Datalekken: de meldplicht komt eraan Datalekken zijn gevallen van verlies, diefstal of misbruik van persoonsgegevens (Regeerakkoord 2010) Inleiding Datalekken halen steeds vaker het nieuws. Grote recente voorbeelden zijn de hack bij het Sony PlayStation Network en Sony Online Entertainment (ongeveer 100 miljoen getroffen gebruikers)1 en LinkedIn (6,5 miljoen wachtwoorden gepubliceerd).2 In Nederland zorgde de publicatie van gegevens van 539 KPN-klanten begin 2012 voor paniek,3 en werd het Groene Hart Ziekenhuis getroffen door een lek van patiëntgegevens.4 De privacy van betrokkenen komt in het geding als hun persoonsgegevens buiten een organisatie bekend worden. Verder kunnen ‘gestolen’ gegevens gebruikt worden voor De privacy van betrokkenen zogenaamde identity fraud, zoals het doen van komt in het geding als hun betalingen met verkregen creditcardgegevens. Kosten voor een onderzoek naar de oorzaak van persoonsgegevens buiten de een datalek en de verslechtering van de reputatie organisatie bekend worden. zijn schadeposten voor het getroffen bedrijf. Op dit moment geldt alleen voor aanbieders van ‘openbare elektronische communicatiediensten’ een wettelijke plicht om een datalek te melden. Voor overige ondernemingen ligt er op nationaal niveau een voorstel tot wijziging van de Wbp waarin een meldplicht datalekken is opgenomen. Ook het voorstel van de Europese Commissie voor de op 25 januari geplubiceerde concept Verordening5 bevat een meldplicht. Het feit dat voor 1
Zie de communicatie van Sony hierover op het PlayStation Blog, o.a. onder: http://blog.us.playstation.
veel Nederlandse ondernemingen op dit moment nog geen meldplicht datalek van kracht is, betekent echter niet dat het achterwege laten van een melding altijd raadzaam is. Het niet melden van een datalek kan onder omstandigheden als onrechtmatige daad worden aangemerkt, bijvoorbeeld omdat de betrokken persoon onnodig schade lijdt. Verder kan een datalek een zelfstandig strafbaar feit of onrechtmatige daad opleveren, bijvoorbeeld in geval van schending van de medische geheimhoudingsplicht. Deze punten worden in dit hoofdstuk niet verder beschreven. Meldplicht internet- en telecomproviders Met de implementatie van de gewijzigde e-Privacyrichtlijn6 is een meldplicht voor datalekken in het nieuwe artikel 11.3a Telecommunicatiewet (Tw)7 opgenomen. De meldplicht is sinds 5 juni 2012 van kracht en geldt met name voor aanbieders van ‘openbare elektronische communicatiediensten’.8 Daaronder vallen internetserviceproviders zoals XS4ALL, Ziggo en UPC en telecomproviders zoals KPN, Vodafone en T-Mobile. Deze aanbieders moeten beveiligingsmaatregelen treffen ter bescherming van de persoonsgegevens en privacy van abonnees en gebruikers van hun netwerken. Artikel 11.3a Tw verplicht de aanbieders iedere inbreuk op deze beveiligingsmaatregelen aan de OPTA te melden, indien deze Melding aan betrokkenen moet inbreuk nadelige gevolgen heeft voor de bescherming van persoonsgegevens. plaatsvinden als de inbreuk Melding aan de betrokken abonnees en gebruikers moet plaatsvinden als de inbreuk waarschijnlijk nadelige gevolgen waarschijnlijk nadelige gevolgen zal hebben heeft voor hun privacy. voor hun privacy. Hierbij maakt de wetgever dus een onderscheid tussen (i) inbreuken waarbij nadelige gevolgen voor de bescherming van persoonsgegevens zijn te verwachten en (ii) inbreuken waarbij bovendien nadelige gevolgen voor de privacy te verwachten zijn. Situatie (i) moet alleen gemeld 6
com/2011/04/22/update-on-playstation-network-qriocity-services/.
