDe MELDER op zijn beurt, beoordeelt of er voldoende informatie omtrent het datalek bekend is. Zo niet, dan zet hij aanvullende vragen uit.

3. BeoordelenWanneer MELDER voldoende informatie heeft verzameld, beoordeelt hij de feiten om te bepalen of een melding aan de Autoriteit Persoonsgegevens en/of betrokkenen vereist is.


De 6 fasen 3

4. ReparerenDe TECHNICUS zal moeten achterhalen wat de oorzaak van het lek is en deze moeten repareren.

5. MeldenIndien de conclusie bij stap 3 is dat er gemeld moet worden aan toezichthouder (eventueel betrokkenen), dan moet de MELDER

dit doen.

6. DocumenterenDe informatie die in de voorafgaande stappen is ingewonnen of ontstaan (bijvoorbeeld CBP-meldingsnummer, afschrift melding, brief aan betrokkenen) moeten worden gearchiveerd door MELDER.


1 Ontdekken

1. Personeel moet getraind zijn op het herkennen van een datalek en het inzetten van het daarbij behorende proces.

2. De ONTDEKKER wint als eerste informatie over het datalek in:


1 Ontdekken2

• Een feitelijke beschrijving van het datalek in kwestie (wat is er precies gebeurd?)

• Welke (typen) persoonsgegevens zijn gelekt?

• Hoeveel personen zijn betrokken bij het datalek betrokken?

• Kan de groep betrokkenen worden beschreven? (klanten, 65+ers, asielzoekers, kinderen etc.)

• Wat is de oorzaak van het datalek?

• Wanneer heeft het datalek plaatsgevonden?

• Zijn er klantnummers of contactgegevens van getroffen klant(en) zodat deze (eventueel) in kennis gesteld kunnen worden van het datalek.

• Verstrek eigen contactgegevens (van ONTDEKKER dus) in verband met nadere informatie.


2 Inventariseren

Een deel van deze informatie wordt (hopelijk) door ontdekker verstrekt. Een deel door technicus. Een deel moet melder zelf d.m.v. kwalificatie verkrijgen.

Samenvatting van het incident

Aantal betrokkenen bij de inbreuk

Omschrijving van de groep betrokkenen

Datum/periode van de inbreuk

Aard van de inbreuk

Type persoonsgegevens in kwestie

Mogelijke gevolgen voor de persoonlijke levenssfeer van betrokkenen

Wordt het datalek aan betrokkenen gemeld? Hoe? Inhoud melding?

Waarom wordt het lek niet aan betrokkenen gemeld?

Heeft de inbreuk betrekking op personen in andere EU-landen?

Technische en organisatorische maatregelen ter aanpak inbreuk en voorkoming verdere inbreuk. (Hierin ligt besloten dat de oorzaak bekend moet zijn)

Zijn de gegevens onbegrijpelijk voor degenen die er kennis van kunnen hebben genomen? Hoe?


3 Beoordelen

Een datalek moet gemeld worden bij de AutoriteitPersoonsgegevens indien het:

‘leidt tot de aanzienlijke kans op ernstige nadelige gevolgendan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.’ (art 34a Wbp)

Of een melding vervolgens gedaan moet worden aanbetrokkenen is een afweging die je zelf moet maken.

Let op! Stel tenminste vast of je überhaupt moet melden! Ben je verantwoordelijke? Of bewerker?


3 beoordelen2

‘De verantwoordelijke, stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.’

Bijv: onrechtmatige publicatie, aantasting van eer en goede naam, (identiteits)fraude of discriminatie

Of een melding vervolgens gedaan moet worden aanbetrokkenen is een afweging die je zelf moet maken.


3 beoordelen3

Bron: Beleidsregels meldplicht datalekken p. 5


3 Beoordelen5

MELDER moet beoordelen:

• Of het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens(art. 34a lid 1 Wbp)

• “Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.”

