donderdag 24 december 2015

1 januari 2016, ‘meldplicht datalekken’ van kracht….. ja, en?

 

In onze vorige blog heeft u kunnen lezen dat de “ Wet bescherming persoonsgegevens” (Wbp) per 1 januari 2016 aangescherpt wordt en dat deze aanscherping grote gevolgen kan hebben voor iedereen die persoonsgegevens verwerkt.

 

In dit blog zullen wij verder ingaan op de volgende drie punten uit deze nieuwe wet:
1. Er moeten passende en aantoonbare maatregelen genomen worden om persoonsgegevens te beschermen.
2. Bij een datalek van persoonsgegevens met mogelijk grote gevolgen moeten alle betrokkenen inclusief het CBP geïnformeerd worden.
3. Het CBP zal in veel gevallen in eerste instantie een ‘bindende aanwijzing’ afgeven ter verbetering maar krijgt ook de bevoegdheid om meteen boetes op te leggen.

 

Wat houdt de nieuwe wetswijziging op de Wbp in?

Met de aanscherping van de Wbp moet bereikt worden dat persoonsgegevens (en data in het algemeen) beter worden beveiligd en zorgvuldig(er) worden behandeld:

1. Er moeten passende en aantoonbare maatregelen genomen worden om persoonsgegevens te beschermen.

2. Bij een datalek van persoonsgegevens, waarbij aannemelijk is dat dit leidt of kan leiden tot ernstige nadelige gevolgen met betrekking tot de beveiliging van deze persoonsgegevens, moeten alle betrokkenen worden geïnformeerd, tenzij aantoonbaar is dat de gelekte data (aantoonbaar) is versleuteld. In dat laatste geval hoeven de betrokken EU burgers niet te worden geïnformeerd. De melding moet uiteraard ook gedaan worden bij de toezichthouder op de wet, het College Bescherming Persoonsgegevens (CBP).

3. Het CBP zal in veel gevallen in eerste instantie een ‘bindende aanwijzing’ afgeven ter verbetering maar krijgt ook de bevoegdheid om meteen boetes op te leggen (bijvoorbeeld op opzettelijk lekken). De maatregelen en boetes zijn afhankelijk van de bestaande (en aantoonbaar) genomen richtlijnen (zie punt 1). De boete kan oplopen tot € 810.000,-.

 

Duidelijkheid?

Wetgeving staat niet altijd garant voor duidelijkheid. Hoe zit dat dan met de Wbp en de drie eerder genoemde punten?

 

Punt 1: Wat zijn passende en aantoonbare maatregelen?

Hier moet worden gerealiseerd dat alleen het beveiligen van uw netwerk met een firewall niet voldoende is. Ook het verliezen van persoonsdata op een USB stick is een datalek. Zoals ook het ‘verkeerd’ adresseren van een email met persoonsgegevens als datalek kan worden gezien. Dit houdt in dat er naast concrete en fysieke beveiliging ook duidelijk beleid moet worden opgesteld. Versleuteling (encryptie) van data is een erg belangrijke en zwaarwegende maatregel in de wetgeving.

 

Punt 2: Wanneer moet ik een datalek melden?

Het zal helemaal verrassend zijn dat de wet hier niet helemaal duidelijk over is dus daar gaan we iets dieper op in. Het CBP heeft hiervoor richtlijnen afgegeven.
 

Wat weten we wel:

 

– Wie moet melden?

De verantwoordelijke van de persoonsgegevens. Hiermee wordt dus niet de verwerker van de persoonsgegevens bedoeld. Wanneer een administratiekantoor Y in opdracht van een onderneming X de persoonsgegevens verwerkt is de onderneming X verantwoordelijk.
Een vereiste als onderdeel van passende maatregelen is ook dat er een overeenkomst is tussen verantwoordelijke en verwerker waarin alle werkzaamheden en verantwoordelijkheden zijn vastgelegd. Dit is op zich nog helder uit te leggen. Maar wat moet dan gemeld worden?

 

– Wat moet gemeld worden?

Alle incidenten die ernstige nadelige gevolgen (kunnen) hebben voor de betrokken personen of op de beveiliging van de persoonsgegevens. Of zoals het eerste lid van artikel 34 uit de nieuwe Wbp luidt: De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Deze cryptische omschrijving wordt nog lastiger als blijkt hoe daar een filter op moet worden los gelaten. Want wie bepaalt de ernst van het incident, en op basis waarvan?

