27 maart 2014| Advocaat mr. Eva N.M. Visser Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk Agenda DEEL 1 • Regelgeving Meldplicht Datalekken DEEL 2 (na de pauze) • Stappenplan Meldplicht Deel 1: Meldplicht Datalekken • Introductie • Waarom een meldplicht? • Huidige meldplichten • Toekomstige meldplichten • Status Privacy Verordening • Behandeling Wetsvoorstel Meldplicht Datalekken • Vragen Introductie • Datalek of security breach: onbedoeld verlies van controle over gegevens • Cyberaanval, waarschuwing of slordigheid • Hackers hebben een soort “Robin Hood”-status • Groot verlies vertrouwen in organisatie en reputatieschade Waarom een meldplicht? • Betrokkenen kunnen maatregelen nemen • Bevordert zorgvuldige omgang met persoonsgegevens • Bevordert betere beveiliging van persoonsgegevens • Herstel vertrouwen in organisatie • Bezwaren uit de branche Huidige meldplichten • Strafrechtelijke aangifteplicht • Civielrechtelijke verplichtingen • Koersgevoelige informatie • ‘Smalle’ meldplichten (e.g. artikel 11.3a Telecommunicatiewet, Wet Financieel Toezicht) • Internationale meldplichten Toekomstige meldplichten Toekomstige meldplichten Op Europees niveau: • Privacy Verordening • Verordening elektronische identificatie en vertrouwensdiensten Op nationaal niveau: • Wetsvoorstel Meldplicht Datalekken Wbp (‘brede meldplicht’) • Wetsvoorstel Melding inbreuken elektronische informatiesystemen (in vitale sectoren zoals energie, drinkwater) Status Privacy Verordening • Oorspronkelijk voorstel d.d. 25 januari 2012 • Europees Parlement heeft onlangs ingestemd met gewijzigde versie • Daarna goedkeuring Europese Raad van Ministers • Twee jaar na aanname kan de Verordening in werking treden • Verwachte datum inwerkingtreding: op zijn vroegst in 2016 • Sterke lobby Wetsvoorstel Meldplicht Datalekken Status Wetsvoorstel Wbp in a nutshell Wanneer aan wie melden? • Aan het CBP, indien (art. 34a lid 1 Wbp): – inbreuk op de beveiliging (art. 13 Wbp), waarvan – redelijkerwijs kan worden aangenomen dat die – leidt tot een aanmerkelijke kans op – nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens • Aan de betrokkene, indien (lid 2): – de beveiligingsinbreuk waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer • Uitzondering meldplicht betrokkene, indien (lid 6): – de persoonsgegevens versleuteld zijn of anderszins onbegrijpelijk gemaakt Wie moet melden en hoe snel? Wie moet melden? • De verantwoordelijke Hoe snel melden? • Onverwijld Let op! CBP kan de verantwoordelijke alsnog verplichten om te melden aan de betrokkene, indien het CBP van oordeel is dat de inbreuk waarschijnlijk nadelige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene (lid 7) Alle incidenten Alle datalekken Melding CBP Melding betrokkenen Inhoud en wijze melding • In alle gevallen moet worden gemeld – aard van de inbreuk – instanties waar meer informatie kan worden verkregen – aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken • Aan het CBP moet ook worden gemeld: – de geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens, en – de maatregelen die de verantwoordelijke heeft getroffen of voorstelt om deze gevolgen te verhelpen • Melding aan betrokkene moet op zodanige wijze dat ‘behoorlijke en zorgvuldige informatievoorziening is gewaarborgd’. Overige verplichtingen • Protocolplicht verantwoordelijke: bijhouden overzicht van alle datalekken: – aard van de inbreuk – instanties waar meer informatie kan worden verkregen – aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken – tekst van de kennisgeving aan de betrokkene • Aanvullende eisen bewerkersovereenkomst – bewerker moet verantwoordelijke informeren over datalekken die gemeld moeten worden aan CBP Sanctie • Forse boete van maximaal EUR 450.000 • Boetebeleid CBP
© Copyright 2024 ExpyDoc