Richtlijn 2009/136/EG van het Europese Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot
2
http://money.cnn.com/2012/06/06/technology/linkedin-password-hack/index.htm.
elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking
3
http://www.nu.nl/internet/2773417/17-jarige-bekent-hacken-kpn.html.
van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische
4
Zie http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2012/12/06/
communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, Pb EU Nr.
toezegging-over-informatie-hack-groene-hart-ziekenhuis/lp-v-j-0000002202.pdf. 5
L337/11 van 18/12/2009.
Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer
7
Stb. 1998, 610.
van die gegevens (algemene verordening gegevensbescherming), 25/1/2012, COM(2012) 11 final.
8
Wet van 10 mei 2012 tot wijziging van de Telecommunicatiewet ter implementatie van de herziene
Te vinden op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf.
68privacy: tips en tricks voor de ondernemingspraktijk
telecommunicatierichtlijnen, Stb. 2012, 235.
HOUTHOFF BURUMA69
worden aan de OPTA, situatie (ii) moet zowel aan de OPTA als aan de betrokken personen gemeld worden. Het verschil tussen deze twee situaties lijkt in de praktijk lastig vast te stellen. Een veilig uitgangspunt is om in elk individueel geval te bepalen of de privacy wel of niet wordt geschaad. In de Memorie van Toelichting9 bij het wetsvoorstel voor de algemene meldplicht in de Wbp10 (zie hieronder meer) wordt gesteld dat het hacken van een ledenadministratie van een sportvereniging ongemak kan veroorzaken, maar dat dit – kort gezegd – waarschijnlijk geen negatieve gevolgen zal hebben voor de privacy van betrokkenen. Anders is dat bij een hack van een bestand met persoonsgegevens van de Belastingdienst of de Sociale Verzekeringsbank (SVB). Melding aan betrokkenen is niet verplicht als beschermingsmaatregelen zijn getroffen waardoor de betreffende persoonsgegevens versleuteld (encrypted) of op andere technische wijze onbegrijpelijk zijn gemaakt voor onbevoegden. Dan zijn immers ook geen nadelige gevolgen voor de privacy te verwachten. In de meldingen moet de aard van de inbreuk worden beschreven en deze moet de contactgegevens bevatten van de instanties waar de betrokkene terecht kan met vragen en informatie over de maatregelen die de betrokkene moet of kan nemen (bijv. veranderen van wachtwoord of gebruikersnaam). Voorts is de aanbieder verplicht aan de OPTA een beschrijving van de verwachte gevolgen te sturen, tezamen met informatie over de getroffen of voorgestelde maatregelen om de gevolgen te verhelpen. Deze informatie hoeft niet aan de betrokkene te worden verstrekt omdat de wetgever ervan uitgaat dat betrokkenen niet alles behoeven te weten (zoals technische gegevens), terwijl sommige gegevens vertrouwelijk van aard zijn. Ten slotte is de aanbieder verplicht een overzicht bij te houden van alle inbreuken. De Telecommunicatiewet geeft de OPTA de mogelijkheid een boete van maximaal EUR 450.000 op te leggen in geval van schending van de plicht beveiligingsmaatregelen te nemen of het niet naleven van de meldingsplicht.11
OPTA kan een boete van maximaal EUR 450.000 opleggen voor het niet naleven van de meldingsplicht voor elektronische communicatiediensten.
