Enkele actualiteiten IT & Recht

Slides:



Advertisements
Verwante presentaties
mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Advertisements

Medisch beroepsgeheim onder druk: trend of toeval?
Schade-expertisebureaus en de Wet bescherming persoonsgegevens
Juridische aspecten van eHealth Startconferentie INPREZE 25 juni 2013 mr. dr. Anton Ekker.
Jaarcongres NILG, VU 9 november 2010 Publieke belangen en auteurscontractenrecht Prof. dr. Martin Senftleben Vrije Universiteit Amsterdam Bird & Bird,
Aansprakelijk? Reken maar…!.
Testdata Management Ketentest
Accreditatierichtlijn beveiliging van bestanden
Overeenkomsten en Algemene Voorwaarden 19 juni 2006 NMV Mediapark Hilversum Linda Eijpe.
De Patiëntenrichtlijn
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Personeelsadministratie
Affligem, 23 april 2003 V-ICT-OR SHOPT IT. Affligem, 23 april 2003 Gebrek aan regelgeving, nood aan duidelijkheid oplossing : e-policy ? wettelijke beperkingen.
Module I Informatica Dhr. C. Walters. Het belang van informatie Gegevens  Informatie  Besluitvorming Gegevens = Data, Raw Material Informatie = Gegevens.
Aanstaande privacywetgeving
SURF Juridisch normenkader cloudservices
Wet markt en overheid Studiedag CAB 10 april 2013 Mr. P.A.E.M. Hogenhuis Linkedin:
AD Security project 2 ICTPSC02VX/DX George Pluimakers Schooljaar
De Bouwplaats-ID, een goed idee?
Persoonsgegevens en de Wbp
Enkele actualiteiten IT & Recht ZVIO Mr. Peter van Schelven 28 januari 2016, Goes.
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Meldplicht Datalekken
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Wet Bescherming Persoonsgegevens
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Zijn cyberrisico’s verzekerbaar? Clemens Nieuwenstein Maandag 13 juni 2016.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
Privacy en financiële instellingen VCO 5 juni 2007.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
1Het begint met een idee DE BEWERKERSOVEREENKOMST: NUT EN NOODZAAK.
Cyber Risk en Risico Management
Meld plicht Datalekken
Integriteit in het sociaal domein
Datacenter versus Cloud
Format Presentatie CISO aan gemeentebestuur
GDPR, andere wetten en datalekken
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Cyber Security in het MKB
Autoriteit Persoonsgegevens Toezicht onder de AVG
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
PRIVACY CONGRES KNRB 20 januari 2018 mr. Arthur van der Hoeff
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
Risicoanalyse … waarom?
Welkom Wim Behage Commercieel Directeur Accent Automatisering 50 jaar
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Presentatie ‘Privacy & CRM’
AVG Privacy, is het recht om met rust gelaten te worden.
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
Privacy en Leerplicht/RMC
Privacy bij Vrijwilligersorganisaties
Mr. I.W. van Osch 360|Advocaten
7 december 2017 Bedrijfsgeheimen en andere vertrouwelijke informatie in de civiele procedure Vereniging Corporate Litigation – 31 mei 2018 Ruud Hermans.
GDPR/AVG General Data Protection Regulation /
Privacy en Leerplicht/RMC
INTRO De nieuwe privacy verordening & ons kantoor.
Risicoanalyse … waarom?
Introductie computerveiligheid
Privacy Wat moet je weten van de nieuwe privacyverordening
Handleiding VVLE template verwerkingsregister
Privacy en bescherming persoonsgegevens 2018
het Naoberhuis Algemene Verordening Gegevensbescherming
Passende technische en organisatorische beveiliging:
Risicoanalyse … waarom?
Transcript van de presentatie:

Enkele actualiteiten IT & Recht ZVIO Mr. Peter van Schelven 28 januari 2016, Goes

Agenda Informatiebeveiliging en meldplicht datalekken - Aanpassing privacywetgeving 1-1-2016 - Voorstel voor Wet gegevensverwerking en meldplicht cybersecurity (januari 2016) Software en auteurscontractenrecht (1-7-2015)

Wet Meldplicht Datalekken

Databeveiliging: de klassieke ‘CIA-triade’ Confidentiality => exclusiviteit van data: alleen geautoriseerde personen/organisaties hebben toegang en de data kunnen niet uitlekken. Integrity => actuele, correcte en volledige informatie, op basis van een geautoriseerd proces of geautoriseerde personen. Integriteit van data en verwerkingsproces Availability => beschikbaarheid (tijdigheid, continuïteit en robuustheid)

