Enkele actualiteiten IT & Recht ZVIO Mr. Peter van Schelven 28 januari 2016, Goes
Agenda Informatiebeveiliging en meldplicht datalekken - Aanpassing privacywetgeving 1-1-2016 - Voorstel voor Wet gegevensverwerking en meldplicht cybersecurity (januari 2016) Software en auteurscontractenrecht (1-7-2015)
Wet Meldplicht Datalekken
Databeveiliging: de klassieke ‘CIA-triade’ Confidentiality => exclusiviteit van data: alleen geautoriseerde personen/organisaties hebben toegang en de data kunnen niet uitlekken. Integrity => actuele, correcte en volledige informatie, op basis van een geautoriseerd proces of geautoriseerde personen. Integriteit van data en verwerkingsproces Availability => beschikbaarheid (tijdigheid, continuïteit en robuustheid)
Nieuwste loot: het transparantiebeginsel Transparantie d.m.v. een meldplicht (notificatieplicht) datalekken Waar wettelijk geregeld? 1. Nu: Telecommunicatiewet (telecom- en internet accesproviders) 2. Vanaf 1-1-2016: Wet Bescherming Persoonsgegevens (alle bedrijven en (overheids-)organisaties; deels voor financiële instellingen) 3. Bij de TK: Wet gegevensverwerking en meldplicht cybersecurity (alleen aanbieders vitale infrastructuren) 4. Europese Privacy-verordening (alle bedrijven en organisaties, waaronder overheden)
Wat is een ‘datalek’ volgens de WBP? Complexe definitie met open ‘eindjes’ “…een inbreuk op de beveiliging … die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” Bedrijf/organisatie moet zelf eigen afweging maken of sprake is van: (a) inbreuk beveiliging (b) ernstige nadelige gevolgen (c) kans op ernstige nadelige gevolgen Niet alleen internet-gerelateerde databeveiliging, ook ‘klassieke’ ICT en papieren bestanden (mits voldoen aan WBP-criteria)
Voorbeelden ‘datalek’ volgens Autoriteit Persoonsgegevens (AP) Inbreuken op de beveiliging volgens beleidsregels AP (nieuwe naam van CBP) kwijtgeraakte USB-stick gestolen laptop inbraak door een hacker verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden malwarebesmetting (ook ransomware) brand in datacentrum
Ernstige nadelige gevolgen voor de persoonlijke levenssfeer? Beleidsregels geven diverse voorbeelden Extra aandacht voor: “bijzondere persoonsgegevens” vrijwel altijd risicovol - medische data, godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, lidmaatschap van een vakvereniging en strafrechtelijke gegevens financiële/economische data van personen data die kunnen leiden tot stigmatisering/uitsluiting van personen gebruikersnamen, wachtwoorden en andere inloggegevens data die kunnen worden misbruikt voor (identiteits)fraude
Meldplicht volgens de WBP Autoriteit Persoonsgegevens Betrokken personen Wanneer? => ‘onverwijld’ , AP zegt: binnen 72 uur na ontdekking incident Wat? => aard en omvang datalek, vermoedelijke gevolgen, maatregelen, betrokken instanties etc. Hoe? => per brief, krant, website, email, telefoon e.d. en mogelijkheden tot correctie/reactie (kostenafweging versus zorgvuldige info)
Uitzondering meldplicht jegens personen Geen meldplicht naar personen bij versleuteling (encryptie) “onbegrijpelijk en ontoegankelijk” voor iedereen die geen recht heeft op kennisname AP kan beslissen dat encryptie niet voldoende is => dan ontstaat alsnog een meldplicht.