inrichten dat een datalek meteen na ontdekking wordt gemeld bij de verantwoordelijke personen binnen de onderneming en dat onverwijld de afweging wordt gemaakt of moet worden gemeld of niet. Onder omstandigheden kan het verdedigbaar zijn dat het datalek wordt ‘gedicht’ voordat melding plaatsvindt, om verder misbruik zoveel mogelijk te voorkomen. Aan de andere kant kan de verplichting om de nadelige gevolgen voor betrokkenen zoveel mogelijk te beperken meebrengen dat zo snel mogelijk wordt gemeld. Omdat de melding mede betrekking heeft op de hoeveelheid en het type gegevens dat aan risico’s is blootgesteld zal enig onderzoek nodig zijn voordat tot een melding kan worden overgegaan. Uiteraard dient dat onderzoek voortvarend en efficiënt plaats te vinden om zoveel mogelijk te kunnen voldoen aan het vereiste dat de melding onverwijld na kennisname van het datalek wordt gedaan. De meldplicht brengt mee dat een getroffen onderneming een datalek zelfstandig naar buiten moet brengen, met alle mogelijk nadelige (publicitaire) gevolgen van dien. Het is dan ook raadzaam daarvoor een communicatieplan voor te bereiden. Bij het melden en communiceren over het datalek dient geen bedrijfsgevoelige informatie te worden verspreid. Daarmee moet in het communicatieplan rekening worden gehouden. Algemene meldplicht Op dit moment ligt een wetsvoorstel tot wijziging van de Wbp voor advies bij de Raad van State,12 waarin onder meer een algemene meldplicht voor datalekken is opgenomen. Dit wetsvoorstel is op dit moment nog niet openbaar, maar eerder is wel een consultatiedocument gepubliceerd.13 Hieruit blijkt dat in de Wbp een meldplicht wordt ingevoerd voor alle ondernemingen in de publieke en private sector, met uitzondering van aanbieders van http://www.rijksoverheid.nl/documenten-en-publicaties/wetsvoorstellen/2012/11/01/wijziging-wet-
12
bescherming-persoonsgegevens-meldplicht-datalekken. 13
Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de verruiming van de mogelijkheid van het gebruik van camerabeelden van strafbare feiten ten behoeve van de ondersteuning van de rechtshandhaving en de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (gebruik camerabeelden en meldplicht datalekken) (versie consultatie en advies - dec 11). Te vinden op http://www.internetconsultatie.nl/
Een onderneming die onder de meldplicht van de Tw valt moet een inbreuk op een beveiligingsmaatregel melden zodra zij daarvan de kennis heeft. Dat roept de vraag op of die kennis er al is als de ICT-afdeling een lek ontdekt of pas als de Raad van Bestuur op de hoogte is gesteld. Het antwoord is vermoedelijk dat een onderneming haar organisatie zo zal moeten
camerabeelden. De consultatie is 29 februari 2012 gesloten. Het wijzigingswetsvoorstel voor de Wbp bevat ook een regeling voor het gebruik van camerabeelden met daarop mogelijke strafbare feiten door particulieren. Camerabeelden met daarop mogelijk strafbare feiten vallen onder de strikte regelgeving van artikel 22 Wbp en mogen maar beperkt worden gebruikt. Op verzoek van staatssecretaris Teeven van Veiligheid en Justitie zullen aanvullende gronden worden gecreëerd op basis waarvan onder andere
9
Zie noot 11.
particulieren deze beelden voor opsporing mogen gebruiken. Kennelijk is veel beeldmateriaal beschikbaar
Stb. 2001, 302.
en wordt dit op dit moment onvoldoende wordt gebruikt. Schijnbaar zal een efficiënte manier van gebruik
Artikel 15.4 lid 4 juncto 15.1 lid 3 juncto 11.3 en 11.3a Tw.
van deze beelden leiden tot meer opsporing.
