1

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer

2

Wet bescherming persoonsgegevens

Wet meldplicht datalekken

3

Centrale begrippen in privacyrecht

a. Persoonsgegevens

b. Betrokkene

c. Verwerken

d. Verantwoordelijke

e. Bewerker

4

Plichten verantwoordelijke

a. Zorgvuldige verwerking

b. Beveiliging

c. Bewerkersovereenkomst

d. Informatieplicht

e. Meldingsplicht

f. Inzage geven

g. Corrigeren

5

Zorgvuldige verwerking

• Niet bovenmatig

• Toereikend

• Ter zake dienend (noodzakelijk voor het doel)

• Juiste en nauwkeurige gegevens

• Bewaartermijn

6

Beveiliging

• Passende technische en organisatorische maatregelen om

verlies van gegevens of onrechtmatige verwerking tegen te

gaan

• Afhankelijk van risico’s van verwerking, aard van de

gegevens, stand van de techniek en kosten van de

maatregelen

7

Bewerkersovereenkomst

• Verwerking uitsluitend in opdracht van verantwoordelijke

• Nakoming beveiligingsverplichtingen door bewerker

• Waarborgen naleving meldplicht datalekken

• Toezien op naleving

• Bewerker is zelfstandig aansprakelijk voor schade die het

gevolg is van de bewerkingshandelingen

• Geheimhouding

8

Informatieplicht

• Verantwoordelijke, verwerkingsdoeleinden en alles wat

nodig is om behoorlijke en zorgvuldige verwerking te

waarborgen

• In beginsel vóór de verkrijging

• Zodanig dat de betrokkene er daadwerkelijk de beschikking

over krijgt (privacy statement)

9

Meldingsplicht verwerkingen (NB: veel ruimer

dan meldplicht datalekken)

• Bij de Autoriteit Persoonsgegevens of bij de door u of uw

brancheorganisatie benoemde functionaris

• Vóór de verwerking (= vóór verzameling)

• Uitzonderingen op de meldingsplicht: vrijstellingsbesluit

(o.a. debiteurenadministratie, nakoming contracten etc)

10

Sancties

• Bindende aanwijzing

• Boete

• Last onder dwangsom

• Rechterlijk verbod of gebod (civiel)

• Schadevergoeding (civiel, maar basis in Wbp)

• Reputatieschade (civiel)

11

Wet meldplicht datalekken

• 1 januari 2016 van kracht

• Beleidsregels AP

12

13

Datalek

• Een inbreuk op de beveiliging, die leidt tot de aanzienlijke

kans op ernstige nadelige gevolgen dan wel ernstige

nadelige gevolgen heeft voor de bescherming van

persoonsgegevens

14

Voorbeelden datalek

• Ongeautoriseerde inzage in bestanden met persoonsgegevens!

• Een kwijtgeraakte of vergeten USB-stick

• Een gestolen laptop/mobiele telefoon

• Inbraak in een databestand door een hacker

• Slordig wachtwoordbeheer

• Diefstal van papieren gegevens

• Online en offline datalekken

15

Datalek

• Zijn de verwerkte persoonsgegevens blootgesteld aan

verlies of onrechtmatige verwerking?

– dus aan datgene waartegen de beveiligingsmaatregelen bescherming

moesten bieden

• Kan redelijkerwijs worden uitgesloten dat er

persoonsgegevens verloren zijn gegaan of onrechtmatig

verwerkt?

16

Checklist datalek

• Is er sprake van verwerking van persoonsgegevens?

• Bent u verantwoordelijke?

• Is de Wbp van toepassing?

• Is dit een datalek (inbreuk op de beveiliging)?

Ja, ja, ja, ja: WAT NU?