• Of het datalek gemeld moet worden aan betrokkenen(art. 34a lid 2 Wbp)

• Invulling door beleidsregels (verschenen 9-12-2015): https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf. Let op! In de loop van 2017, of wanneer het aantal ontvangen meldingen daar aanleiding toe geeft, zullen de beleidsregels worden geëvalueerd en waar nodig aangepast (inclusief consultatie)

https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf


Gevoelige persoonsgegevens• Bijzondere persoonsgegevens• Financiële gegevens• Gegevens die kunnen leiden tot

stigmatisering of uitsluiting• Inloggegevens• Risico op(identiteits)fraude (ook

BSN!)• Gegevens uit DNA databanken• Gegevens die onderworpen zijn

aan geheimhouding / beroepsgeheim

In deze gevallen sowieso melden!

3 Beoordelen4

Andere factoren• Omvangrijke verwerkingen zoals bij de

overheid (ketens)

• Hoeveelheid betrokkenen

• Hoeveelheid gelekte gegevens per

persoon

• Ingrijpende beslissingen worden

genomen met gegevens

• Kwetsbare groepen (kinderen, in blijf van

mijn lijf huis, gehandicapten)

• Niet-ethische hacks

Welke factoren weeg je mee?


4 Repareren

Een datalek moet natuurlijk ook weer gedicht worden:

• IncidenteelAlleen de negatieve gevolgen voor de betrokkenen in het individuele geval beperken.

• StructureelDe negatieve gevolgen niet alleen voor de betrokkenen in het individuele geval beperken maar ook voor alle mogelijke betrokkenen.

• Vertel de Autoriteit Persoonsgegevens wat je doet!


5 Melden

Melden bij Autoriteit Persoonsgegevens (als de informatie nagenoeg compleet is):

De inbreuk heeft (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

En (zo nodig), bij betrokkenen:

De inbreuk waarschijnlijk ongunstige gevolgen zal hebbenvoor diens persoonlijke levenssfeer.


5 Melden2

Hoe melden aan de Autoriteit Persoonsgegevens?• Onverwijld (72 uur, indien later motiveren)• Online portal (nog niet live)• Per fax

Hoe melden aan de betrokkene?• Onverwijld• Alle redelijke directe middelen (bijvoorbeeld e-mail, post, sms,

telefoon)• Niet: melden op een persoonlijk portaal (zoals een online

klantdossier) wat misschien niet steeds wordt bekeken(zorgvuldig en behoorlijk!).

• Ook: landelijk melden in de pers als onduidelijk is wie de betrokkenen zijn


6 Documenteren

Alle informatie van de melding zelf moet opgenomen worden in het archief.

Het maakt hier bij niet uit of u:

- Een excel gebruikt

- Aansluit op reeds bestaande incidentmanagementsystemen

- Nieuwe software aanschaft

Bewaartermijn van de incidentoverzichten (protocolplicht)

• In beginsel minimaal 1 jaar.

• Hangt ook af van je eigen regels.

• Zie beleidsregels, p. 47.


Aansprakelijkheid

• Bestuurders

• Let op! De verantwoordelijke is ook verantwoordelijk voor het handelen van zijn bewerkers. Verhaal kan wel bij contract geregeldworden.

• bewerkers of partners

• Voor hun eigen handelen

• Heel soms uw medewerkers

• Strafbare feiten

• Opzet of bewuste roekeloosheid (zware bewijslast voor werkgever)


Beleidsregels handhaving

Art. 4

“Bij de afweging die ten grondslag ligt aan de inzet van handhavingsinstrumenten naar aanleiding van een bemiddelingsverzoek, handhavingsverzoek en/of klacht alsmede bij het instellen van ambtshalve onderzoek geeft de Autoriteit Persoonsgegevens prioriteit aan zaken waarbij het vermoeden heeft van:

a. ernstige overtredingen;

b. structurele overtredingen;

c. overtredingen die veel mensen treffen;

d. overtredingen waarbij de Autoriteit Persoonsgegevens door de inzet van handhavingsinstrumenten effectief verschil kan maken;

e. overtredingen die vallen binnen de (jaarlijkse) aandachtspunten die door de Autoriteit Persoonsgegevens bekend zijn gemaakt.”