 

– Wie bepaalt?

De verantwoordelijke voor de persoonsgegevens moet zelf bepalen wanneer er sprake is van een incident die valt in de categorie ernstig en gemeld dient te worden.
Hierbij geldt ook nog dat niet alleen het daadwerkelijk verlies aan data (bijvoorbeeld een data hack) geldt als lek, maar ook ‘de kans op’ (denk aan verlies van notebook of USB stick).
De wet geeft dus aan dat de interpretatie van wanneer iets kritisch genoeg is om te kwalificeren als ernstig incident bij de verantwoordelijke ligt.
De verantwoordelijke moet een registratie bij houden van (mogelijke) incidenten en welke maatregelen zijn genomen. Het CBP kan bij controle achteraf maatregelen nemen als blijkt dat incidenten die niet zijn gemeld wel gemeld hadden moeten worden.

 

– Waar melden?

1. Bij het CBP (College Bescherming Persoonsgegevens)
2. Bij de betrokken personen waar de persoonsgegevens betrekking op hebben. Dit hoeft niet als aangetoond kan worden dat de data voldoende encrypted was en niet achterhaald kan worden op welke personen de data betrekking heeft.

 

– Hoe snel melden?

Onverwijld.

Nu ligt het voor de hand om hier cynisch over te doen (het staat namelijk letterlijk in de wet, ‘onverwijld’), maar de consequenties liegen er absoluut niet om. Het is dus zaak om bij een incident zo snel mogelijk (binnen twee werkdagen) te handelen en maatregelen te nemen. Dat betekent in de praktijk dat er niet gewacht moet worden met het melden totdat een (intern of extern) onderzoek is afgerond.

 

Punt 3: Consequenties

Het CBP heeft in de nieuwe wet de bevoegdheid gekregen om boetes uit te delen tot € 810.000,- (hoogste categorie) of, als dat niet passend is, 10% van de jaaromzet. Hoewel het CBP in veel gevallen in eerste instantie een ‘bepalende richtlijn’ voor aanpassing zal afgeven mag het CBP ook meteen boetes opleggen. Bijvoorbeeld bij aantoonbare nalatigheid of opzettelijk lekken.

 

In ieder geval goed om te weten.

– Bent u al meldplichtig via de wet op de telecommunicatie (openbare voorzieningen als GSM/telefonie, internet, publieke netwerken, email) als geregistreerde bij het ACM (Autoriteit Consument en Markt)? Dan is er al een beperkte datameldplicht van toepassing. Deze meldplicht blijft van kracht maar moet vanaf 1 januari worden gedaan bij CBP.

– Niet geregistreerd zijn bij het ACM betekend niet per definitie dat er geen meldplicht is.

– Het is de verantwoordelijke verplicht een logboek bij te houden van (mogelijke) datalekken.

– Er moet naast fysieke beveiliging (zoals firewalls, encryptie, antivirus) een duidelijk beleid zijn opgesteld binnen de organisatie van de verantwoordelijke.

– De meldplicht is van toepassing op alle zaken waarop de (Nederlandse) Wet bescherming persoonsgegevens betrekking heeft. Een Frans bedrijf (verantwoordelijke) die zijn persoonsgegevens in Nederland laat verwerken is dus niet gehouden aan de meldplicht. Een Nederlands bedrijf dat zijn gegevens door een Duitse verwerker laat behandelen dus wel.

– Wist u dat betrokken personen (die van de persoonsgegevens) zelf ook melding mogen doen als ze een datalek vermoeden?

 

Wat moet ik doen?
Bij een eventueel incident zal altijd gekeken worden naar de genomen maatregelen zoals die actief zijn op het moment van het incident. De maatregelen die worden genomen na een incident zijn niet (of indirect) van toepassing bij de beoordeling. Het is dus zaak om te zorgen voor adequate beveiliging en beleid. De informatie op het internet is veel en versnipperd. Richtlijnen van het CBP: https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf

 

Wat kunnen wij voor u doen?
Itass heeft de expertise in huis om u te helpen met informatiebeleid en informatiebeveiliging. Wij kunnen u op strategisch niveau adviseren maar ook functioneel en operationeel ondersteunen. Ondernemingen, groot en klein. Van ZZP’er tot multinational. Publieke en private sector.

 

Voor meer informatie of een geheel vrijblijvende afspraak kunt u contact opnemen via 088-8880700 of per e-mail info@itass.nl.

 

Richard Pruim, business manager