10 11
70privacy: tips en tricks voor de ondernemingspraktijk
HOUTHOFF BURUMA71
openbare elektronische communicatiediensten en financiële instellingen.14 Het toezicht op datalekken wordt geconcentreerd (ook voor telecom- en Het CBP kan een boete van maximaal internetproviders). Het College Bescherming Persoonsgegevens EUR 200.000 opleggen voor schending (CBP) krijgt de bevoegdheid een boete van maximaal EUR 200.000 op van de algemene meldplicht voor te leggen voor het niet voldoen aan andere ondernemingen. de meldplicht. Op grond van een nieuw artikel 34a Wbp is de verantwoordelijke verplicht datalekken te melden aan het CBP en aan de betrokkenen. In aanvulling daarop wordt de verantwoordelijke verplicht om in de bewerkersovereenkomst vast te leggen dat de bewerker de verantwoordelijke onmiddellijk informeert als hij vaststelt dat een beveiligingsmaatregel van persoonsgegevens die hij voor verantwoordelijke bewerkt, is geschonden. De regeling in de Wbp komt inhoudelijk grotendeels overeen met die van de meldplicht in de Telecommunicatiewet. Een belangrijk verschil is dat een datalek onder het voorgestelde artikel 34a Wbp alleen aan betrokkenen én het CBP hoeft te worden gemeld indien dit kan leiden tot verlies of onrechtmatige verwerking van persoonsgegevens met nadelige gevolgen voor de privacy. Zoals hierboven beschreven dient op grond van de Telecommunicatiewet iedere inbreuk waarbij persoonsgegevens betrokken zijn te worden gemeld aan de OPTA, ook als geen nadelige gevolgen voor de privacy te verwachten zijn. Beoordeling inbreuk Op grond van de Wbp moet de getroffen onderneming zelf toetsen of de inbreuk nadelige gevolgen kan hebben voor de privacy en daarom in aanmerking komt voor melding. Het criterium daarvoor is of van de inbreuk ‘redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden’. Om daaraan invulling te geven is het raadzaam een stapsgewijze benadering te kiezen. De eerste stap is om vast te stellen of persoonsgegevens zijn blootgesteld aan het risico op verlies of onrechtmatige verwerking. Deze beoordeling moet objectief gebeuren. In praktijk is het prudent om aan te nemen dat dit risico in beginsel bestaat als een derde zonder medeweten van de verantwoordelijke toegang heeft gehad tot de gegevens. Dat is bijvoorbeeld het geval bij een geslaagde hack van een gedeelte van het IT-systeem waar persoonsgegevens zijn 14
De regels voor integere bedrijfsvoering in de Wet op het financieel toezicht bevatten al een
opgeslagen. Ook bij verlies van een niet of onvoldoende beveiligde USB-stick, smartphone of laptop met persoonsgegevens is die aanname gerechtvaardigd. Ten tweede moet worden bepaald of het risico op verlies of onrechtmatige verwerking aanmerkelijk is. Daarbij moet worden gekeken naar de aard en de omvang van het datalek. In de regel zal het risico gering zijn als het gaat om het verlies van een enkel apparaat met Als wachtwoorden of financiële een beperkte hoeveelheid niet-gevoelige gegevens zijn gelekt kunnen de persoonsgegevens (bijvoorbeeld een smartphone met een lijst met contacten). nadelige gevolgen voor de privacy Het risico zou echter aanmerkelijk kunnen van de betrokkene groot zijn. zijn als een abonneebestand op een website is gehackt. De derde stap is na te gaan wat de nadelige gevolgen voor de privacy voor de betrokken personen zijn. Daarbij gaat het primair om de aard van de persoonsgegevens. Een voorbeeld is de in de inleiding genoemde hack van patiëntgegevens van een ziekenhuis. Ook als wachtwoorden of financiële gegevens betrokken zijn, kunnen de nadelige gevolgen voor de privacy van de betrokkene groot zijn. Het wetsvoorstel meldplicht datalekken bevat een boete van maximaal EUR 200.000 voor schendingen van de meldplicht. In tegenstelling tot de Telecommunicatiewet wordt een datalek an sich niet bestraft. In het licht van de huidige Wbp is EUR 200.000 overigens een aanzienlijke boete; de hoogste boete die nu in de Wbp is opgenomen is EUR 19.500.15 Europese privacyverordening Artikelen 31 en 32 concept Verordening bevat eveneens een meldplicht voor datalekken. Evenals in de Telecommunicatiewet moeten alle inbreuken waarbij persoonsgegevens betrokken zijn worden gemeld aan de toezichthouder en dienen betrokken personen te worden geïnformeerd als negatieve gevolgen voor de privacy waarschijnlijk zijn. De concept Verordening bevat een afzonderlijke verplichting voor de bewerker om een inbreuk op de beveiligingsmaatregelen aan de verantwoordelijke te melden. Inbreuken moeten worden gemeld zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat de verantwoordelijke ervan kennis heeft gekregen. Een melding die later is gedaan, dient te worden vergezeld van een motivering. De boete voor opzettelijk of nalatig niet, niet tijdig of niet volledig melden valt in de hoogste categorie (tot EUR 1.000.000 of, bij een onderneming, 2% van haar jaarlijkse wereldwijde omzet).