Nieuwste loot: het transparantiebeginsel Transparantie d.m.v. een meldplicht (notificatieplicht) datalekken Waar wettelijk geregeld? 1. Nu: Telecommunicatiewet (telecom- en internet accesproviders) 2. Vanaf 1-1-2016: Wet Bescherming Persoonsgegevens (alle bedrijven en (overheids-)organisaties; deels voor financiële instellingen) 3. Bij de TK: Wet gegevensverwerking en meldplicht cybersecurity (alleen aanbieders vitale infrastructuren) 4. Europese Privacy-verordening (alle bedrijven en organisaties, waaronder overheden)

Wat is een ‘datalek’ volgens de WBP? Complexe definitie met open ‘eindjes’ “…een inbreuk op de beveiliging … die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” Bedrijf/organisatie moet zelf eigen afweging maken of sprake is van: (a) inbreuk beveiliging (b) ernstige nadelige gevolgen (c) kans op ernstige nadelige gevolgen Niet alleen internet-gerelateerde databeveiliging, ook ‘klassieke’ ICT en papieren bestanden (mits voldoen aan WBP-criteria)

Voorbeelden ‘datalek’ volgens Autoriteit Persoonsgegevens (AP) Inbreuken op de beveiliging volgens beleidsregels AP (nieuwe naam van CBP) kwijtgeraakte USB-stick gestolen laptop inbraak door een hacker verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden malwarebesmetting (ook ransomware) brand in datacentrum

Ernstige nadelige gevolgen voor de persoonlijke levenssfeer? Beleidsregels geven diverse voorbeelden Extra aandacht voor: “bijzondere persoonsgegevens” vrijwel altijd risicovol - medische data, godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, lidmaatschap van een vakvereniging en strafrechtelijke gegevens financiële/economische data van personen data die kunnen leiden tot stigmatisering/uitsluiting van personen gebruikersnamen, wachtwoorden en andere inloggegevens data die kunnen worden misbruikt voor (identiteits)fraude

Meldplicht volgens de WBP Autoriteit Persoonsgegevens Betrokken personen Wanneer? => ‘onverwijld’ , AP zegt: binnen 72 uur na ontdekking incident Wat? => aard en omvang datalek, vermoedelijke gevolgen, maatregelen, betrokken instanties etc. Hoe? => per brief, krant, website, email, telefoon e.d. en mogelijkheden tot correctie/reactie (kostenafweging versus zorgvuldige info)

Uitzondering meldplicht jegens personen Geen meldplicht naar personen bij versleuteling (encryptie) “onbegrijpelijk en ontoegankelijk” voor iedereen die geen recht heeft op kennisname AP kan beslissen dat encryptie niet voldoende is => dan ontstaat alsnog een meldplicht.

Bezwaren tegen meldplicht Verhouding monitoring van ICT-systemen en meldplicht Nieuwe druk op ICT-contractpraktijk (cloudcontracten; hosting etc.) Onvoldoende bescherming tegen dat wat AP met meldingen doet Aanzuigende werking voor nieuwe aansprakelijkheden Geen internationale uniformering

Contractspraktijk Contractueel ‘doorleggen’ van wettelijke meldplicht naar Cloud Provider of hostingbedrijf - ICT-dienstencontracten - bewerkersovereenkomsten : wettelijk verplicht Aanpassen van bestaande/lopende contracten Medewerkingsplicht van Cloud provider en host uitwerken. “best practices” en auditing

Aandachtspunten bewerkersovereenkomst Samenhang met IT-diensteverleningscontract (hostingcontract) Informatieverplichtingen IT-dienstverlener naar opdrachtgever (alle datalekken melden of alleen bepaalde datalekken?) Informatieverplichtingen opdrachtgever naar IT-dienstverlener (bijv. bij opdrachtgever bekende besmetting van IT-systemen) Level van informatiebeveiliging, maatregelen Positie van bewerker – subbewerkers Auditing Looptijd bewerkersovereenkomst Positie van derden (bijv. overheidsinstantie vraagt om inzage gegevens) Aansprakelijkheid

Sancties Bestuurlijke boetes (tot max € 820.000 of 10%omzet) Precedent: boete ACM aan KPN. Rechtbank Rotterdam 8 januari 2015: “Garanderen van passend beveiligingsniveau is een verstrekkende inspanningsplicht.” Boete: € 364.000 Aanwijzingen van AP over de inrichting van uw beveiliging Aansprakelijkheid: (i) schending van informatiebeveiliging (ii) schending van notificatieplicht

