Embed Size (px)
Citation preview
Inhoud Datalekken
Datalekken? Voorbeelden
Richtlijn 2009/136/EG Achtergrond Doelen
Huidige wetgeving Wetsvoorstel (32 549)
Artikel 11.3 lid 2 en 3 Tw Artikel 11.3a Tw Problematiek
Toezicht Wbp Conclusie
Datalekken?
Datalekken: “(…) veiligheidsinbreuken die leiden tot het verlies, ongewild vrijkomen, diefstal of misbruik van persoonsgegevens” (MvT, p. 23)
Datalekken
Voorbeelden Datalekken veelvuldig in het nieuws, voorbeelden:
Gepensioneerde KLPD’ers Digitaal Loket Gemeente Amsterdam Miljoenennota Telefoonummers beveiliging Gay Pride Sony (PSN) Vodafone NL
Overzichten: Lektober (Webwereld) Zwartboek (Bits of Freedom)
Richtlijn 2009/136/EG
Wijziging e-Privacyrichtlijn(2002/58/EG), Wijziging Richtlijn Universele diensten en eindgebruikersbelangen(2002/22/EG) en Wijziging Verordening inzake samenwerking toezichthouders consumentenbescherming (EG nr. 2006/2004) (BEREC)
(Meldplicht) Datalekken: Wetsvoorstel zal worden geïmplementeerd in de Telecommunicatiewet Nu bij de Eerste Kamer
Richtlijn 2009/136/EG
‘(…) Een inbreuk op de persoonlijke gegevens kan, wanneer dit probleem niet tijdig en op toereikende wijze wordt aangepakt, voor de betrokken abonnee of persoon aanzienlijk economisch verlies en maatschappelijke schade, inclusief identiteitsfraude, tot gevolg hebben. (…)’ (overweging 61)
Richtlijn 2009/136/EGAchtergrond
‘(…) RFID-systemen (Radio Frequency Identification Devices) bijvoorbeeld maken gebruik van radiofrequenties om gegevens op te vangen van op unieke wijze geïdentificeerde RFI-chips, gegevens die vervolgens kunnen worden verstuurd over bestaande communicatienetwerken. Een breed gebruik van dergelijke [nieuwe, MMA] technologieën kan aanzienlijke economische en maatschappelijke baten opleveren en kan dus een krachtige bijdrage leveren voor de interne markt, op voorwaarde dat hun gebruik aanvaardbaar is voor de burger. Om dat doel te bewerkstelligen, is het noodzakelijk al de fundamentele rechten van het individu, inclusief het recht op privacy en gegevensbescherming, te waarborgen. (…)’ (overweging 56)
Richtlijn 2009/136/EGEvt. uitbreiding meldplicht
‘(…) Het belang van gebruikers om te worden ingelicht is duidelijk niet beperkt tot de sector elektronische communicatie, en bijgevolg moeten op Gemeenschapsniveau prioritair expliciete, verplichte meldingseisen worden ingevoerd die in alle sectoren gelden. In afwachting van een door de Commissie uit te voeren evaluatie van alle relevante Gemeenschapswetgeving op dit gebied moet de Commissie, in overleg met de Europese Toezichthouder voor gegevensbescherming, onverwijld passende maatregelen nemen ter bevordering van de beginselen inzake melding van inbreuken betreffende gegevens uit Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie), ongeacht de sector of het soort gegevens.’ (overweging 59)
Richtlijn 2009/136/EG
Doelen:
Beperking maatschappelijke schade Vergroten vertrouwen in communicatiediensten Transparante markt: mogelijkheden tot overstappen bij
ontevredenheid Algemeen belang
Huidige wetgeving
Art. 11.3 Tw (zorgplicht)
treffen van passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers
Informatieverplichting richting abonnees m.b.t. risico’s doorbreking veiligheid of beveiliging
Informatieverplichting richting abonnees m.b.t. middelen waarmee de risico’s tegen te gaan en een indicatie van de verwachte kosten
Wetsvoorstel (32 549)aanvulling zorgplicht
Artikel 11.3 lid 2 en 3 Tw (aanvulling op zorgplicht)
In ieder geval:
waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens,
de bescherming van opgeslagen of verzonden persoonsgegevens tegen onbedoelde of niet toegestane opslag, verwerking, toegang, verstrekking, wijziging, verlies, vernietiging, en
de invoering van een veiligheidsbeleid met betrekking tot de verwerking van persoonsgegevens.
