Meldplicht Datalekken

Wetsvoorstel
Meldplicht Datalekken
Tevens aandacht voor het wetsvoorstel Meldplicht Inbreuken op elektronische systemen en de
Europese ontwikkelingen.
September 2014 [v1.0]
Initiatief, bewerking en redactie:
Aramis Jean Pierre, Gineke Kuipers en Ruud de Bruijn (eindredactie)
Centrum voor Informatiebeveiliging en Privacybescherming, Domeingroep Privacy
Het CIP betracht zorgvuldigheid bij het samenstellen van zijn publicaties. Het kan echter
voorkomen dat er toch sprake is omissies of onjuistheden. Het is altijd de
verantwoordelijkheid van de lezer zelf dit te beoordelen en te corrigeren indien hij zich
baseert op of gebruik maakt van een CIP-publicatie.
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
2 van 15
Inhoudsopgave
1
Inleiding
1.1
1.2
1.3
2
Doel en onderwerp van dit document
Herkomst en aanleiding
Samenvatting
4
4
5
Het wetsvoorstel Meldplicht datalekken
7
2.1
2.2
2.3
2.4
2.5
2.6
2.7
3
4
Reikwijdte
Ongeoorloofde toegang
Geen registratieplicht, toch registreren.
Beslismodel meldplicht Wbp: "melden indien"
Verhouding 'verantwoordelijke voor de verwerking' en 'bewerker'
Boetes en boetebevoegdheid CBP
Schema voor de afwikkeling van incidenten
Het wetsvoorstel Meldplicht inbreuken op elektronische informatiesystemen
3.1
3.2
3.3
3.4
3.5
3.6
7
7
8
8
9
9
9
10
Het wetsvoorstel in het kort
Melding
Vertrouwen, geen sancties
Meldplichtige partijen
Te melden ICT-inbreuken
Verhouding tot sectorale meldplichten en het wetsvoorstel meldplicht datalekken
10
10
10
11
11
11
4
Het Europese wetsvoorstel Algemene Verordening Gegevensbescherming (AVG)
12
5
Wat kunt u alvast regelen?
12
5.1
5.2
5.3
5.4
5.5
Organiseer accountability
Implementeer en maak dat aantoonbaar
Zorg voor een heldere interne procedure: een datalekprotocol
Gebruik bestaande escalatiemodellen
Uitvoering en realiteit
12
13
13
13
13
Colofon
14
Lijst van afkortingen
14
Gebruikte of genoemde informatiebronnen
15
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
3 van 15
Met het doel informatie-uitwisseling en kennisdeling te bevorderen, wil CIP onder andere 'good practices' ter
beschikking stellen. Dit kunnen praktijkvoorbeelden zijn, handreikingen voor beleid, beschrijvingen van de
stand van zaken in bepaalde ontwikkelingen, en dergelijke. De herkomst is van oorsprong een reflectie op een
onderwerp door mensen in de CIP-kring, maar het kunnen ook notities zijn uit de praktijk van de CIPorganisaties die zonder verder commentaar worden gepubliceerd. De kern is dat de bijdragen altijd zijn
gebaseerd op de expertise van de opstellers en deelnemende reviewers en/of het idee dat wat in één
organisatie goed werkt, ook voor andere organisaties nuttig zou kunnen zijn. Soms is het resultaat dus de
uitkomst van een groepsproces en in andere gevallen wordt iets 'as is' ter kennisneming of overname
aangeboden. CIP heeft categorieën geformuleerd waarmee reikwijdte, intentie, status en/of draagvlak van
CIP-publicaties wordt aangegeven. Deze publicatie valt in categorie 2: "becommentarieerde praktijk: een door
meerdere professionals veralgemeniseerde praktijk als handreiking voor hergebruik binnen geïnteresseerde
organisaties". Een nadere uitleg hiervan vindt u op www.cip-overheid.nl.
De CIP-documenten hebben geen ander doel dan kennisoverdracht en reflecteren niet noodzakelijk de
opvattingen van alle contribuanten, CIP-deelnemers en/of alle CIP-partijen. Publicatie vindt plaats op zowel de
openbare website www.cip-overheid.nl als het besloten https://cip.pleio.nl.
CIP-documenten kunnen van tijd tot tijd aanpassingen ondergaan of worden ingetrokken als gevolg van
veranderde inzichten. De CIP-redactie streeft binnen haar mogelijkheden naar een zo actueel mogelijke status
van de documenten. In de praktijk betekent dit dat enige tijd zal verstrijken voordat wijzigingen kunnen zijn
doorgevoerd. Suggesties voor aanpassingen kunnen ook door lezers worden aangedragen en worden altijd in
behandeling genomen.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
4 van 15
1
Inleiding
1.1
Doel en onderwerp van dit document
Het CIP wil met dit document:
Een statusoverzicht geven van de ontwikkelingen met betrekking tot:
het wetsvoorstel "Meldplicht datalekken";
het wetsvoorstel "Meldplicht Inbreuken op elektronische systemen";
het Europese wetsvoorstel voor de "Algemene Verordening Gegevensbescherming" (AVG).
De lezer bewust maken van de (aankomende) wetgeving en haar mogelijke gevolgen.
Praktische adviezen aandragen over hoe te anticiperen/reageren op de Meldplicht datalekken.