beveiligings- en meldplicht. Artikel 75 lid 2 Wbp.
15
72privacy: tips en tricks voor de ondernemingspraktijk
HOUTHOFF BURUMA73
Wetgevend traject Op dit moment is moeilijk te voorspellen wanneer een algemene meldplicht voor datalekken van kracht wordt voor ondernemingen en wat daarvan de precieze inhoud zal zijn. Het wetsvoorstel meldplicht datalekken is in 2012 ingediend bij de Raad van State en het wetgevend traject duurt daarna doorgaans al gauw 24 maanden (dus tot eind 2014). Tegen die tijd zal ook de concept Verordening een groot deel van het wetgevend traject hebben afgelegd. Mocht de Nederlandse wet eerder gereed zijn dan zal de regering moeten beslissen of het zinvol is deze alvast in werking te laten treden, of dat het verstandiger is om inwerkingtreding van de Verordening af te wachten. Vaststaat in elk geval dat er een algemene meldplicht voor datalekken komt. Gezien het feit dat de meldplicht onder de concept Verordening dezelfde is als die onder artikel 11.3a Telecommunicatiewet lijkt het voor ondernemers in andere sectoren raadzaam om zich daarnaar te richten.
74privacy: tips en tricks voor de ondernemingspraktijk
In elk geval staat vast dat er een algemene meldplicht voor datalekken komt.
Tips & Tricks • Inventariseer waar in de onderneming welke gegevens worden verwerkt, met de nadruk op gevoelige gegevens. • Inventariseer de mogelijke risico’s van verlies van gegevens. • Voer een praktisch maar strikt beleid ten aanzien van de opslag van persoonsgegevens door werknemers op draagbare apparatuur, zoals laptops, iPads, smartphones en USB-sticks. • Zorg voor afdoende beveiliging van draagbare apparatuur die voor opslag van persoonsgegevens wordt gebruikt (inclusief de mogelijkheid bij verlies van apparatuur de gegevens op afstand te vernietigen). • Indien de onderneming werknemers toestaat eigen apparatuur voor haar werkzaamheden te gebruiken, voer dan een strikt beleid ten aanzien van persoonsgegevens die daarop mogen worden opgeslagen en hun beveiliging. • Inventariseer risico’s in de ICT-infrastructuur (met name website en databases) en bij decentrale opslag van persoonsgegevens (randapparatuur; dossierkasten). • Stel een actieplan op dat moet worden uitgevoerd ingeval van een datalek (zie hierna voor een voorbeeld). • Zorg voor training van de betrokken werknemers in de uitvoering van het actieplan. • Stel een communicatieplan op voor het naar buiten brengen van de melding.
HOUTHOFF BURUMA75
Actieplan Datalek 1. Zorg voor een vast team voor de behandeling van datalekken (IT’ers, privacyverantwoordelijke, juristen, communicatiedeskundigen). Laat het team regelmatig het Actieplan oefenen. 2. Het datalek wordt gemeld aan de contactpersoon voor datalekken. Dit zal doorgaans de privacyverantwoordelijke binnen de onderneming zijn (privacy officer, compliance officer, functionaris voor de gegevensbescherming, bedrijfsjurist).
