3. • Privacy is overal; iedere dag mee te maken
• Iedere dag in het nieuws: datalekken, Artificial
Intelligence, cyberhacken (presidentsverkiezingen
US), internet of things etc.
• Zelfs NPO had de week van de privacy
Privacy is hot topic
4. • Data is het nieuwe goud
• Keerzijde van deze populariteit is gevaar voor
datalekken, hacken, identiteitsfraude, overtredingen
etc.
• Daarom is goede wetgeving van belang en daar gaan
wij het vandaag over hebben:
• Wet meldplicht datalekken
• Nieuwe privacywetging
Privacy is hot topic (2)
5. • Sinds 1 januari 2016 > Wet Meldplicht Datalekken
• Al ruim 5500 meldingen binnengekomen bij de Autoriteit
Persoonsgegevens (tot en met 15 december 2016)
• Verwachting in 2016 was 66.000 (!) meldingen…
• Meeste datalekken in de gezondheidzorg en financiële
sector
• Bij 4000 meldingen oriënterend onderzoek gedaan
• Ruim 100 ondernemingen kregen een waarschuwing
• Tientallen onderzoeken lopen nog
Meldplicht Datalekken
7. Beveiligingsincident
• Een kwijtgeraakte USB-stick;
• Een gestolen laptop;
• Een inbraak door een hacker;
• Een malware-besmetting;
• Een calamiteit zoals een brand in een datacentrum.
Wat is een datalek?
9. • Verantwoordelijke is eindverantwoordelijk voor melding!
• Verwerking door een bewerker
• Afspraken
• Bewerker moet de Verantwoordelijke tijdig en
adequaat informeren over de datalekken waarvan hij
kennis krijgt
Wie is verantwoordelijk
10. In ieder geval meldplicht wanneer de gegevens van
gevoelige aard zijn:
• Bijzondere categorieën persoonsgegevens (raciale/etnische
afkomst, politieke opvattingen, godsdienstige of
levensbeschouwelijke overtuiging, etc.)
• Financiële gegevens
• Gegevens die kunnen leiden tot stigmatisering of uitsluiting
• Gebruikersnamen, wachtwoorden en andere inloggegevens
• Gegevens vatbaar voor ‘misbruik’ (identiteitsfraude)
Meldplicht 1: Autoriteit Persoonsgegevens
11. Hoe en wanneer?
• Webformulier (meldloket) / fax
• “Onverwijld”, maar mag enige tijd nemen voor nader
onderzoek…
• Zonder onnodige vertraging, en zo mogelijk niet later dan 72
uur na de ontdekking,
[…] tenzij op dat moment inmiddels al uit uw onderzoek is gebleken dat het incident niet
onder de meldplicht datalekken valt. Indien u het incident later dan 72 uur na ontdekking
aan de toezichthouder meldt, dan kunt u desgevraagd motiveren waarom u de melding
later heeft gedaan.” (p. 31 Beleidsregels)
Meldplicht 1: Autoriteit Persoonsgegevens
12. • Wanneer betrokkene informeren over datalek?
- Onrechtmatige publicatie, aantasting eer/goede naam, ID-fraude,
discriminatie, financiële schade
• ‘’Onverwijld … maar “enige tijd voor onderzoek en voorbereiding
behoorlijke zorgvuldige melding”. Betrokkene moet in staat gesteld
worden maatregelen te nemen tegen schade
• Eerste melding om Betrokkene in gelegenheid te stellen wachtwoord te
veranderen, zonder (nog) volledige details te geven
Meldplicht 2: Betrokkene (óók meldplicht AP)
13. • Iedereen is toezichthouder > reputatieschade?
Niet melden?
14. • Niet of maar wanneer
• Goede afspraken met partijen die gegevens voor jou
verwerken
• Beveiliging is het sleutelwoord
• Mocht wel sprake zijn van datalek > draaiboek klaar
liggen
Tips
15.
16. • General Data Protection Regulation (GDPR) / Algemene
Verordening Gegevensbescherming (AVG)
• Handhaving vanaf 25 mei 2018
• Waarom? Privacyrichtlijn (95/46/EG) zorgde voor fragmentatie,
rechtsonzekerheid, obstakels voor economische activiteit en
verstoring concurrentie vs. toegenomen publieke aandacht voor
bescherming individu.
