Post on 11-Jan-2017
1
LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer
2
Wet bescherming persoonsgegevens
Wet meldplicht datalekken
3
Centrale begrippen in privacyrecht
a. Persoonsgegevens
b. Betrokkene
c. Verwerken
d. Verantwoordelijke
e. Bewerker
4
Plichten verantwoordelijke
a. Zorgvuldige verwerking
b. Beveiliging
c. Bewerkersovereenkomst
d. Informatieplicht
e. Meldingsplicht
f. Inzage geven
g. Corrigeren
5
Zorgvuldige verwerking
• Niet bovenmatig
• Toereikend
• Ter zake dienend (noodzakelijk voor het doel)
• Juiste en nauwkeurige gegevens
• Bewaartermijn
6
Beveiliging
• Passende technische en organisatorische maatregelen om
verlies van gegevens of onrechtmatige verwerking tegen te
gaan
• Afhankelijk van risico’s van verwerking, aard van de
gegevens, stand van de techniek en kosten van de
maatregelen
7
Bewerkersovereenkomst
• Verwerking uitsluitend in opdracht van verantwoordelijke
• Nakoming beveiligingsverplichtingen door bewerker
• Waarborgen naleving meldplicht datalekken
• Toezien op naleving
• Bewerker is zelfstandig aansprakelijk voor schade die het
gevolg is van de bewerkingshandelingen
• Geheimhouding
8
Informatieplicht
• Verantwoordelijke, verwerkingsdoeleinden en alles wat
nodig is om behoorlijke en zorgvuldige verwerking te
waarborgen
• In beginsel vóór de verkrijging
• Zodanig dat de betrokkene er daadwerkelijk de beschikking
over krijgt (privacy statement)
9
Meldingsplicht verwerkingen (NB: veel ruimer
dan meldplicht datalekken)
• Bij de Autoriteit Persoonsgegevens of bij de door u of uw
brancheorganisatie benoemde functionaris
• Vóór de verwerking (= vóór verzameling)
• Uitzonderingen op de meldingsplicht: vrijstellingsbesluit
(o.a. debiteurenadministratie, nakoming contracten etc)
10
Sancties
• Bindende aanwijzing
• Boete
• Last onder dwangsom
• Rechterlijk verbod of gebod (civiel)
• Schadevergoeding (civiel, maar basis in Wbp)
• Reputatieschade (civiel)
11
Wet meldplicht datalekken
• 1 januari 2016 van kracht
• Beleidsregels AP
12
13
Datalek
• Een inbreuk op de beveiliging, die leidt tot de aanzienlijke
kans op ernstige nadelige gevolgen dan wel ernstige
nadelige gevolgen heeft voor de bescherming van
persoonsgegevens
14
Voorbeelden datalek
• Ongeautoriseerde inzage in bestanden met persoonsgegevens!
• Een kwijtgeraakte of vergeten USB-stick
• Een gestolen laptop/mobiele telefoon
• Inbraak in een databestand door een hacker
• Slordig wachtwoordbeheer
• Diefstal van papieren gegevens
• Online en offline datalekken
15
Datalek
• Zijn de verwerkte persoonsgegevens blootgesteld aan
verlies of onrechtmatige verwerking?
– dus aan datgene waartegen de beveiligingsmaatregelen bescherming
moesten bieden
• Kan redelijkerwijs worden uitgesloten dat er
persoonsgegevens verloren zijn gegaan of onrechtmatig
verwerkt?
16
Checklist datalek
• Is er sprake van verwerking van persoonsgegevens?
• Bent u verantwoordelijke?
• Is de Wbp van toepassing?
• Is dit een datalek (inbreuk op de beveiliging)?
Ja, ja, ja, ja: WAT NU?