Wetsvoorstel (32 549)meldplicht
Vervolg Artikel 11.3a Tw (meldplicht)
Onverwijlde meldplicht OPTA bij inbreuk beveiliging met gevolgen voor persoonsgegeven (zie art. 11.1 sub j Tw (nieuw))
Ook onverwijlde meldplicht bij betrokkene, indien dit waarschijnlijk leidt tot nadelige gevolgen
Geen meldplicht indien OPTA oordeelt dat gepaste technische maatregelen zijn genomen
Verplichting tot bijhouden overzicht van alle inbreuken
Voor wie?Artikel 11.3a Tw (meldplicht)
In gewijzigd wetsvoorstel: Aanbieder van openbare elektronische communicatiedienst en –netwerk
Wel: Aanbieders telefonie ISP’s
Niet (MvT): Banken Webwinkels Webhosters Overheid
Wetsvoorstel (32 549)problematiek
Artikel 11.3a Tw (meldplicht):
(Te) Beperkte reikwijdte verplichtingen (geen forums, social networks, online banken e.d.)
Interpretatie ‘inbreuk in verband met persoonsgegeven’ (zie overweging 61 Rl. 2009/136)
Interpretatie ‘onverwijld’ Geen harde meldplicht, indien dit waarschijnlijk niet leidt tot nadelige
gevolgen Wat is een ‘gepaste technische maatregel’ (art. 4 lid 3 Rl. 2002/58)
Toezicht
OPTA
Ontvangst en registratie melding Beoordeling of melding aan betrokkene noodzakelijk is Beoordeling of gepaste technische maatregelen zijn genomen
Opstellen (aanvullende) (beleids)regels
Mogelijkheid tot oplegging boete of last onder dwangsom
Algemene meldplicht: Wbp
Regeerakkoord VVD-CDA ‘Vrijheid en verantwoordelijkheid’:
“Het kabinet komt met een voorstel voor een meldplicht voor alle diensten van de informatiemaatschappij, waaronder de overheid, in geval van verlies, diefstal of misbruik van persoonsgegevens waarbij alle datalekken worden gemeld aan de nationale toezichthouder die boetes kan opleggen indien de meldplicht niet wordt nageleefd.” (p. 42)
30 september 2010
Wbp
Brief aan Tweede Kamer: voornemens voorstel wet wijziging Wbp
‘a. Een meldplicht voor doorbrekingen van de beveiligingsmaatregelen voor persoonsgegevens.’
Kortom: meldplicht voor elke verwerking van persoonsgegevens door de verantwoordelijke.
‘Het wetsvoorstel wil het kabinet voor medio 2011 ter consultatie aanbieden.’
29 april 2011
Nu: nog geen wetsvoorstel ingediend!
Wbp
Brief Minister aan Kamer n.a.v. DigiNotar:
"Zoals in het regeerakkoord is afgesproken zal de Staatssecretaris van Veiligheid en Justitie bovendien een wetsvoorstel indienen dat een meldplicht introduceert voor gebeurtenissen zoals deze bij DigiNotar zijn voorgekomen."
5 september 2011
Algemene meldplicht: herziening Privacy Richtlijn
Mededeling EC aan EP:
“De Commissie zal onderzoeken onder welke voorwaarden in het algemene wettelijke kader een algemene meldingsplicht voor inbreuken met betrekking tot persoonsgegevens kan worden ingevoerd, en met name aan wie dergelijke kennisgevingen moeten gebeuren en op basis van welke criteria de meldingsplicht ontstaat.”
4 november 2010
Conclusie
(Thans) relatief beperkte beschermingsomvang; weinig datalekken door aanbieders van openbare telecommunicatiediensten
Onzekerheid m.b.t. wetsvoorstel Wbp en herziening Privacy Richtlijn
Onzekerheid over interpretatie van begrippen
![‘BREDE’ MELDPLICHT DATALEKKEN, PREVENTIE EN PRIVACY€¦ · het langverwachte wetsvoorstel ‘meldplicht datalekken’ naar de Tweede Kamer gezonden [4]. In dit wetsvoorstel wordt](https://img.pdfslide.tips/doc/110x75/5fbf32ab966fe75aae6063a3/abredea-meldplicht-datalekken-preventie-en-privacy-het-langverwachte-wetsvoorstel.jpg)
