PRIVACY

Mirjam Elferink en Martijn Kortier

advocaten IE, ICT & Privacy

13 mei 2014

• Lek in dropbox

• Ziekenhuis lekt gegevens 500.000 patiënten

• Betalingsverkeer Global Payments getroffen door datalek

• Rabobank lekt duizenden ondernemersrapporten

• Ernstig datalek ontdekt in KPN-modems

DATALEKKEN IN HET NIEUWS

2

1. Casus datalek

2. Wbp

3. Huidige en toekomstige wetgeving datalek meldplichten

4. Casus “preventie”

5. Wat betekent dit voor uw organisatie?

ONDERWERPEN

2

CASUS VOORAF: DATALEK NMBS: FOUT WERKNEMER

11

Persoonlijke gegevens van ca. 1,5 miljoen reizigers op straat. NAW-gegevens en e-mailadressen van mensen die inlichtingen hadden gevraagd of tickets hadden gekocht

•Lek sinds mei 2012

•Lek in december 2012 ontdekt

•Lek door menselijke fout!

Gegevens 25 miljoen gebruikers Playstation netwerk Sony gehackt.

Toegang tot namen, adressen, geboortedata, e-mailadressen, wachtwoorden en creditcardgegevens.

Hosting Playstation netwerk was uitbesteed aan hostingprovider.

DATALEK NMBS: FOUT WERKNEMER

12

•Werknemer moest twee lijsten van klanten van NMBS Europe samenbrengen en nieuwe lijst opslaan.

•

•Werknemer werkte niet via interne systeem, maar via het online systeem dat verbonden is met de website

•Werknemer drukt op verkeerde knop! Niet bestanden leeg gemaakt op onbeschermde server achter gelaten.

•Gegevens o.a. via Google te vinden

GEVOLGEN

12

•Bekendheid van het lek in de markt reputatieschade NMBS

•De Privacycommissie heeft 2.600 meldingen, vragen of klachten ontvangen.

•NMBS heeft in strijd gehandeld met privacywetgeving

•Aansprakelijkheidsclaims betrokkenen en NMBS?

Wat moet NMBS doen?

Alleen melding van:

Datalekken die ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens

MELDPLICHT BIJ DATALEKKEN, VERLIES OF MISBRUIK

4

Van toepassing bij verwerking van persoonsgegevens in het kader van activiteiten van een verantwoordelijke die een vestiging in Nederland heeft.

Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp

WET BESCHERMING PERSOONSGEGEVENS (WBP)

6

Persoonsgegeven:

Elk gegeven dat herleidbaar is tot een natuurlijke persoon (bijv. naam, mailadres, foto, maar soms óók: IP-adres).

Verwerking:

Elke handeling m.b.t. persoonsgegevens, van het moment van verzameling tot vernietiging. Ook opslag door cloud leverancier.

Verantwoordelijke:

Bepaalt doel en middel van de verwerking (bijv. de klant van de cloud service leverancier).

Bewerker:

“Verwerkt” persoonsgegevens ten behoeve van de verantwoordelijke; staat niet onder direct gezag van de verantwoordelijke (veelal cloud- of SaaS-dienstverlener).

BELANGRIJKE BEGRIPPEN UIT DE WBP

4

Verwerken:

-In overeenstemming met de wet

-op behoorlijke en zorgvuldige wijze.

Doeleinden:

Persoonsgegevens mogen slechts worden verwerkt

voor welbepaalde,

- uitdrukkelijk omschreven en

- gerechtvaardigde doeleinden

UITGANGSPUNTEN WBP

4

Verwerkingsgrondslagen:

- ondubbelzinnige toestemming

- noodzakelijk uitvoering overeenkomst

- noodzakelijk ivm wettelijke verplichting

- noodzakelijk ter vrijwaring vitaal belang betrokkene

-noodzakelijk goede vervulling publiekrechtelijk taak (igv bestuursorgaan)

-gerechtvaardigd belang verantwoordelijke/derde tenzij fundamentele rechten en vrijheden zich tegen verwerking verzet.

UITGANGSPUNTEN WBP

4

Overige uitgangspunten

-Niet langer bewaren dan noodzakelijk voor doeleinden

-Geheimhoudingsplicht

-Beveiligingsplicht

-Bewerker en bewerkersovereenkomst

-Bijzondere persoonsgegevens

-Meldplicht CBP

-Informatieverstrekking aan betrokkene

UITGANGSPUNTEN WBP

4

Wat te regelen?

-Beveiligingsplicht en – maatregelen (incl. controle daarop)

-Verwerken slechts in opdracht van verantwoordelijke

-Geheimhouding

-Subbewerkers?

-Bewaartermijn

-Exitregeling

BEWERKERSOVEREENKOMST = WETTELIJK VERPLICHT

4

Wat te regelen?

