Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde RI&E-Privacy

1

Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de Nederlandse wetgeving met betrekking tot de bescherming en de privacy van persoonsgegevens. De wetswijziging in de “Wet Bescherming Persoonsgegevens” (Wbp) is op 1 januari 2016 in werking getre-den. Deze verandering in de wetgeving heeft gevolgen voor het bedrijfsleven. Voorberei-ding is van groot belang. De veranderingen die zijn aangebracht omvatten een meldplicht voor datalekken en een verhoging van de boetebevoegdheid van de toezichthouder. In dit artikel zetten we de kernpunten van de wijzigingen voor u op een rij. Het is belangrijk dat bedrijven zich realiseren dat dit niet alleen een “ICT-aangelegenheid” is. Deze nieuwe wetgeving heeft gevolgen voor de accountancy (goed-keuring van de jaarstukken), de aansprakelijkheid (bewerkersovereenkomsten), HR (Se-curity Awareness, veilig en verantwoordelijk gedrag van medewerkers met ICT middelen en bedrijfsinformatie), de compliance (hoge boetebevoegdheid van toezichthouder), de marketing & communicatie (Hoe gaan we een datalek communiceren naar buiten?) en de reputatie (ivm de meldplicht voor datalekken) van iedere organisatie.

Meldplicht Datalekken (Artikel 34A Wbp) Het kan gebeuren dat gegevens van bedrijven toegankelijk worden voor mensen die geen recht hebben op kennisname van die gegevens. (Datalek) De oorzaak van een dergelijk datalek zou bijvoorbeeld kunnen zijn:

Inbreuk op de beveiliging

Hackersaanval waarbij persoonsgegevens zijn gestolen

Verlies/diefstal van een laptop of smartphone waarop persoonsgegevens staan

Geen adequate beveiliging van persoonsgegevens

Onveilige omgang met ICT middelen en persoonsgegevens door medewerkers De Meldplicht Datalekken verplicht bedrijven en organisaties om een ernstig datalek onverwijld te melden bij de toezichthouder en in sommige situaties ook bij alle betrok-kenen waarover de data is gelekt. Een meldplicht voor datalekken is niet nieuw. Het bestaat al langer voor de overheid en voor kritische infractructuur (bijv. energiebedrijven). Telecom-bedrijven en financiële instellingen hebben ook al langer een meldplicht voor datalekken vanuit specifieke wet-geving waaraan zij moeten voldoen (Telecommunicatie-wet en de wet op het financieel toezicht).

2

De letterlijke tekst in de nieuwe wetgeving (art. 34A lid 1) zegt dat het gaat om “een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ern-stige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Deze inbreuken dienen “onverwijld” te worden gemeld aan de toezichthouder. Vervolgens zegt Artikel 34A lid 2 dat de alle betrokkenen ook in kennis gesteld moeten worden “indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens per-soonlijke levenssfeer”. Melding aan alle betrokkenen volgens lid 2 is niet van toepassing “indien de verantwoor-delijke passende technische beschermingsmaatregelen heeft genomen waardoor de per-soonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens”. (Bijvoorbeeld door middel van encryption) De melding aan de toezichthouder omvat een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De kennisgeving aan de toezichthouder en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkre-gen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beper-ken.

Boetebevoegdheid van de toezichthouder (Artikel 66 Wbp) Een belangrijke verandering in de wetgeving is de verhoging van de boetebevoegdheid van de toezichthouder. De toezichthouder kan nu “bestuurlijke boetes” opleggen van “ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht”. Dit zijn boetes van materieel belang: maximaal 820.000 Euro of in sommige gevallen 10% van de jaaromzet. De toezichthouder legt geen bestuurlijke boete op “dan nadat het een bindende aanwij-zing heeft gegeven”. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Deze bindende aanwijzing is niet van toepassing “indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid”.

Naamsverandering van de toezichthouder De toezichthouder, vroeger bekend onder de naam “College Bescherming Persoonsgege-vens”, heeft per 1-1-2016 een andere naam gekregen. De toezichthouder zal in het maatschappelijk verkeer worden aangeduid als: Autoriteit persoonsgegevens.