• Uitbreiding: 170 (72) overwegingen, 94 (34) bepalingen en 26 (8)
definities
• 4 jaar over gedaan, 4000 amendementen
Nieuwe privacywetgeving
17. • Nieuwe verordening, betekent nieuwe wetgeving in
Nederland
• Huidige privacywetgeving (Wbp) komt te vervallen
• Afgelopen december consultatieversie Uitvoeringswet AVG
gepubliceerd
• Voor deel bestaat er ruimte voor nationale wetgever om
artikelen uit AVG nader in te vullen
Nieuwe privacywetgeving
18. • Meer focus op activiteiten van verantwoordelijke én
bewerker
• Aanbieden van diensten aan betrokkenen in de EU of
monitoren van hun gedragingen
• Gedetailleerdere regels, meer verplichtingen voor
verantwoordelijken en bewerkers, meer rechten voor
betrokkenen, meer formaliteiten
• Geen meldplicht verwerking, maar accountability en
documentatieplicht
• Ook meer bevoegdheden voor toezichthouders en hogere
boetes (tot 4% / 20 miljoen)…
Nieuwe privacywetgeving
19. • Dataportabiliteit
• Data Protection Officers
• ‘’One-Stop-Shop principe’’
Drie nieuwe onderwerpen onder de GDPR
20. ‘’Right of data portability’’
• Betrokkene krijgt toegang tot data over hem zelf
‘’… in a structured, commonly used and machine-readable format’’
• Ongehinderd recht op (elektronische) overzetting van
persoonlijke gegevens
Nieuw recht voor betrokkenen
21.
22. • Organisaties met meer dan 5.000 data subjects (personen) per
jaar, als ook alle overheidsorganisaties.
• Onafhankelijke DPO (geen dubbele pet op)
• Zowel kennis van Privacywetgeving, Informatiebeveiliging als
Risicomanagement.
• Geen persoonlijke verantwoordelijkheid DPO
• Databescherming blijft de verantwoordelijkheid van de
verwerker
• ‘’Sufficient autonomy and resources’’
Data Protection Officers (DPO’s)
23. • Eén Europese wet
• Slechts één toezichthouder (Data Protection Authority). De
nationale toezichthouders, zoals in Nederland de Autoriteit
Persoonsgegevens, worden door één European Data Protection
Board (EDPB) gecoördineerd.
• Eén centraal punt
• Vooral van belang bij grensoverschrijdende activiteiten
• Geen forum shopping
One-Stop-Shop
24. • Zorg dat de website op orde is (privacy policy etc.)
• Welke gegevens worden er verwerkt? en weet wie toegang heeft tot die data
• Beveiliging! Log alles!
• Check of een Data Protection Officer vereist is voor uw organisatie
• Zorg dat betrokkenen net zo eenvoudig (als het aanleveren daarvan) hun
gegevens kunnen inzien, wijzigen en verwijderen (RtbF)
• Zorg voor een up-to-date draaiboek in geval van een datalek
• Bel een jurist als u het niet meer weet
Best Practices privacy
Privacy is overal om ons heen. Iedere dag mee te maken. Op het werk (computer, smart phone), maar ook in vrije tijd.
Privacy is ook wel iedere dag in het nieuws > voorbeelden
Data van burgers is het nieuwe goud!
Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens.
De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat u de persoonsgegevens die u verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp).
Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).
Heeft zich een beveiligingsincident voorgedaan? Beveiligingsincident
Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten? Datalek
Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens? Melden bij Autoriteit Persoonsgegevens (art. 34a lid 1 Wbp)
Waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene? Melden bij de betrokkene (art. 34a lid 2 Wbp)
De meldplicht datalekken richt zich tot de verantwoordelijke voor de verwerking van persoonsgegevens.
De verantwoordelijke is degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (art. 1 lid 1 sub d Wbp). Het gaat hierbij om de vraag wie uiteindelijk bepaalt welke verwerking er plaatsvindt van welke persoonsgegevens en voor welk doel.
Let op: een mondelinge afspraak tussen Verantwoordelijke en bewerker is niet voldoende
In concrete gevallen is het mogelijk om, in het geval van een datalek, de bewerker de eerste melding aan de AP te laten doen. Dit moet echter wel expliciet tussen Verantwoordelijke en bewerker zijn afgesproken en het moet voor bewerker duidelijk zijn in welke gevallen een melding aan AP noodzakelijk is. De Verantwoordelijk blijft ook in dit geval eindverantwoordelijk voor de melding (p. 16 Beleidsregels).