Het gaat om de volgende 3 wetsvoorstellen:
Nationaal:
Wetsvoorstel Meldplicht datalekken. Wijziging van de Wet bescherming persoonsgegevens en de
Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van
maatregelen voor de beveiliging van persoonsgegevens ("Wet meldplicht datalekken").
De Nota van wijziging van 15 april 2014 is meegenomen in de beschouwingen.
Concept wetsvoorstel Melding inbreuken en artikelsgewijze toelichting (concept 16 juli 2013
t.b.v. consultatie). Wet houdende regels over het melden van een inbreuk op de veiligheid of een
verlies van integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de
Nederlandse samenleving ("Wet melding inbreuken elektronische informatiesystemen").
Europees:
De Algemene Verordening Gegevensbescherming (AVG)1. Deze Verordening zal zonder
omzetting in nationaal recht rechtsreeks toepasselijk zijn in de lidstaten, 20 dagen na
verschijnen in het Publicatieblad van de EU. De AVG is veelomvattender en strenger dan de
Nederlandse wetsvoorstellen, maar veel van de inhoud staat nog ter discussie.
1.2
Herkomst en aanleiding
Dit CIP-document is een product van de Domeingroep Privacy, een van de vijf thematische
domeingroepen in CIP-verband. Teksten en (links naar) aanvullende documentatie zijn aangedragen
door de domeingroepleden en ook de opeenvolgende kritische reviews zijn 'in eigen huis' gedaan.
Verantwoordelijk voor de eindredactie zijn Gineke Kuipers en Ruud de Bruijn.
Als vertrekpunten voor dit document hebben twee interne notities uit 2013 over de Meldplicht
datalekken van de SVB en UWV gediend, van de hand van Hatice Dogan en Mieke Anema
(respectievelijk beleidsjurist SVB en juridisch adviseur UWV en beide lid van de domeingroep
Privacy).
1
Ook nog wel aangeduid met "EPV", de "Europese Privacy Verordening". Wij gebruiken AVG. Deze aanduiding
begint de overhand te krijgen en is 'in sync' met de Engelse aanduiding: GDPR, General Data Protection
Regulation.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
5 van 15
1.3
Samenvatting
Het doel van het wetsvoorstel Meldplicht datalekken is beperking van de schade voor betrokkenen
ten gevolge van 'datalekken'. De meldplicht geldt voor de verantwoordelijke voor de verwerking van
persoonsgegevens (niet: de bewerker!) en wordt opgenomen in de Wet bescherming persoonsgegevens (Wbp) als een nieuw artikel 34a. De norm bevat een verplichting voor de
verantwoordelijke tot kennisgeving aan het CBP en, indien aan bepaalde voorwaarden is voldaan,
aan de betrokkenen.
2
De verantwoordelijke voor de verwerking van persoonsgegevens in de zin van de Wbp moet het CBP
onverwijld in kennis stellen van het datalek, als sprake is van een inbreuk die voldoet aan de
3
volgende kenmerken :
er is een inbreuk op de beveiliging als bedoeld in artikel 13 Wbp. Artikel 13 Wbp bepaalt:
"Verantwoordelijke is verplicht om technische en organisatorische maatregelen te treffen om
persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking";
deze inbreuk heeft ernstige nadelige gevolgen voor de bescherming van de verwerkte
persoonsgegevens.
De verantwoordelijke moet ook de betrokkenen in kennis stellen van de inbreuk als:
de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van
de betrokkenen.
De kennisgeving aan het CBP en de betrokkenen omvat:
de aard van de inbreuk;
de instantie(s) waar meer informatie over de inbreuk kan worden verkregen;
de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
Naast de bovengenoemde verplichtingen omvat de kennisgeving aan het CBP tevens:
of de verantwoordelijke het incident aan betrokkenen zal melden;
een beschrijving van de gevolgen van de inbreuk voor de verwerkte persoonsgegevens;
de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen
te verhelpen.
Als de verantwoordelijke tevens de betrokkenen inlicht, dan stelt hij hen in kennis van de mogelijke
gevolgen van de inbreuk voor hun persoonlijke levenssfeer en adviseert hij over de door hen te
nemen maatregelen ter beperking van schade. De wet bepaalt expliciet dat een behoorlijke en
zorgvuldige informatievoorziening gewaarborgd moet zijn naar de betrokkenen.
De meldplicht geldt niet indien de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk
zijn gemaakt door technische maatregelen, bijvoorbeeld encryptie.
Bij niet tijdige melding kan het CBP:
een aanwijzing geven om alsnog te melden;
een boete opleggen.
In de laatste Nota van wijziging (15 april 2014 naar de Tweede Kamer) is de verantwoordelijke niet
langer verplicht een register van inbreuken bij te houden. Dit zou ook van toepassing zijn geweest
op niet- of mogelijk niet-meldplichtige inbreuken. Wel zal de verantwoordelijke, krachtens de
verplichting van Art. 13 Wbp procedures ingesteld hebben voor het tijdig en doeltreffend behandelen
2
Onder 'betrokkenen' verstaan we de personen van wie de gegevens zijn gelekt.
Deze kenmerken, staan (september 2014) nog ter discussie. Dat geldt ook voor de hoogte van de boetebedragen,
zie verderop.