9. Als het incident moet worden gemeld of melding wenselijk is, stelt de contactpersoon, in overleg met de communicatiedeskundige en, waar nodig, de IT’ers en de juristen in het team, de melding op. 10. Als zich een strafbaar feit heeft voorgedaan, bijvoorbeeld een hack of diefstal van gegevens, moet worden overwogen aangifte bij de politie te doen. 11. Indien nodig: de communicatiedeskundige stelt een persbericht op en voert het communicatieplan uit.
3. De contactpersoon licht onmiddellijk het team datalekken in. 4. De contactpersoon licht onmiddellijk de verantwoordelijke bestuurder in. 5. Het team datalekken start een onderzoek naar het incident, waarbij in ieder geval het volgende wordt onderzocht: a. Welke inbreuk op de beveiligingsmaatregelen heeft plaatsgevonden (hack, verlies gegevens etc.) en wanneer? b. Welk onderdeel van het IT-systeem is betrokken (website, database etc.) en/of welke apparatuur en waar is deze verloren/gestolen? c. Welke gegevens zijn mogelijk betrokken? d. Wat zijn de (verwachte) consequenties van het incident?
12. De contactpersoon onderhoudt contacten met de toezichthouder over de melding en verstrekt op verzoek nadere informatie. 13. Na afronding van het incident wordt de uitvoering van het Actieplan en het incident zelf onder leiding van de contactpersoon geëvalueerd. Op basis van de evaluatie worden eventuele verbeteringen in het Actieplan en preventieve maatregelen vastgesteld.
6. De IT’ers in het team identificeren maatregelen om de beveiliging te herstellen en voeren deze uit. 7. De contactpersoon en de juristen in het team stellen vast of het incident moet worden gemeld op grond van de wet en of sprake is van een strafbaar feit. Daarbij moet worden vastgesteld: a. Is er sprake van een inbreuk op beveiligingsmaatregelen? Zo niet, dan is er geen meldplicht. b. Zo ja, zijn de verwerkte persoonsgegevens blootgesteld aan een aanmerkelijk risico van verlies of onrechtmatige verwerking? c. Zo ja, leidt het verlies of de onrechtmatige verwerking redelijkerwijs tot nadelige gevolgen voor de persoonsgegevens en persoonlijke levenssfeer van de betrokkenen? 8. Indien er geen meldplicht is stellen contactpersoon en juristen vast of het desondanks wenselijk is het incident te melden. Daarbij moeten worden betrokken de aard en de omvang van de inbreuk, de mate waarin gevoelige gegevens zijn betrokken en de mogelijke nadelige consequenties voor de betrokken personen.
76privacy: tips en tricks voor de ondernemingspraktijk
HOUTHOFF BURUMA77
Het privacyteam van Houthoff Buruma bestaat uit: Wolter Wefers Bettink partner bij Houthoff Buruma en gespecialiseerd in IP en IT litigation, privacy en e-business T +31 20 605 6167 |
[email protected] Thomas de Weerd partner bij Houthoff Buruma en gespecialiseerd in IT, outsourcing, privacy en e-business T +31 20 605 6985 |
[email protected]
Copyright © 2013 Houthoff Buruma Voorbehoud: Het is toegestaan om korte passages uit deze uitgave te citeren in andere publicaties, op voorwaarde dat duidelijk aan bronvermelding wordt gedaan. Aanbevolen citeerwijze: “Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma”. Voor het overige mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder de voorafgaande schriftelijke toestemming van Houthoff Buruma. Deze uitgave is bedoeld ter informatie en niet als juridisch advies. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaardt Houthoff Buruma geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen daarvan.
78privacy: tips en tricks voor de ondernemingspraktijk
HOUTHOFF BURUMA79