Boetemaxima

Regel Maximale

boete

Melding bij CBP, melding bij betrokkene, bijhouden overzicht

inbreuken (artikel 34a lid 1, lid 2, lid 7, lid 8 Wbp)

€ 500.000,-

Wijze van kennisgeving aan CBP en betrokkene (artikel 34a lid 3, lid 4,

lid 5 en lid 11)

€ 200.000,-

Niet-nakoming bindende aanwijzing (artikel 66 lid 5 Wbp) € 820.000,-

Medewerkingsplicht (inclusief leveren documenten en inzicht in

systemen) (artikel 5:20 Awb)

€ 820.000,-


Toezicht en onderzoek

• De Autoriteit Persoonsgegevens kan eigen onderzoek instellen

(artikel 60 Wbp)• op grond van een klacht van een belanghebbende

• op eigen initiatief

• De Autoriteit Persoonsgegevens kan inlichtingen vorderen,

inzage vorderen in zakelijke gegevens, zaken en middelen

onderzoeken (waaronder computerapparatuur) en ruimtes

betreden, waaronder woningen. (artikel 61 lid 2 Wbp jo. 5:15 Awb)

• U bent verplicht alle gevraagde medewerking te verlenen


Boetefactoren

Bij beoordeling van de

ernst van de

overtreding gelet op:

Rekening gehouden met: Eventueel rekening

gehouden met:

• Aard en omvang

overtreding

• Duur van de

overtreding• Impact op betrokkene

en/of maatschappij

• (financiële) voordeel

voor de overtreder

• Verwijtbaarheid

overtreder (aanzienlijk

indien opzet of ernstig

verwijtbare nalatigheid); in dit geval hoeft niet

eerst een bindende

aanwijzing te worden

gegeven

• Omstandigheden

waaronder

overtreding is

gepleegd en (financiële)

omstandigheden

overtreder


Boetefactoren2

Boeteverhogende omstandigheden Boeteverlagende omstandigheden:

1. Eerdere (zelfde of vergelijkbare)

overtreding

2. Onderzoek toezichthouder

tegenwerken of belemmeren

3. geen boeteverhoging als de boete

is opgelegd wegens niet-

meewerken

1. Meer medewerking verlenen aan

de toezichthouder dan verplicht

2. Overtreding uit eigen beweging

beëindigd

3. Schadeloosstelling ‘slachtoffer(s)’

• Bij meerdere overtredingen kan een boete voor alle overtredingen gezamenlijk worden opgelegd

• Bij verwijtbaarheid van de overtreder (opzet, ernstige nalatigheid)• Nadat een bindende aanwijzing niet is opgevolgd


Het college mag handhavingsbesluiten openbaar maken. Ziehiervoor de beleidsregels actieve openbaarmaking:

http://wetten.overheid.nl/BWBR0034173/geldigheidsdatum_04-12-2015#4

Openbaarmaking

http://wetten.overheid.nl/BWBR0034173/geldigheidsdatum_04-12-2015#4


Aandachtspunten

• Uitvoering

• Voer een goede administratie

• Leg een overzicht met standaardinformatie aan (data inventarisatie)

• Vergeet de bewerkersovereenkomsten niet!

• Proces

• Zorg voor een adequate interne melding

• Maak rollen en verantwoordelijkheden duidelijk!

• Start voor 1-1-2016 met tenminste een plan


Plan de campagne

Data inventarisatie

•Wat heb je? •Hoeveel heb je?•Wie spreek je aan?•Waar heb je het? (systeem & locatie)•Waarom heb je het?•Met wie deel je het? (verantwoordelijke)•Van wie krijg je het? (bewerker)


Plan de campagne2

Inventariseer:

•Wie je nodig hebt om het proces op orde te krijgen(stakeholders)

•Welke interne informatieprocessen moeten wordeningericht

•Welke informatie in- en extern gecommuniceerdmoet worden


Plan de campagne3: Bewerkersovereenkomst

• Bevat minstens een clausule over lekken

• Kan een clausule bevatten die regelt dat de bewerker de melding doet.

• De verantwoordelijke blijft verantwoordelijk voor het geheel, dus ook voor de

melding.