3
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
6 van 15
van beveiligingsincidenten en het aanbrengen van maatregelen ter voorkoming van herhaling. De
verantwoordelijke zal hierop moeten terugvallen indien het CBP opheldering vraagt over een niet
gemeld beveiligingsincident.
In dezelfde Nota van wijziging is het eerder voorgestelde boetemaximum ongeveer gehalveerd tot
maximaal 450.000 euro, per overtreding, dwz: het niet melden is de overtreding die hier wordt
bedoeld.
De bedoeling van de wetgeving is duidelijk, maar de feitelijke uitvoering ervan kan nog wel voor
problemen en discussies zorgen:
niet alle criteria om vast te stellen of er sprake is van een meldplicht zijn 'harde criteria';
de wijze waarop het CBP de handhavingsrol gaat invullen is nog niet duidelijk.
Het wetsvoorstel verkeert in 'fase 2': "Wetsvoorstel ingediend bij Tweede Kamer, schriftelijke
behandeling". Er was ooit sprake van dat invoering per 1 januari 2015 werd beoogd, maar dat lijkt
4
nu, september 2014, niet meer haalbaar. Een van de redenen voor dat vermoeden is dat er nog
weer wat aanpassingen aan lijken te komen. Wij zullen dit document bij gelegenheid eveneens
daarop aanpassen.
Naast de op stapel staande Meldplicht datalekken heeft ook een consultatieronde plaatsgehad voor
een wetsvoorstel Meldplicht inbreuken op elektronische systemen. Onder dat voorstel hoeft er geen
sprake te zijn van persoonsgegevens.
De AVG komt summier ter sprake. Summier, omdat de tekst hiervan nog niet definitief is en erover
wordt onderhandeld. Maar enkele dingen lijken wel vast te staan:
op punten is de concept-AVG strenger dan de nationale wetsvoorstellen; veel hogere boetes ook;
in de Verordening zelf is bepaald dat zij van toepassing wordt in de lidstaten na ommekomst van
2 jaren, te rekenen vanaf de eerder genoemde 20 dagen na publicatie.
Dit betekent dat verantwoordelijke verwerkers, bewerkers, providers, toezichthouders, de nationale
wetgever etc. tot na 2 jaar (en 20 dagen) na publicatie de gelegenheid hebben om de nodige
maatregelen te treffen om aan de eisen van de Verordening te voldoen. Het betekent ook dat men
pas na diezelfde periode een beroep kan doen op de bepalingen van deze nieuwe wetgeving.
Behandeling van de AVG is begin 2014 tot 'na de parlementsverkiezingen' uitgesteld. Effectief zal dit
betekenen dat de wetgeving op haar vroegst per 1 januari 2017 daadwerkelijk van kracht zal kunnen
zijn.
Wat de gevolgen zullen zijn voor de Nederlandse Wet bescherming persoonsgegevens is nog
onduidelijk.
Het gaat bepaald niet hard: in een - overigens uitstekend en mooi compact - stuk uit september 2012 staat: "De
meldplicht zal waarschijnlijk vanaf 1 januari 2013 voor u gaan gelden". Anton Ekker - In 4 stappen voldoen aan de
meldplicht datalekken.
4
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
7 van 15
2
Het wetsvoorstel Meldplicht datalekken
Het wetsvoorstel heeft niet geleid tot een aparte wet, maar tot een uitbreiding van de Wbp met
artikel 34a Wbp. De benaderingswijze van de wetgever is sterk gebaseerd op het publiek belang bij
het kunnen vertrouwen op een juiste en veilige verwerking van persoonsgegevens.
De wet adresseert 'verantwoordelijke(n) voor de verwerking van persoonsgegevens'. Het is niet
relevant of de verantwoordelijke een natuurlijke persoon of rechtspersoon is. Evenmin is relevant of
de verantwoordelijke deel uitmaakt van de publieke of de private sector.
Hoe de wet gehandhaafd gaat worden is nog allerminst duidelijk. De werking van de wet berust op
een reeks van beoordelingen en interpretaties, die op de eerste plaats moeten worden gemaakt door
de 'verantwoordelijke' voor de gegevensverwerking.
2.1
Reikwijdte
In het wetsvoorstel is pas sprake van een meldplicht voor een datalek als de technische en
organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd en een inbreuk op de
beveiliging, als bedoeld in artikel 13 Wbp, ernstige nadelige gevolgen heeft of kan hebben voor de
bescherming van persoonsgegevens. Datalekken vinden tegenwoordig vooral plaats in digitale vorm,
maar ook diefstal van papieren gegevens of het lekken via mondelinge/telefonische communicatie
kunnen onder de meldplicht vallen.
Bij de beoordeling of er sprake is van ernstige nadelige gevolgen voor de bescherming van de
desbetreffende persoonsgegevens zijn van belang:
de aard en omvang van de inbreuk;
de aard van de gelekte persoonsgegevens en:
de mate waarin technische beschermingsmaatregelen zijn getroffen ten aanzien van de
persoonsgegevens.
De meldplicht geldt niet indien de verantwoordelijke passende technische beschermingsmaatregelen
heeft getroffen, waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn
5
voor wie geen recht heeft op kennisname van de gegevens.
Er hoeft niet noodzakelijk sprake te zijn van verwijtbaar onvoldoende beveiligingsmaatregelen, de
beveiliging kan op orde zijn en niettemin worden teniet gedaan of omzeild. Verwijtbaar/toerekenbaar
tekortschieten kan variëren van een niet adequate en niet vakkundig toegepaste beveiliging van
bestanden de gegevens tot 'ongelukken' door menselijke fouten.