3

Veel gestelde vragen over de meldplicht datalekken Hieronder volgt een overzicht van een aantal veel gestelde vragen over de meldplicht datalekken. Ontstaat een datalek alleen als je gehackt wordt? Nee. We spreken van een datalek als persoonsgegevens toegankelijk worden voor onbe-voegden of als de gegevens verloren raken of onrechtmatig worden verwerkt. Dit kan dus niet alleen ontstaan als je gehackt wordt, maar ook als de gegevens worden gestolen bij een inbraak in een kantoorpand. Verlies of diefstal van een datadrager (externe harde schijf, tablet, laptop, smartphone) waarop persoonsgegevens staan opgeslagen is ook een datalek. Het is daarom van belang dat je weet welke gegevens er op die apparatuur opgeslagen staat. Moet ik alle datalekken melden? Niet alle datalekken moeten gemeld worden. Het betreft alleen de ernstige lekken. Een datalek is ernstig als het gaat om een grote hoeveelheid gegevens of als het gaat om privacygevoelige gegevens zoals bijvoorbeeld foto’s, BSN-nummers, creditcard gegevens, financiële gegevens, username/passwords, Identiteitsgegevens (bijv. kopieën van pas-poorten), gezondheidsgegevens (bijv. ziekteverzuim), werkbeoordelingen. De keuze of een datalek gemeld dient te worden ligt bij uzelf. U dient van de keuze en uw argumentatie over wel/niet melden een degelijke administratie aan te leggen en te be-waren. Indien er onjuiste argumentatie is gebruikt bij een besluit om een lek niet te melden heeft de Autoriteit Persoonsgegevens de mogelijkheid om achteraf alsnog een bindende aanwijzing op te leggen. Welke informatie moet ik aan de Autoriteit Persoonsgegevens melden? Een melding aan de autoriteit bevat gedetailleerde gegevens over het datalek, zoals bij-voorbeeld wanneer het lek is ontdekt, de aard van het datalek, hoe het datalek is ont-staan, welke persoonsgegevens er zijn gelekt, de hoeveelheid gegevens, welke maatrege-len er zijn genomen om het datalek te stoppen. Van elk datalek dient u deze informatie te bewaren in een administratie. Aan wie moet ik de melding doen? Een datalek wordt gemeld aan de Autoriteit Persoonsgegevens. Deze melding dient bin-nen 72 uur na ontdekking van het datalek te worden gedaan. De melding kunt u doen via de website van de autoriteit persoonsgegevens. (www.autoriteitpersoonsgegevens.nl) Bij het lekken van privacygevoelige gegevens is er een grote kans dat het datalek ook ongunstige gevolgen (bijv. identiteitsfraude, reputatieschade) heeft voor de betrokkenen (de personen waarover de gegevens zijn gelekt). In deze situatie dient u het datalek óók aan al deze betrokkenen te melden. Indien de gelekte gegevens versleuteld waren (en-crypted) dan is de melding aan de betrokkenen niet noodzakelijk.

4

Mijn gegevens staan opgeslagen bij een clouddienst provider of een hosting partij. Als u persoonsgegevens laat verwerken door een derde partij (dataopslag, SAAS-oplossing, salarisverwerking, marketingbedrijf, etc.) is er sprake van een “bewerker”. In het geval van een datalek bij de bewerker blijft u zelf verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens. U dient daarom de garantie te hebben dat uw bewerker een datalek onmiddellijk bij u meldt. De (wettelijk verplichte!) bewerkersovereenkomst tussen u en uw bewerker dient daar-om (onder andere) informatie te bevatten over hoe er wordt gehandeld in het geval er een datalek ontstaat.