• Bevat afspraken over informatieverstrekking

• Wijze waarop informatie zal worden verstrekt (protocol/documentatieplicht)

• Termijnen waarbinnen informatie zal worden verstrekt

• Bevat afspraken over eigen mogelijkheden tot inzage in de systemen van de bewerker

(audits)

• Bevat eventueel boetes voor het nalaten van de melding aan de verantwoordelijke

• Bevat afspraken over passende technische en organisatorische maatregelen

• Als de bewerker in het buitenland is gevestigd moet hij zorgen voor compliance in dat

land. Ook wat betreft lekken!


Plan de campagne4: Crisiscommunicatie

Tijdstip:• 100% betrouwbare en valide informatie• Officieel persmoment • Leg uit wat je gaat doen (tussen nu en persmoment) en hoe je dit gaat doen• Zorg voor juiste, tijdige (snelle) proportionele en begrijpelijke informatie

Reden:• ‘ Daar kan ik geen mededeling over doen’ is geen goed antwoord• Zorg dat bij meerdere betrokken partijen een partij de woordvoering doet en

communiceer wie dat is• Leg uit waarom je iets niet kunt vertellen (bijvoorbeeld omdat er nog onderzoek

gedaan moet worden)• Kweek begrip!

Uitleg:• Waarom ga je x, y en z doen?• Als iets een standaardprocedure is, zeg dat dan, dat neemt onzekerheid weg


Plan de campagne5: Crisiscommunicatie2

Wat leg je klaar?

Standaard reactie van directie / raad van bestuur / managerVoor:

• Betrokkenen• Aandeelhouder• Ondernemingsraad• Pers

Praktisch• Brieven (weet ook waar je ze snel kan laten printen)• Website die snel kan worden opgetuigd• Telefoonnummer voor vragen• Instructies voor klantenservice

• Webcare• Call Center


Plan de campagne6

Met andere woorden

Wees voorbereid!


Aanbevelingen

Onderwerp Aanbeveling

Data inventarisatie Breng gegevens in kaart Wat wordt verwerkt? Met welk doel? Bewaartermijn? Door wie en voor wie?

Bewaartermijnen Stel beleid op Breng privacybeleid en informatiebeleid op één lijn

Toegang en autorisaties Zorg voor beleid omtrent toegang en autorisaties Zorg voor geheimhouding Zorg voor beleid omtrent autorisaties

Informatie Zorg voor privacy statements

Rechten Informeer betrokkenen duidelijk over de uitoefening van hun rechten Zorg voor een duidelijk aanspreekpunt binnen de woningcorporatie Realiseer waar nodig rechten in een eigen online dossier

Meldplicht datalekken Start de implementatie van het meldplichtproces Zorg voor beleid Maak afspraken met alle derde partijen (leveranciers)

Dataminimalisatie Vraag niet wat je niet nodig hebt Let op bij de verwerking van gevoelige en bijzondere gegevens

Awareness Zet de meldplicht datalekken en de AVG intern op de agenda Probeer privacy in te bedden in het collectieve bewustzijn van de organisatie,

eventueel door training Neem privacy mee bij een jaarlijkse audit


Meer weten?

• Nee hoor, ik weet alles nu, maar mijn collega’s nog niet:

Avondsessie meldplicht datalekken: http://www.cibit.nl/nl/ict-opleidingen/meldplicht-datalekken-avondsessie/

• Ik wil graag weten hoe ik dit in mijn organisatie kan inbedden (ooktechnisch):

Cursus meldplicht datalekken in de praktijk (met Cibit Docent Mark Tissink MSc RE CISSP CISA) http://www.cibit.nl/nl/ict-opleidingen/cursus-meldplicht-datalekken-in-de-praktijk/

http://www.cibit.nl/nl/ict-opleidingen/meldplicht-datalekken-avondsessie/

http://www.cibit.nl/nl/ict-opleidingen/cursus-meldplicht-datalekken-in-de-praktijk/

http://www.cibit.nl/

http://www.cibit.nl/


Vragen?

Meldplicht datalekken · Meldplichten Brede meldplicht datalekken Art. 34a Wbp, per 1-1-2016 Melden...

Documents

Transcript of Meldplicht datalekken · Meldplichten Brede meldplicht datalekken Art. 34a Wbp, per 1-1-2016 Melden...