De wettelijke meldplicht geldt eveneens niet wanneer voorzieningen van algemene aard, die niet
specifiek zijn gericht op de beveiliging van persoonsgegevens, worden aangetast. Als bijvoorbeeld
een blikseminslag tot gevolg heeft dat het gebouw afbrandt, waarbij ook persoonsgegevens verloren
gaan, zal in de betekenis van de wet niet van een inbreuk op de beveiligingsmaatregelen kunnen
worden gesproken (MvT, paragraaf 3.1). Wij willen daar tegenover stellen dat het goed voorstelbaar
is dat bij een calamiteit persoonsgegevens verloren gaan op in omstandigheden die het mogelijk of
waarschijnlijk maken dat zij toch in verkeerde handen kunnen vallen.
2.2
Ongeoorloofde toegang
Ongeoorloofde toegang is in feite een inbreuk op de gegevensbescherming. De Wbp spreekt vn
'onrechtmatige verwerking'. Het begrip 'ongeoorloofde toegang' wordt vooral in de context van
informatiebeveiliging gebruikt om aan te geven dat - in dit geval - gegevens toegankelijk zijn of zijn
geweest voor onbevoegden.
5
Het voorbeeld dat hierbij doorgaans wordt aangehaald is het verlies van een volledig versleutelde laptop.
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
8 van 15
Dit kan het gevolg zijn van een intentionele inbreuk op de beveiliging door een onbevoegde, maar
ook van nalatigheid of een zwakke bescherming door de be- of verwerker. Ongeoorloofde toegang
tevens kan het gevolg zijn van slordig of opzettelijk foutief handelen van personeel.
Het opzettelijk ongeoorloofd handelen met persoonsgegevens waartoe op rechtmatige wijze toegang
werd verkregen door toegangsbevoegden, dus binnen ongeschonden organisatorische en technische
beveiligingsmaatregelen, is misbruik en kan tot ongunstige gevolgen leiden voor de persoonlijke
6
levenssfeer van betrokkenen, maar is niet een datalek waarop de meldplicht ziet.
2.3
Geen registratieplicht, toch registreren.
De eerder voorgestelde verplichting om binnen de organisatie een overzicht bij te houden van alle
inbreuken (de ernstige en de minder ernstige, de meldplichtige en niet-meldplichtige), is in de Nota
van wijziging van 15 april 2014 komen te vervallen als "minder wenselijk". Wel zal de
verantwoordelijke, krachtens de verplichting van Art. 13 Wbp procedures ingesteld hebben voor het
tijdig en doeltreffend behandelen van beveiligingsincidenten en het aanbrengen van maatregelen ter
voorkoming van herhaling.
Naar ons idee moet er dan toch wel degelijk sprake zijn van een solide incidentregistratie. De
verantwoordelijke zal hierop immers moeten terugvallen indien het CBP opheldering vraagt over een
niet gemeld beveiligingsincident.
2.4
Beslismodel meldplicht Wbp: "melden indien"
De goede werking en het succes van het wetsvoorstel hangen erg af van hoe men omgaat met de
risico-inschattingen die op de beslismomenten moeten worden gemaakt.
De Nota van wijziging komt terug op de bepaling dat organisaties een melding bij het CBP moeten
doen van alle inbreuken op de beveiliging van persoonsgegevens. In de bijgestelde versie van het
wetsvoorstel gaat het nog 'slechts' om die inbreuken die 'ernstige' nadelige gevolgen hebben voor de
bescherming van de verwerkte persoonsgegevens. Deze moeten bij het CBP worden gemeld.
Betrokkenen hoeven slechts te worden ingelicht indien het waarschijnlijk is dat er 'ongunstige
gevolgen' zullen zijn voor hun persoonlijke levenssfeer.
1
Inbreuk ja/nee?
Is er sprake is van een inbreuk op de getroffen beveiligingsmaatregelen die ernstige nadelige gevolgen heeft voor de
bescherming van verwerkte persoonsgegevens.
Hieronder valt ook de inschatting of eventuele technische
afschermingsmaatregelen,
bijvoorbeeld
door
middel
van
versleuteling (encryptie) van de inhoud of het toepassen van het op
afstand wissen van de inhoud of onklaar maken van de drager
('remote wipe') voldoende robuust en tijdig zijn om ongeoorloofde
toegang met zekerheid uit te sluiten.
2
Betrokkenen?
Is het waarschijnlijk dat de inbreuk ongunstige gevolgen zal hebben
voor de persoonlijke levenssfeer van de betrokkenen.
Hiervoor is een kwalitatieve evaluatie van de bij een incident
betrokken gegevens nodig, alsook de mogelijke betekenis ervan voor
de betrokkenen.
Fig. 1
MvT, paragraaf 3.1: "Er is dan geen sprake van het inbreuk maken op beveiligingsmaatregelen, maar het misbruik
maken van vertrouwen. Hoe schadelijk dit ook kan zijn, dat is niet het onderwerp van dit wetsvoorstel".