-Meewerken in geval verzoek betrokkenen

-Meldplicht datalek/beveiligingsincident

-Waar vindt de verwerking plaats? In EU?

-Wat te doen in geval onderzoek autoriteiten

-Toepasselijk recht

BEWERKERSOVEREENKOMST – VERVOLG -

4

Stel u bent zelf cloudprovider:

Onder welke voorwaarden mogen opsporingsdiensten zoals FIOD etc. gegevens bij u opvragen?

VORDEREN (PERSOONS)GEGEVENS DOOR AUTORITEITEN

4

Art. 126nd Wetboek van Strafvordering

- In geval van verdenking van misdrijf

- In belang van het onderzoek

- van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens

- door de Officier van Justitie.

VORDEREN (PERSOONS)GEGEVENS DOOR AUTORITEITEN

4

Art. 126nd Wetboek van Strafvordering

Vordering mag geen betrekking hebben op bijzondere persoonsgegevens (lid2) en kan niet worden gericht tot de verdachte zelf.

Vordering bevat:

Nauwkeurige omschrijving persoon op wie gegevens betrekking hebben en van de gegevens zelf

•geldige titel;

•Evt. mondeling, maar achteraf op schrift;

•OvJ dient een proces-verbaal op te maken.

VORDEREN (PERSOONS)GEGEVENS DOOR AUTORITEITEN

4

MELDEN DATALEK BIJ INBREUK PRIVACY

12

Huidig:

Telecommunicatiewet per 5 juni 2012 (‘smalle’ meldplicht)

Toekomstige wetgeving:

- Voorstel tot wijziging Wet bescherming persoonsgegevens (‘brede meldplicht’)

- Voorstel Europese verordening (‘brede’ meldplicht)

- Aanbieders telefonie

- Internet Service Providers

Niet:

Banken, Webwinkels,Webhosters,Overheid.

‘SMALLE’ MELDPLICHT TW: VOOR WIE?

4

Onverwijlde’ melding doen van inbreuk beveiliging met gevolgen voor persoonsgegevens Bij ACM

Ook onverwijlde melding, indien dit waarschijnlijk leidt tot nadelige gevolgen Bij betrokkene

Niet melden: Boete: max. € 450.000.

14

WAT HOUDT DE MELDPLICHT IN?

Wetsvoorstel tot wijziging Wbp

Breder toepassingsbereik: “verantwoordelijken” melden bij CBP en betrokkene;

Nalaten melding: bestuurlijke boete: max. € 450.000,=

Europese Verordening Gegevensbescherming

Verwachting: van toepassing omstreeks 2016 ?

Boetes: tot 1 miljoen Euro / 2% wereldwijde jaaromzet (!)

TOEKOMSTIGE WETGEVING

15

MELDEN DATALEK BIJ GROOT BEVEILIGINGSINCIDENT

35

Toekomstige Europese wetgeving:

Cybersecurity – richtlijnen

Doel: tegengaan cybercrime, waaronder datalekken

Voor wie? voor overheid, operatoren van kritieke infrastructuur in bepaalde sectoren (ook financiële dienstverlening) en belangrijke internetbedrijven

Wat? schaal van het probleem, datum en tijd incident, aard incident en de reactie van het bedrijf op het incident

EU: beter eerlijk en open zijn over lek dan lek wegmoffelen vb. Diginotar

MELDEN DATALEK BIJ GROOT BEVEILIGINGSINCIDENT

4

PREVENTIE VAN DATALEKKEN: WAT HAD NMBS OP VOORHAND KUNNEN DOEN?

• Monitoren werknemers?

• Mag dat zomaar?

TERUG NAAR CASUS NMBS

4

Werknemer mailt naar een klant (zakelijke e-mails):

"(..) I can tell you it is impossible to work with pigs, and that is what I am facing now!”

en ook

“(..) Das wissen wir auch night was da los ist, es ist hier ein komplett chaos.(..)”.

CASUS: “PREVENTIE”

4

Gevolg: Reputatieschade bedrijf

Werkgever komt via controle deze zakelijke e-mails tegen.

•Mag u zomaar monitoren?

•En wat kunt u tegen de werknemer doen?

•Ontbinding arbeidsovereenkomst?

•En wat kunt u doen ter preventie?

CASUS: “PREVENTIE”

4

Feiten:

•Ontbindingsprocedure arbeidsovk werknemer

•Tegen de vader van de werknemer, die bij hetzelfde bedrijf werkt, liep al een ontslagaanvraag;

•Werknemer laat zich via mail tegen klanten negatief uit over bedrijf;

•Bedrijf kijkt in de e-mailbox van werknemer;

•Geen ICT-protocol

CASUS: “PREVENTIE”

4

Stellingen bedrijf monitoren zakelijke e-mail:

•Gerechtvaardigd doel

•Verdenkingen betrokkenheid meerdere werknemers bij de malversaties van de werknemer

Dus: controle e-mailberichten noodzakelijk.