17

Meldplicht

• Rust op de verantwoordelijke

• Melden aan AP

• Melden aan betrokkene

18

Melden aan AP

• Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans

op ernstige nadelige gevolgen dan wel ernstige nadelige

gevolgen heeft voor de bescherming van persoonsgegevens

– aard van de gegevens (persoonsgegevens van gevoelige aard)

– aard en omvang van de inbreuk

19

Melden aan AP

• Webformulier (vragen: zie bijlage Richtsnoeren AP)

• Onverwijld = ‘zo mogelijk’ uiterlijk 72 uur na ontdekking

van het incident

• Eventueel naderhand aanvullen of intrekken

20

Melden aan betrokkene

• Indien de inbreuk waarschijnlijk ongunstige gevolgen zal

hebben voor diens persoonlijke levenssfeer (b.v.: geen

encryptie)

• Persoonsgegevens van gevoelige aard: melden

• Overige gevallen: afweging maken

21

Melden aan betrokkene

• Een eenvoudige meldingswijze (aldus MvT)

• Onverwijld

• Behoorlijke en zorgvuldige informatievoorziening:

- aard inbreuk

- instantie waar betrokkene meer informatie kan krijgen

- maatregelen

22

Uitzonderingen meldplicht

• Passende technische beschermingsmaatregelen waardoor

persoonsgegevens onbegrijpelijk of ontoegankelijk zijn

- bijv. encryptie, remote wiping, pseudonimisering

- strenge norm

• Zwaarwegende redenen om melding aan betrokkene

achterwege te laten

- noodzakelijk in het belang van de bescherming van de betrokkene

23

Protocolplicht

• Feiten en gegevens omtrent de aard van de inbreuk

• Tekst kennisgeving betrokkene (…en AP)

• Intern en extern toezicht

• Niet openbaar

24

Sancties schending meldingsplicht

• Melding niet gedaan, niet tijdig gedaan of niet gedaan in

overeenstemming met Wbp

• Boetebevoegdheid AP

• Maximumboete van EUR 820.000 of 10% van de netto

jaaromzet

• Na bindende aanwijzing

25

Andere beboetbare schendingen Wbp (voorb.)

• Ongeoorloofde verwerking gegevens opgeslagen in NL door

persoon buiten EU, doorgifte vanuit NL zonder passend

beschermingsniveau: EUR 12.500- 20.500

• Onzorgvuldige of onrechtmatige verwerking, schending

beveiligingsverplichting, inzagerecht etc: veelal categorie

EUR 120.000-500.000

26

Boetebeleid

• Eerst bindende aanwijzing: welke concrete gedraging

verwacht de AP van de overtreder?

• Direct boete bij opzet: b.v. handel in persoonsgegevens.

• Direct boete bij grof of aanzienlijk onzorgvuldig,

onachtzaam dan wel onoordeelkundig handelen

• Daaronder ook: meermalen dezelfde overtreding

27

Boetebeleid (II)

• Boeteverhogend:

- recidive. Bij 2e boete verhoging met 50% tenzij in gegeven

omstandigheden onredelijk

- Tegenwerking/belemmering onderzoek AP

• Boeteverlagend: verdergaande medewerking dan verplicht;

vrijwillige beëindiging overtreding en/of schadeloosstelling

benadeelden

28

Europese Privacy Verordening (“Algemene

verordening gegevensbescherming”)

• voorlopig vastgesteld op 15 december 2015

• Treedt ws. medio dit jaar in werking; nadien

overgangstermijn twee jaar

29

Europese Privacy Verordening: general approach

• Hogere boetes dan nu in NL (max 20 mio/4%

wereldjaaromzet)

• Actieve houding ondernemer

• Data Privacy Officer verplicht

• PIA verplicht

• Etc etc

30

Tips & Tricks

• Inventarisatie, risicoanalyse, PIA en implementatie van

passende informatiebeveiliging

• Compliance check

• Datalekprotocol (actieplan) en datalek-team

• Training team en bewustwording medewerkers

• Cybercrimeverzekering (o.a.: AON)

31

Privacy in de praktijk

32

Kopietje paspoort

• (Bijzondere) persoonsgegevens: BSN, foto

• Legitimatie en controle

• Overnemen gegevens

• Kopiëren, scannen, opslaan

• Grondslag?