20130326 Meldplicht Datalekken Deel 1 Regelgeving.pptx

27 maart 2014| Advocaat mr. Eva N.M. Visser
Datalekken
SURFacademy Seminar
Meldplicht & Privacy in de
praktijk
Agenda
DEEL 1
•  Regelgeving Meldplicht Datalekken
DEEL 2 (na de pauze)
•  Stappenplan Meldplicht
Deel 1: Meldplicht Datalekken
•  Introductie
•  Waarom een meldplicht?
•  Huidige meldplichten
•  Toekomstige meldplichten
•  Status Privacy Verordening
•  Behandeling Wetsvoorstel Meldplicht Datalekken
•  Vragen
Introductie
•  Datalek of security breach: onbedoeld verlies van controle
over gegevens
•  Cyberaanval, waarschuwing of slordigheid
•  Hackers hebben een soort “Robin Hood”-status
•  Groot verlies vertrouwen in organisatie en reputatieschade
Waarom een meldplicht?
•  Betrokkenen kunnen maatregelen nemen
•  Bevordert zorgvuldige omgang met persoonsgegevens
•  Bevordert betere beveiliging van persoonsgegevens
•  Herstel vertrouwen in organisatie
•  Bezwaren uit de branche
Huidige meldplichten
•  Strafrechtelijke aangifteplicht
•  Civielrechtelijke verplichtingen
•  Koersgevoelige informatie
•  ‘Smalle’ meldplichten (e.g. artikel 11.3a Telecommunicatiewet,
Wet Financieel Toezicht)
•  Internationale meldplichten
Toekomstige meldplichten
Toekomstige meldplichten
Op Europees niveau:
•  Privacy Verordening
•  Verordening elektronische identificatie en vertrouwensdiensten
Op nationaal niveau:
•  Wetsvoorstel Meldplicht Datalekken Wbp (‘brede meldplicht’)
•  Wetsvoorstel Melding inbreuken elektronische
informatiesystemen (in vitale sectoren zoals energie, drinkwater)
Status Privacy Verordening
•  Oorspronkelijk voorstel d.d. 25 januari 2012
•  Europees Parlement heeft onlangs ingestemd met gewijzigde versie
•  Daarna goedkeuring Europese Raad van Ministers
•  Twee jaar na aanname kan de Verordening in werking treden
•  Verwachte datum inwerkingtreding: op zijn vroegst in 2016
•  Sterke lobby
Wetsvoorstel Meldplicht Datalekken
Status Wetsvoorstel
Wbp in a nutshell
Wanneer aan wie melden?
•  Aan het CBP, indien (art. 34a lid 1 Wbp):
–  inbreuk op de beveiliging (art. 13 Wbp), waarvan
–  redelijkerwijs kan worden aangenomen dat die
–  leidt tot een aanmerkelijke kans op
–  nadelige gevolgen voor de bescherming van de verwerkte
persoonsgegevens
•  Aan de betrokkene, indien (lid 2):
–  de beveiligingsinbreuk waarschijnlijk ongunstige gevolgen zal hebben voor
zijn persoonlijke levenssfeer
•  Uitzondering meldplicht betrokkene, indien (lid 6):
–  de persoonsgegevens versleuteld zijn of anderszins onbegrijpelijk gemaakt
Wie moet melden en hoe snel?
Wie moet melden?
•  De verantwoordelijke
Hoe snel melden?
•  Onverwijld
Let op!
CBP kan de verantwoordelijke alsnog verplichten om te melden aan de
betrokkene, indien het CBP van oordeel is dat de inbreuk waarschijnlijk
nadelige gevolgen zal hebben voor de persoonlijke levenssfeer van de
betrokkene (lid 7)
Alle
incidenten
Alle
datalekken
Melding
CBP
Melding
betrokkenen
Inhoud en wijze melding
•  In alle gevallen moet worden gemeld
–  aard van de inbreuk
–  instanties waar meer informatie kan worden verkregen
–  aanbevolen maatregelen om de negatieve gevolgen van de inbreuk
te beperken
•  Aan het CBP moet ook worden gemeld:
–  de geconstateerde en vermoedelijke gevolgen van de inbreuk voor
de verwerking van persoonsgegevens, en
–  de maatregelen die de verantwoordelijke heeft getroffen of
voorstelt om deze gevolgen te verhelpen
•  Melding aan betrokkene moet op zodanige wijze dat ‘behoorlijke en
zorgvuldige informatievoorziening is gewaarborgd’.
Overige verplichtingen
•  Protocolplicht verantwoordelijke: bijhouden overzicht van alle
datalekken:
–  aard van de inbreuk
–  instanties waar meer informatie kan worden verkregen
–  aanbevolen maatregelen om de negatieve gevolgen van de
inbreuk te beperken
–  tekst van de kennisgeving aan de betrokkene
•  Aanvullende eisen bewerkersovereenkomst
–  bewerker moet verantwoordelijke informeren over datalekken die
gemeld moeten worden aan CBP
Sanctie
•  Forse boete van maximaal EUR 450.000
•  Boetebeleid CBP

Download Report