Bezwaren tegen meldplicht Verhouding monitoring van ICT-systemen en meldplicht Nieuwe druk op ICT-contractpraktijk (cloudcontracten; hosting etc.) Onvoldoende bescherming tegen dat wat AP met meldingen doet Aanzuigende werking voor nieuwe aansprakelijkheden Geen internationale uniformering
Contractspraktijk Contractueel ‘doorleggen’ van wettelijke meldplicht naar Cloud Provider of hostingbedrijf - ICT-dienstencontracten - bewerkersovereenkomsten : wettelijk verplicht Aanpassen van bestaande/lopende contracten Medewerkingsplicht van Cloud provider en host uitwerken. “best practices” en auditing
Aandachtspunten bewerkersovereenkomst Samenhang met IT-diensteverleningscontract (hostingcontract) Informatieverplichtingen IT-dienstverlener naar opdrachtgever (alle datalekken melden of alleen bepaalde datalekken?) Informatieverplichtingen opdrachtgever naar IT-dienstverlener (bijv. bij opdrachtgever bekende besmetting van IT-systemen) Level van informatiebeveiliging, maatregelen Positie van bewerker – subbewerkers Auditing Looptijd bewerkersovereenkomst Positie van derden (bijv. overheidsinstantie vraagt om inzage gegevens) Aansprakelijkheid
Sancties Bestuurlijke boetes (tot max € 820.000 of 10%omzet) Precedent: boete ACM aan KPN. Rechtbank Rotterdam 8 januari 2015: “Garanderen van passend beveiligingsniveau is een verstrekkende inspanningsplicht.” Boete: € 364.000 Aanwijzingen van AP over de inrichting van uw beveiliging Aansprakelijkheid: (i) schending van informatiebeveiliging (ii) schending van notificatieplicht
Bestuurlijke boete Direct boete bij opzet of ernstig verwijtbare nalatigheid In andere gevallen: eerst bindende aanwijzing Beleidsregels boetes - Categorie I Boetebandbreedte tussen € 0 en € 200.000 - Categorie II Boetebandbreedte tussen € 120.000 en € 500.000 - Categorie III Boetebandbreedte tussen € 350.000 en € 820.000 Schending van meldplicht valt in categorie II en (eventueel) III Schending van meldplicht aan CBP en betrokkenen leveren afzonderlijke boetes op, dus max 2x 820.000 = € 1,64 miljoen Minimumboete is in beginsel € 120.000 (afwijkingen t.b.v. MKB toegestaan) Schending beveiligingsverplichting zelf: categorie II en III
Meldplicht en aansprakelijkheid Onvoldoende beveiliging = onrechtmatig! => Melding kan indicatie van onvoldoende beveiliging zijn => Melding levert geen vrijtekening van aansprakelijkheid op Aansprakelijkheid jegens betrokken persoon voor: => Niet, te laat of te weinig melden bij CBP => Niet, te laat of te weinig melden bij betrokken personen => Niet voldoen aan last van CBP => Niet bijhouden van incidentenregister
US Case – ca 110 miljoen credit card data
Eigen kosten en schade i.v.m. meldplicht? Kosten forensisch onderzoek Kosten van crisismanagement Kosten melding inbreuk Kosten van ‘disaster recovery’ Kosten klantenservice (opzetten call-centre, bewaken betaalkaarttransacties, kredietbewakingsdiensten) Kosten verweer externe claims Kosten extra PR Kosten en schade wegens business interruptie
Cyber security verzekering First party verzekering of third party verzekering? Deel van beroepsaansprakelijkheidsverzekering IT-bedrijf? Dekking alleen bij schending van wettelijke meldplicht? Of ook bij niet- expliciete wettelijke verplichtingen? Of zelfs ook bij schending contractuele meldplicht in relatie verantwoordelijke - bewerker? Welke kosten zijn gedekt?
Praktische aandachtspunten meldplicht Inschakeling van ICT-monitoring? Aansturing van de medewerkers? Bij wie wanneer wat melden intern? Beleidskader voor melden aan AP/betrokkene: met of zonder verzekeraar? Rol van de verzekeraar bij uitvoering meldplicht Angst versus vertrouwen? Contractuele verhoudingen?
Voorstel voor wet gegevensverwerking en meldplicht cybersecurity
Wetsvoorstel januari 2016 Alleen voor ‘vitale aanbieders’ Welke zijn dat? Nog te bepalen, maar regering denkt aan energie, drinkwater, telecom, transport (mainport Rotterdam en Schiphol), financiën en Rijkswaterstaat (primaire waterkeringen). Wat melden: IT valt ‘in belangrijke mate’ uit. Invulling van ‘in belangrijke mate’ ontbreekt in wetsvoorstel. Concretisering in overleg met sectoren.
Inhoud wetsvoorstel Meldplicht bij Minister van Justitie/NCSC (Nationaal Cybersecurity Center) Boetes: geen NCSC gaat ‘hulp’ verlenen Niet alle IT-incidenten: geen melding bij Ddos-aanvallen
IT en Auteurscontractenrecht
Enkele aspecten van nieuw auteurscontractenrecht Vroeger: overdracht van auteursrecht d.m.v. akte en licenties waren vormvrij Nu: overdracht en exclusieve licenties d.m.v. akte. Gehele set van nieuwe spelregels voor ‘de exploitatieovereenkomst’ voor makers van vlees en bloed (natuurlijke personen) Geldt niet voor zogeheten fictieve makers (werkgevers en art.6- rechtspersonen) Doel: versterking van rechtspositie van ZZP-ers, freelancers
Nieuwe rechten voor natuurlijke personen (1) Recht op een ‘billijke vergoeding’ Nieuwe exploitatievormen => aanvullende billijke vergoeding => ook jegens rechtsopvolgers Aanvullende billijke vergoeding bij ‘ernstige onevenredigheid’ tussen vergoeding en exploitatieopbrengsten, ook te handhaven jegens rechtsopvolgers NON USUS: Ontbindingsrecht bij non-usus (non-exploitatie), na gunning van een redelijke termijn => retro overdracht auteursrecht
Nieuwe rechten voor natuurlijke personen (2) Vernietigbaar is beding dat onredelijk lang/onbepaald toekomstige werken claimt Nieuwe rechten zijn dwingend recht; afwijkende contracten houden geen stand.
Vragen? BIJ PETER- Wet & Recht Oudewater peter.van.schelven@gmail.com