6
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
9 van 15
Is de eerste beoordeling vaak mogelijk op basis van technische en organisatorische specificaties, de
tweede inschatting is een heel stuk subjectiever. In de MvT wordt de verwachting verwoord dat het
CBP nog met nadere richtsnoeren voor de uitvoering zal komen ten behoeve van "indirect enig
7
houvast" voor de praktijk.
2.5
Verhouding 'verantwoordelijke voor de verwerking' en 'bewerker'
De voorgestelde meldplicht richt zich tot de verantwoordelijke in de zin van de Wbp. Dit blijft zo
wanneer een verantwoordelijke zich bedient van een bewerker. Verantwoordelijke en bewerker,
doorgaans in een opdrachtgever - opdrachtnemer relatie, zullen in een bewerkersovereenkomst
afspraken moeten maken over tijdige melding van incidenten die mogelijk tot melding aan het CBP
en verdere acties moeten leiden.
2.6
Boetes
CBP
en
boetebevoegdheid
In het voorstel zoals nu voorligt krijgt
het CBP een algemene bestuurlijke
boetebevoegdheid voor overtredingen
van de Wbp. Hoewel enige tijd werd
gespeculeerd op een boetemaximum van
€810.000 conform het boetemaximum
van categorie 6 van het Wetboek van
Strafrecht, eventueel verhoogd naar
10% van de jaaromzet als categorie 6
geen passende bestraffing toelaat, is in
de Nota van wijziging van 15 april 2014
het eerder in het traject al genoemde
maximum van €450.000 gehandhaafd.
2.7
Schema voor de afwikkeling
van incidenten
Het schema in figuur 1 hiernaast geeft in
grote trekken weer hoe de organisatie
met het beslismodel van de nieuwe wet
zou kunnen omgaan.
Er gaan nog 2 belangrijke randvoorwaardelijke organisatieaspecten aan vooraf:
'awareness' en incident-sensitiviteit in de
organisatie, en een helder en actueel
'datalekprotocol', zoals dat ook voor
andersoortige calamiteiten op de plank
behoort te liggen.
Meer hierover in hoofdstuk 5 "Wat kunt
u alvast regelen".
7
MvT, paragraaf 3.2.2
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
10 van 15
3
Het wetsvoorstel Meldplicht inbreuken op elektronische informatiesystemen
De informatie over deze "Wet houdende regels over het melden van een inbreuk op de veiligheid of
een verlies van integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de
Nederlandse samenleving (Wet melding inbreuken elektronische informatiesystemen)" is gebaseerd
op het concept ontwerp van 16 juli 2013 t.b.v. consultatie8. Hier is dus nog een wat langer traject af
te leggen.
Dit wetsvoorstel sluit aan bij de ambitie van de Europese Commissie om EU-breed te komen tot een
meldplicht voor overheden en vitale marktpartijen die bijdraagt aan het verhogen van de digitale
veiligheid. Het is evenwel strikt genomen géén privacywetgeving.
3.1
Het wetsvoorstel in het kort
Dit wetsvoorstel introduceert een meldplicht voor een inbreuk op de veiligheid of een verlies van
integriteit van elektronische informatiesystemen (hierna ook: ICT-inbreuken). Het doel is om het
risico van maatschappelijke ontwrichting als gevolg van ICT-inbreuken in te schatten en die
ontwrichting te voorkomen of in elk geval zo veel mogelijk te beperken.
Deze meldplicht is niet beperkt tot gevallen waarbij persoonsgegevens in het geding zijn. De
meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of
betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, en alleen als de inbreuk tot
gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid in belangrijke mate wordt
onderbroken.
De meldplicht zal ook gelden voor de financiële sector en de overheid zelf.
De meldplicht geldt alleen voor bij AMvB (Algemene Maatregel van Bestuur) aan te wijzen
aanbieders van daarbij aan te wijzen producten of diensten;
De melding moet worden gedaan aan de Minister van Veiligheid en Justitie en wordt behandeld
door het Nationaal Cyber Security Centrum (NCSC);
Het NCSC kan vervolgens:
inschatten hoe groot de impact is;
hulp verlenen aan de getroffen aanbieder;
andere vitale aanbieders waarschuwen.
3.2
Melding
Hoewel meldingen qua aard per vitale sector kunnen verschillen, worden in ieder geval de volgende
elementen verwacht:
Inzicht in de aard en omvang van de ICT-inbreuk;
Specificatie van getroffen systemen;
Het tijdstip van aanvang van de ICT-inbreuk;
De inmiddels getroffen maatregelen en de te verwachten hersteltijd;
Contactgegevens.
3.3
Vertrouwen, geen sancties
Om de drempel laag te houden kent de voorgestelde meldplicht geen sanctiemogelijkheid en is de
meldplicht primair gericht op het bieden van hulp. Het is van belang dat de meldingen in vertrouwen
gedaan kunnen worden om kwetsbaarheden te beperken dan wel in de toekomst te vermijden.
Hulp door het NCSC aan de getroffen organisatie behelst het bieden van handelingsperspectief door
het geven van advies en informatie en het coördineren van de inzet van andere (overheids)-
8
Einddatum consultatie 17-09-2013; http://www.internetconsultatie.nl/meldplicht_ict_inbreuken
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
11 van 15
organisaties of daar waar noodzakelijk het bieden van technische ondersteuning om de gevolgen van
een inbreuk te beperken.