CASUS: “PREVENTIE”

4

Stellingen werknemer:

•Inkijken e-mail is inbreuk privacy

•Geen verdenking of waarschuwing

•Daarom onrechtmatig bewijs in de ontslagprocedure

Dus: controle e-mailberichten ongerechtvaardigd.

CASUS: “PREVENTIE”

4

Maar wat vindt de rechter?

Kantonrechter Rb Rotterdam 21 september 2011

Monitoren zakelijke e-mail:

•werknemer mag verwachten dat werkgever, eerder dan bij privéberichten, inhoud van zakelijke e-mailberichten bekijkt;

•inbreuk privacy werknemer gerechtvaardigd en proportioneel

• geen ander middel om de correspondentie te controleren;

•e-mails als bewijs meegewogen voor bepalen dringende reden ontslag

CASUS: “PREVENTIE”

4

Feiten:

•Werknemer uitgezonden naar China om nieuwe markt aan te boren;

•Werknemer voerde via privé Gmail correspondentie over het opzetten van een nieuwe concurrerende vennootschap. Bovendien bleek uit account dat hij producttechnische tekeningen van het bedrijf werden gekopieerd;

•Privé Gmail werd soms ook zakelijk gebruikt;

•Bedrijf kreeg inzicht in deze e-mails;

•Werknemer op non-actief;

•Ontslagprocedure -> dringende reden? Rechtmatig bewijs?

CASUS: “GMAIL”

4

Stelt u zich eens voor dat u rechter bent. Hoe zou u dan oordelen?

•Waarom mocht het bedrijf wel in de Gmail kijken?

•Waarom mocht het bedrijf niet in de Gmail kijken?

CASUS: “GMAIL”

4

Stellingen bedrijf:

Geen sprake van onrechtmatig bewijs;

Gmail werd zakelijk gebruikt en stond centraal in bedrijfsvoering;

O.b.v. ICT-protocol was het toegestaan te monitoren;

Bedrijf had in het verleden het wachtwoord gekregen.

CASUS: “GMAIL”

4

Stellingen werknemer:

•Onrechtmatig verkregen bewijs;

•Privacybelang;

•Bedrijf geen toestemming om te kijken in privé mailbox;

•Account slechts heel af en toe zakelijk gebruikt, in het geval de zakelijke mail niet functioneerde;

•Wachtwoord in het verleden wel verstrekt, maar recent gewijzigd.

CASUS: “GMAIL”

4

Maar wat vindt de rechter?

Gerechtshof ‘s-Hertogenbosch 19 maart 2013

Bedrijf had geen toegang om de beveiligde privé e-mail te bekijken;

E-mail werd slechts af en toe zakelijk gebruikt;

Onvoldoende duidelijk wat status van account was, in ieder geval ook privé;

Laat bedrijf toe te bewijzen dat account zakelijk werd gebruikt en centraal stond in de bedrijfsvoering;

Laat bedrijf toe duidelijkheid te verschaffen hoe en wanneer zij toegang had tot het account;

Wordt vervolgd!

CASUS: “GMAIL”

4

To do:

ICT protocol:

duidelijk regelen wat werknemers wel en niet mogen;

met de ICT-voorzieningen van een organisaties;

bijv. op social media.

WAT BETEKENT DIT VOOR ORGANISATIES?

4

Organisaties moeten processen inrichten en richtlijnen maken over hoe te handelen als zich een datalek voordoet: maak een datalek draaiboek!

Zorgen dat beveiliging op orde is, zowel technisch als ook organisatorisch

De data moet versleuteld worden

Aspecten rondom beveiliging, datalekken en privacy moeten vóóraf in een overeenkomst geregeld worden!

WAT BETEKENT DIT VOOR ORGANISATIES?

4

Melden binnen 24 uur na lek ! Aan ACM en betrokkenen:

•Aard van de inbreuk;

•Instantie waar meer info verkregen kan worden;

•Aanbevolen maatregelen ter beperking negatieve gevolgen;

Aan ACM:

•Gevolgen inbreuk op persoonsgegevens;

•Aanbevolen maatregelen om inbreuk aan te pakken.

WAT BETEKENT DIT VOOR ORGANISATIES?

4

Risico bij niets doen: verantwoordelijke aansprakelijk. Gevolg: boetes, reputatieschade en claims

Denk ook aan opnemen van aansprakelijkheids-beperkingen in de overeenkomst!

***

WAT BETEKENT DIT VOOR ORGANISATIES?

4

HARTELIJK DANK VOOR UW AANDACHT!

Vragen?

mirjam.elferink@kienhuishoving.nl

martijn.kortier@kienhuishoving.nl

Twitter:

@MirjamElferink

@MartijnKortier

4