17
Meldplicht
• Rust op de verantwoordelijke
• Melden aan AP
• Melden aan betrokkene
18
Melden aan AP
• Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans
op ernstige nadelige gevolgen dan wel ernstige nadelige
gevolgen heeft voor de bescherming van persoonsgegevens
– aard van de gegevens (persoonsgegevens van gevoelige aard)
– aard en omvang van de inbreuk
19
Melden aan AP
• Webformulier (vragen: zie bijlage Richtsnoeren AP)
• Onverwijld = ‘zo mogelijk’ uiterlijk 72 uur na ontdekking
van het incident
• Eventueel naderhand aanvullen of intrekken
20
Melden aan betrokkene
• Indien de inbreuk waarschijnlijk ongunstige gevolgen zal
hebben voor diens persoonlijke levenssfeer (b.v.: geen
encryptie)
• Persoonsgegevens van gevoelige aard: melden
• Overige gevallen: afweging maken
21
Melden aan betrokkene
• Een eenvoudige meldingswijze (aldus MvT)
• Onverwijld
• Behoorlijke en zorgvuldige informatievoorziening:
- aard inbreuk
- instantie waar betrokkene meer informatie kan krijgen
- maatregelen
22
Uitzonderingen meldplicht
• Passende technische beschermingsmaatregelen waardoor
persoonsgegevens onbegrijpelijk of ontoegankelijk zijn
- bijv. encryptie, remote wiping, pseudonimisering
- strenge norm
• Zwaarwegende redenen om melding aan betrokkene
achterwege te laten
- noodzakelijk in het belang van de bescherming van de betrokkene
23
Protocolplicht
• Feiten en gegevens omtrent de aard van de inbreuk
• Tekst kennisgeving betrokkene (…en AP)
• Intern en extern toezicht
• Niet openbaar
24
Sancties schending meldingsplicht
• Melding niet gedaan, niet tijdig gedaan of niet gedaan in
overeenstemming met Wbp
• Boetebevoegdheid AP
• Maximumboete van EUR 820.000 of 10% van de netto
jaaromzet
• Na bindende aanwijzing
25
Andere beboetbare schendingen Wbp (voorb.)
• Ongeoorloofde verwerking gegevens opgeslagen in NL door
persoon buiten EU, doorgifte vanuit NL zonder passend
beschermingsniveau: EUR 12.500- 20.500
• Onzorgvuldige of onrechtmatige verwerking, schending
beveiligingsverplichting, inzagerecht etc: veelal categorie
EUR 120.000-500.000
26
Boetebeleid
• Eerst bindende aanwijzing: welke concrete gedraging
verwacht de AP van de overtreder?
• Direct boete bij opzet: b.v. handel in persoonsgegevens.
• Direct boete bij grof of aanzienlijk onzorgvuldig,
onachtzaam dan wel onoordeelkundig handelen
• Daaronder ook: meermalen dezelfde overtreding
27
Boetebeleid (II)
• Boeteverhogend:
- recidive. Bij 2e boete verhoging met 50% tenzij in gegeven
omstandigheden onredelijk
- Tegenwerking/belemmering onderzoek AP
• Boeteverlagend: verdergaande medewerking dan verplicht;
vrijwillige beëindiging overtreding en/of schadeloosstelling
benadeelden
28
Europese Privacy Verordening (“Algemene
verordening gegevensbescherming”)
• voorlopig vastgesteld op 15 december 2015
• Treedt ws. medio dit jaar in werking; nadien
overgangstermijn twee jaar
29
Europese Privacy Verordening: general approach
• Hogere boetes dan nu in NL (max 20 mio/4%
wereldjaaromzet)
• Actieve houding ondernemer
• Data Privacy Officer verplicht
• PIA verplicht
• Etc etc
30
Tips & Tricks
• Inventarisatie, risicoanalyse, PIA en implementatie van
passende informatiebeveiliging
• Compliance check
• Datalekprotocol (actieplan) en datalek-team
• Training team en bewustwording medewerkers
• Cybercrimeverzekering (o.a.: AON)
31
Privacy in de praktijk
32
Kopietje paspoort
• (Bijzondere) persoonsgegevens: BSN, foto
• Legitimatie en controle
• Overnemen gegevens
• Kopiëren, scannen, opslaan
• Grondslag?