Voorbereiding op deze nieuwe wetgeving De wijziging in de wetgeving heeft gevolgen voor bedrijven die persoonsgegevens ver-werken. Bedrijven dienen zich voor te bereiden op mogelijke calamiteiten waarvan een melding gemaakt moet worden aan de toezichthouder. Sebyde heeft een RI&E-Privacy programma ontwikkeld waarmee bedrijven ondersteund worden bij de voorbereiding op de nieuwe wetgeving. Het is een modulair programma bestaande uit 5 duidelijke stappen. Het programma bestaat uit de volgende stappen:

5

Module 1: Overzicht – Hoe staan we er voor? De eerste stap is het creëren van overzicht van de verwerkingen, van uw organisatie, de informatiesystemen en de kennis van uw personeel. Tijdens deze stap wordt de volgende informatie boven water gehaald:

Welke persoonsgegevens worden er in uw organisatie verwerkt? (Eigen gegevens of die van andere partijen)

Welke verwerkingen worden er met / op die persoonsgegevens uitgevoerd? Aan welke wettelijke eisen moeten deze verwerkingen voldoen? Is er een juridische grindslag voor de verwerkingen die worden gedaan? Hoe is de organisatie opgebouwd? Wat zijn de betrokken netwerken, systemen en applicaties? Welke afdelingen zijn er betrokken bij het verwerken van persoonsgegevens? Hoe staat het met de kennis van de medewerkers - Privacy Awareness Welk security- en privacy- beleid is er al geïmplementeerd?

De praktische uitvoering van deze stap bestaat uit 1 of meerdere gesprekken met of vra-genlijsten voor de betrokken personen / afdelingen om de benodigde informatie te ver-krijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functiona-ris Gegevensbescherming). Resultaat: Een bruikbare privacy administratie Module 2: Inzicht – Waar liggen de risico’s? De tweede stap van de RI&E-Privacy is het bepalen aan welke risico’s de verwerkingen blootstaan. Behalve verschillende security testen op netwerk, systemen en de applicaties wordt in deze stap ook de “zachte” kant van de security meegenomen.

Uitvoeren van security testen op Netwerk en systemen (Pentesten)

Uitvoeren van security testen van applicaties (Web Applicatie Security Scan)

Security awareness van de medewerkers

Phishing test voor de organisatie In hoeverre is security en privacy “embedded” in de bedrijfsprocessen

Resultaat: Een risico analyse met betrekking tot de verwerkingen

Module 3: Aanpak – Wat gaan we doen? Bepalen welke maatregelen er kunnen/moeten worden genomen om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te mini-maliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën:

Mens (trainen op veilig en privacy bewust gedrag van uw medewerkers) Organisatie (juridische afspraken, securitybeleid, privacy administratie, procedu-

res) Techniek (technische maatregelen in netwerken, systemen en applicaties)

Resultaat: Een plan van aanpak voor de uit te voeren maatregelen.

6

Module 4: Uitvoering – Aan de slag! Het plan van aanpak, van stap 3, wordt uitgevoerd met al zijn maatregelen.

De privacy administratie wordt opgezet. Trainingen worden gegeven. De privacy organisatie wordt ingericht. Overeenkomsten worden gemaakt.

Per verwerking wordt het PIA (Privacy Impact Assessment) rapport aangemaakt met alle bevindingen en aanbevelingen. Het rapport zal opgesteld worden conform de richtlijnen die door de toezichthouder zijn opgesteld. Resultaat: Uw organisatie heeft gepaste maatregelen genomen. Module 5: Evaluatie – Is de aanpak succesvol! Om de privacybescherming binnen uw organisatie op hetzelfde hoge niveau te houden is het nodig om deze regelmatig onder de loep te nemen. U meet en controleert de status van uw organisatie, de kennis van uw medewerkers en de beveiligingsmaatregelen. Resultaat: verbeterpunten, verfijningen ten aanzien van de bedrijfs-brede implementa-tie. Sebyde maakt graag een offerte voor het uitvoeren van module 1 van de RI&E-Privacy bij u in de organisatie. Neem hierover gerust contact op via onderstaande contactgegevens.