Het NCSC gaat géén toezicht houden op de naleving van de meldplicht en krijgt ook geen
handhavingsbevoegdheden. De motivatie:
"De doelgroep is beperkt tot de rijksoverheid en de vitale aanbieders in de randvoorwaardelijke
sectoren. Het nut en de noodzaak van het delen van vertrouwelijke gegevens met betrekking tot
ICT-inbreuken die ernstige gevolgen hebben of kunnen krijgen, wordt hier breed gedragen".
3.4
Meldplichtige partijen
De meldplicht betreft aanbieders van vitale producten of diensten binnen de sectoren: elektriciteit,
gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport
(mainports Rotterdam en Schiphol). Denk daarbij aan aanbieders zoals energienetwerkbeheerders,
drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen, banken, het Havenbedrijf Rotterdam, de NV Luchthaven Schiphol en Luchtverkeersleiding Nederland. Het gaat om
onderdelen van de vitale infrastructuur waarbij een inbreuk direct of indirect (cascade-effect) tot
maatschappelijke ontwrichting kan leiden. De aanbieders en hun concrete producten en diensten
waarvoor de meldplicht gaat gelden, zullen worden aangewezen bij AMvB.
3.5
Te melden ICT-inbreuken
De aan te wijzen organisaties in de vitale sectoren zijn niet verplicht om élke ICT-inbreuk aan het
NCSC te melden. De verplichting is er alleen als "de inbreuk tot gevolg heeft of kan hebben dat de
beschikbaarheid of betrouwbaarheid van het aangewezen product of de aangewezen dienst in
belangrijke mate wordt of kan worden onderbroken".
Twee problemen, althans: valkuilen schuilen in deze tekst. Het eerste betreft DDoSaanvallen
(Distributed Denial of Service), deze hoeven niet gemeld te worden. De redenering is dat bij een
DDoS-aanval weliswaar de bereikbaarheid van een online-dienst wordt aangetast, maar geen
aantasting plaatsvindt van de systemen van de online-dienst zelf. Bovendien is de wetgever van
mening dat het bij deze aanvallen veelal zal gaan om een tijdelijke beperking van de bereikbaarheid,
waardoor "de maatschappelijk ontwrichtende werking […] in het algemeen veel beperkter [is] dan in
geval van daadwerkelijke ICT-inbreuken". Als tweede punt komt daarbij de term 'in belangrijke
mate'. Het voornemen is dit in overleg met de betrokken sectoren en departementen nader uit te
werken en "daarbij zal mede bepalend zijn onder welke omstandigheden sprake is of kan zijn van
'maatschappelijke ontwrichting" - wat ook weer zo'n term is ….
Partijen hebben natuurlijk wel altijd de mogelijkheid om ernstige verstoringen van de bereikbaarheid
vrijwillig aan het NCSC te melden.
3.6
Verhouding tot sectorale meldplichten en het wetsvoorstel meldplicht datalekken
Voor enkele sectoren geldt voor ICT-inbreuken al een verplichting tot melding aan de sectorale
toezichthouder. Een prominent voorbeeld is de Telecomwet voor de gelijknamige sector. De nu
voorgestelde meldplicht sluit aan bij en treedt niet in de thans geldende sectorale bevoegdheden.
Daarmee laat de voorgestelde meldplicht ook de bestaande crisisbeheersingsstructuren ongemoeid.
Bij een inbreuk op de veiligheid of een verlies van integriteit hoeven niet noodzakelijkerwijs ook
persoonsgegevens in het geding te zijn. Daarbij valt te denken aan geautomatiseerde proces9
controlesystemen ten behoeve van het aansturen van fysieke processen . Niettemin kan het zich
voordoen dat een ICT-inbreuk onder beide meldplichten valt. In dat geval moet de inbreuk derhalve
zowel bij het NCSC als bij het CBP worden gemeld.
Het kan ook omgekeerd: Persoonsgegevens worden (digitaal) gestolen, maar deze gegevens zijn versleuteld:
vrijgesteld derhalve van melding als datalek, niettemin een inbreuk.
9
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
12 van 15
4
Het Europese wetsvoorstel Algemene Verordening Gegevensbescherming (AVG)
Voortgang in het wetgevingstraject is begin 2014 over de verkiezingen voor het Europarlement heen
getild, maar enkele dingen lijken al wel vast te staan. Het AVG-voorstel:
Is veelomvattender dan het Nederlandse wetsvoorstel Meldplicht Datalekken. Een veelbesproken
onderdeel is bijvoorbeeld het 'recht om vergeten te worden';
Is op punten zowel ruimer van toepassing als strenger qua sancties mogelijkheden dan de
nationale wetsvoorstellen;
Richt zich ook op de bewerker van persoonsgegevens (i.t.t. alleen de verantwoordelijke);
Kent andere criteria voor de aanstelling van de functionaris voor de gegevensbescherming.
Wanneer de (vertraagde) invoering van de nationale wetgeving een feit zal zijn, is niet duidelijk. In
het Europarlement wordt bevestiging van de AVG nu pas medio 2015 verwacht, daarna is er nog een
invoeringstermijn van 2 jaar.
Andere punten in de nog hangende AVG-voorstellen zijn:
Er komt een meldplicht voor datalekken;
Er moet een transparant en eenvoudig toegankelijk privacybeleid worden opgesteld, waarin ook
de rechten van de betrokkene zijn opgenomen;
De betrokkene krijgt een recht tot rectificatie of uitwissing van zijn gegevens;
Gevoelige verwerkingsactiviteiten moeten eerst aan een privacyeffectbeoordeling (PIA) worden
onderworpen. Nieuwe gegevensverwerkingssystemen worden onderworpen aan technische en
organisatorische maatregelen die privacyverhogend zijn (PET/Privacy by design);
De voor verwerking verantwoordelijke moet kunnen aantonen dat hij toestemming van de
betrokkene heeft voor de verwerking van zijn gegevens (indien nodig);
De boete die kan worden opgelegd bedraagt €100.000.000,- of 5% van de jaarlijkse omzet.
Maar ook hier is over boetes nog een hoop te doen. De boete van max 1 miljard is een voorstel
van het Parlement, het voorstel van de Commissie is veel lager: (1 miljoen of 2%). En bij de
Raad staat dit punt nog helemaal open.
5
Wat kunt u alvast regelen?
Het is gemakkelijk opgeschreven: hou incidenten bij, evalueer ze en handel zonodig. Dit lijkt
business-as-usual voor organisaties die al jarenlang informatiebeveiliging moeten praktiseren
volgens internationale standaarden. Toch vermoeden we dat veel van deze organisaties niet in staat
zullen zijn van de ene dag op de andere aan de Meldplicht datalekken te voldoen.
Hieronder volgen alvast de voornaamste vuistregels.
5.1
Organiseer accountability
De kernbegrippen in de melding-datalek-problematiek zijn:
Incidentbewustzijn op orde
Beveiliging op orde (human & tech)
Administratie- en controleroutines op orde
Detectie en herstel
Slagvaardigheid/tijdigheid
Inschattingen van schade
Gemotiveerde notificatie aan CBP
Notificatie & advies aan betrokkene
Rapportage
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
13 van 15
Op al deze punten zal de organisatie voldoende in control moeten zijn en slagvaardigheid van
handelen moeten hebben. Dat moet niet alleen uit het oogpunt van goede dienstverlening en uit
respect voor de klant wiens gegevens in vertrouwen zijn afgegeven, het is ook zeer aan te raden uit
het oogpunt van accountability en mogelijke ingebrekestelling.
5.2
Implementeer en maak dat aantoonbaar
De organisatie moet (aantoonbaar) maatregelen implementeren om:
de frequentie van beveiligingsincidenten laag houden;
de ontdekkingskans groot maken;
efficiënte afwikkeling van incidenten;
leren en verbeteren.
De feitelijke implementatie hiervan zal per organisatie verschillen als gevolg van organisatiecomplexiteit en keuzes naar aanleiding van risico-inschattingen.
5.3
Zorg voor een heldere interne procedure: een datalekprotocol
De focus lijkt als snel te liggen bij de soms lastige beoordeling of een inbreuk of datalek gemeld
moet worden. Maar er gaat nog een heel organisatievraagstuk aan vooraf. Zorg ervoor dat u niet
hoeft te improviseren wanneer het feit daar is.
Een datalekprotocol zorgt ervoor dat de juiste mensen op het juiste moment worden geïnformeerd
en handelen waar nodig. Wie moeten we intern op de hoogte brengen van de inbreuk? Wie bepaalt
of we het datalek moeten melden? Met welke juridische aspecten moeten we rekening houden?
Indien een organisatie beschikt over een functionaris voor de gegevensbescherming ligt het
bijvoorbeeld voor de hand om deze functionaris als beslisser aan te wijzen. Of u wint juridisch advies
10
in over de afhandeling van de melding.
5.4
Gebruik bestaande escalatiemodellen
Implementatie hoeft niet zo'n toer te zijn indien wordt aangesloten bij reeds bestaande business
continuïteits- en calamiteitbeheersingsprotocollen. Voorwaarde is dan wel dat deze protocollen
'levend' en goed geoefend zijn. Snel en adequaat onder controle brengen en afwikkelen zal sterk
verbeteren indien:
De focus van reactief naar proactief wordt verlegd, en:
Er veel meer aandacht komt voor internalisatie bij alle medewerkers i.p.v. het treffen van
uitsluitend IT-gerelateerde informatiebeveiligingsmaatregelen.
5.5
Uitvoering en realiteit
Een wet opschrijven is één ding, de uitvoerbaarheid is nog niet op alle punten evident.
Wat is er kwijt: dat is lang niet altijd met zekerheid vast te stellen.
Hoe groot is de kans op misbruik ("ernstige nadelige gevolgen") als gevolg van het dataverlies?
Zijn de gestelde tijdvensters voor handelend optreden reëel?
Het wetsvoorstel eist dat "onverwijld" gemeld wordt aan het CBP en de betrokkene (Wbp art.
34a). Of gelijktijdig aan het CBP en de betrokkene moet worden gemeld of na elkaar, is volgens
het CBP afhankelijk van de omstandigheden van het geval.
Hoe gaat handhaving eruit zien en op welke criteria komt de nadruk te liggen?
Voor deze passage is dankbaar gebruik gemaakt van "Stap 1" in Anton Ekker - In 4 stappen voldoen aan de
meldplicht datalekken.
10
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Datum
augustus 2014
Versie
1.0
Pagina
14 van 15
De wetgeving met betrekking tot het melden van datalekken zal onvermijdelijk komen. Wachten tot
het zover is betekent een grote kans op achterstand en daardoor, in geval van pech, verwijtbare
nalatigheid.