Waar te beginnen? Om de eerste stap van de RI&E-Privacy te kunnen uitvoeren dienen we te beschikken over enige basisinformatie over uw organisatie. Deze informatie kunt u invullen in de privacy checklist. Deze is aan te vagen via www.sebyde.nl/rie-privacy Als u de privacy checklist heeft ingevuld kunt u hem opsturen naar Sebyde ter evaluatie. De ingevulde gegevens worden dan beoordeeld door onze FG (Functionaris Gegevensbe-scherming) en ICT-architect en u ontvang een basis rapportage over de situatie met be-trekking tot de privacy. Voor deze beoordeling brengen we 495 Euro in rekening. Aan de hand van de ingevulde privacy checklist is er een goed beeld van de grootte, de complexiteit en het risicoprofiel van de organisatie. We kunnen dan een gericht voorstel uitbrengen over het uitvoeren van de eerste stap van het RI&E-Privacy programma. Tijdens deze eerste stap brengen we alle gegevensverwerkingen in kaart en worden ze beoordeeld op juridische grondslag en privacy risico’s. We bekijken tevens de situatie met betrekking tot de noodzakelijke bewerkersovereenkomsten en het kennisniveau van het personeel. (Awareness). Het resultaat van deze eerste stap is dat u inzicht heeft in de situatie met betrekking tot de privacy compliance en u beschikt over de noodzakelijke privacy administratie voor de Autoriteit Persoonsgegevens.

7

Sebyde

Sebyde en Sebyde Academy ondersteunen bedrijven bij het verlagen van het aantal IT-security incidenten en datalekken. Dit doen wij vanuit Sebyde (www.sebyde.nl) door het aanbieden van advies en onderzoek op het gebied van het security- en privacy beleid. De Sebyde RI&E-Privacy helpt bedrijven bij het opzetten van de benodigde privacy admi-nistratie voor de Autoriteit Persoonsgegevens en geeft overzicht en inzicht in de situatie met betrekking tot de privacy compliance. Dit is belangrijke informatie aangezien de nieuwe wetgeving bedrijven verplicht om aantoonbaar inzicht te hebben in hun gege-vensverwerkingen en deze te beoordelen op juridische grondslag en privacy risico’s. Meer informatie over de Sebyde RI&E-Privacy is te vinden op: https://www.sebyde.nl/rie-privacy Met onze phishing simulatie testen we de gevoeligheid van een organisatie op het gebied van phishing, eventueel gevolgd door effectieve korte workshops over phishing om het personeel bewust te maken. Hiervoor hebben we een platform beschikbaar waarmee bedrijven een ongelimiteerd aantal keer per jaar een phishing-test kunnen uitvoeren om te meten hoe gevoelig de organisatie is voor phishing. Dit levert belangrijke informatie op die weer kan dienen als basis voor de te nemen maatregelen om de risico’s te verla-gen. Meer info: https://www.sebyde.nl/phishing-test Met de Sebyde Webapplicatie Security Scan halen we alle kwetsbaarheden in uw web-applicaties (bijvoorbeeld uw website) boven water en krijgt u gericht advies hoe de ge-vonden kwetsbaarheden gerepareerd kunnen worden. Veel cybercriminelen breken in via onveilig geprogrammeerde websites. Het is in de meeste gevallen kinderspel om via een website in te breken. Laat daarom uw webapplicaties controleren om datalekken te voorkomen! Meer informatie is te vinden op: https://www.sebyde.nl/web-applicatie-security-scan/

Sebyde Academy Vanuit onze Sebyde Academy (www.sebydeacademy.nl) bieden we diverse workshops en presentaties aan om mensen bewust te maken op het gebied van security en privacy en ze te stimuleren en motiveren naar veilig gedrag met ICT-middelen en bedrijfsgege-vens. Tevens hebben we de mogelijkheid voor het aanbieden van op maat gemaakte online Awareness modules. Workshops op het gebied van security en privacy zijn een integraal onderdeel van de activiteiten om risico’s te verlagen en compliant te zijn aan de wetgeving. Een compleet overzicht van de Sebyde Academy workshops en presentaties stuur ik u op uw verzoek graag per email toe.

8

Contact gegevens Sebyde en Sebyde Academy Sebyde BV Telefoon: 085 - 2733376 Email: (algemeen) info@sebyde.nl Website Sebyde BV: www.sebyde.nl Website Sebyde Academy: www.sebydeacademy.nl LinkedIn: www.linkedin.com/company/sebyde-bv Twitter: www.twitter.com/SebydeBV Facebook: www.facebook.com/sebydeBV