Colofon
Deze publicatie is een initiatief van Aramis Jean Pierre (DUO), Gineke Kuipers (DUO) en Ruud de
Bruijn (CIP/UWV) naar aanleiding van interne notities van Mieke Anema (UWV) en Hatice Dogan
(SVB). Diverse leden van de CIP-domeingroep Privacy hebben in reviews en materiaalsuggesties
waardevolle bijdragen geleverd. Uitgave geschiedt onder auspiciën van de Domeingroep Privacy en
onder verlening van de Creative Commons licentie zoals op het titelblad staat vermeld.
Amsterdam/Groningen, september 2014
Lijst van afkortingen
ACM
Autoriteit Consument en Markt
AMvB
Algemene Maatregel van Bestuur
AVG
Algemene Verordening Gegevensbescherming (ook: EPV)
BZK
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
CBP
College Bescherming Persoonsgegevens
CIP
Centrum voor Informatiebeveiliging en Privacybescherming
DDos
(Distributed)Denial of service
DUO
Dienst Uitvoering Onderwijs
EEA
European Economic Area
ENISA
European Network and Information Security Agency
EU
Europese Unie
EPV
Europese Privacy Verordening
ICT
Informatie- en Communicatie Technologie
MvT
Memorie van toelichting
NCSC
Nationaal Cyber Security Centrum
Nictiz
Nationaal ICT Instituut in de Zorg
Pleio
Plein Overheid (www.pleio.nl)
SVB
Sociale Verzekeringsbank
UWV
Uitvoeringsinstituut Werknemers Verzekeringen
Wbp
Wet bescherming persoonsgegevens
© Centrum voor Informatiebeveiliging en Privacybescherming
Meldplicht datalekken
Gebruikte of genoemde informatiebronnen
Datum
augustus 2014
Versie
1.0
Pagina
15 van 15
Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de
invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van
persoonsgegevens (meldplicht datalekken), VOORSTEL VAN WET (13-06-2013), MEMORIE VAN
TOELICHTING en NOTA VAN WIJZIGING (15-04-2014)
Wet houdende regels over het melden van een inbreuk op de veiligheid of een verlies van integriteit van
elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving (Wet
melding inbreuken elektronische informatiesystemen), VOORSTEL VAN WET, concept 16 juli 2013 t.b.v.
consultatie. [NB: einddatum consultatie: 17-09-2013 - red.]
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming
persoonsgegevens)
INOFFICIAL CONSOLIDATED VERSION AFTER LIBE COMMITTEE VOTE PROVIDED BY THE RAPPORTEUR 22 October 2013, REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the
protection of individuals with regard to the processing of personal data and on the free movement of
such data (General Data Protection Regulation) - (Text with EEA relevance).
Overzicht huidige en toekomstige meldplichten informatieveiligheid, FACTSHEET BZK 20 sep 2013,
Directie Burgerschap en Informatiebeleid Informatieveiligheid, [email protected] [NB: niet
(meer) te vinden via internet? -red.]
In vier stappen voldoen aan de meldplicht datalekken , WHITEPAPER 20 september 2012, Nictiz, mr. dr.
A.H. (Anton) Ekker.
WANNEER MELDEN AAN HET CBP VOLGENS HET WETSVOORSTEL MELDPLICHT DATALEKKEN? Sergej
Katus in PRIVACY & COMPLIANCE, 04-05-2013
Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma [2013]
Deloitte.ctrl - Doorbraak in ontwikkeling EU privacy Verordening [24 okt 2013]
2013 Cost of Data Breach Study: United Kingdom. Benchmark research sponsored by Symantec,
Independently Conducted by Ponemon Institute LLC, May 2013
Europese Cyber Security Strategie (JOIN(2013) 1 final, Kamerstukken II 2012/13, 22 112, nr. 1588
Ontwerp Netwerk-en Informatiebeveiligingsrichtlijn (NIB-richtlijn), COM(2013) 48, Kamerstukken II
2012/13, 22 112, nr. 1588, en Kamerstukken II 2012/13, 33 602, nr. 1 [februari 2013]
Bronnen gebruikt voor actualisering van de informatie over de stand van zaken in de nationale
wetgevingstrajecten:
http://dirkzwagerieit.nl/2013/06/25/college-bescherming-persoonsgegevens-krijgt-boetebevoegdheid/
https://www.cqure.nl/actualiteiten/blog/privacy-outlook-2014/
http://www.bijzonderstrafrecht.nl/2013/college-bescherming-persoonsgegevens-krijgtboetebevoegdheid/#sthash.cxDPpdE2.n8fCYvFh.dpbs
Op de site(s) van het CIP is een presentatie beschikbaar die is gebruikt tijdens de CIP-conferentie van
28 november 2013 en handelt over wat er in de organisatie moet gebeuren om tegemoet te kunnen
komen aan de meldplicht. De presentatie leent zich goed voor het aanzwengelen van discussie over de
noodzaak om te anticiperen op de wetgeving: 5c Parallelsessie Privacy - Datalekken.pdf, in
http://www.cip-overheid.nl/wp-content/uploads/2013/12/Conferentie-november-2013.zip
© Centrum voor Informatiebeveiliging en Privacybescherming