Bestuurlijke boete Direct boete bij opzet of ernstig verwijtbare nalatigheid In andere gevallen: eerst bindende aanwijzing Beleidsregels boetes - Categorie I Boetebandbreedte tussen € 0 en € 200.000 - Categorie II Boetebandbreedte tussen € 120.000 en € 500.000 - Categorie III Boetebandbreedte tussen € 350.000 en € 820.000 Schending van meldplicht valt in categorie II en (eventueel) III Schending van meldplicht aan CBP en betrokkenen leveren afzonderlijke boetes op, dus max 2x 820.000 = € 1,64 miljoen Minimumboete is in beginsel € 120.000 (afwijkingen t.b.v. MKB toegestaan) Schending beveiligingsverplichting zelf: categorie II en III

Meldplicht en aansprakelijkheid Onvoldoende beveiliging = onrechtmatig! => Melding kan indicatie van onvoldoende beveiliging zijn => Melding levert geen vrijtekening van aansprakelijkheid op Aansprakelijkheid jegens betrokken persoon voor: => Niet, te laat of te weinig melden bij CBP => Niet, te laat of te weinig melden bij betrokken personen => Niet voldoen aan last van CBP => Niet bijhouden van incidentenregister

US Case – ca 110 miljoen credit card data

Eigen kosten en schade i.v.m. meldplicht? Kosten forensisch onderzoek Kosten van crisismanagement Kosten melding inbreuk Kosten van ‘disaster recovery’ Kosten klantenservice (opzetten call-centre, bewaken betaalkaarttransacties, kredietbewakingsdiensten) Kosten verweer externe claims Kosten extra PR Kosten en schade wegens business interruptie

Cyber security verzekering First party verzekering of third party verzekering? Deel van beroepsaansprakelijkheidsverzekering IT-bedrijf? Dekking alleen bij schending van wettelijke meldplicht? Of ook bij niet- expliciete wettelijke verplichtingen? Of zelfs ook bij schending contractuele meldplicht in relatie verantwoordelijke - bewerker? Welke kosten zijn gedekt?

Praktische aandachtspunten meldplicht Inschakeling van ICT-monitoring? Aansturing van de medewerkers? Bij wie wanneer wat melden intern? Beleidskader voor melden aan AP/betrokkene: met of zonder verzekeraar? Rol van de verzekeraar bij uitvoering meldplicht Angst versus vertrouwen? Contractuele verhoudingen?

Voorstel voor wet gegevensverwerking en meldplicht cybersecurity

Wetsvoorstel januari 2016 Alleen voor ‘vitale aanbieders’ Welke zijn dat? Nog te bepalen, maar regering denkt aan energie, drinkwater, telecom, transport (mainport Rotterdam en Schiphol), financiën en Rijkswaterstaat (primaire waterkeringen). Wat melden: IT valt ‘in belangrijke mate’ uit. Invulling van ‘in belangrijke mate’ ontbreekt in wetsvoorstel. Concretisering in overleg met sectoren.

Inhoud wetsvoorstel Meldplicht bij Minister van Justitie/NCSC (Nationaal Cybersecurity Center) Boetes: geen NCSC gaat ‘hulp’ verlenen Niet alle IT-incidenten: geen melding bij Ddos-aanvallen

IT en Auteurscontractenrecht

Enkele aspecten van nieuw auteurscontractenrecht Vroeger: overdracht van auteursrecht d.m.v. akte en licenties waren vormvrij Nu: overdracht en exclusieve licenties d.m.v. akte. Gehele set van nieuwe spelregels voor ‘de exploitatieovereenkomst’ voor makers van vlees en bloed (natuurlijke personen) Geldt niet voor zogeheten fictieve makers (werkgevers en art.6- rechtspersonen) Doel: versterking van rechtspositie van ZZP-ers, freelancers

Nieuwe rechten voor natuurlijke personen (1) Recht op een ‘billijke vergoeding’ Nieuwe exploitatievormen => aanvullende billijke vergoeding => ook jegens rechtsopvolgers Aanvullende billijke vergoeding bij ‘ernstige onevenredigheid’ tussen vergoeding en exploitatieopbrengsten, ook te handhaven jegens rechtsopvolgers NON USUS: Ontbindingsrecht bij non-usus (non-exploitatie), na gunning van een redelijke termijn => retro overdracht auteursrecht

Nieuwe rechten voor natuurlijke personen (2) Vernietigbaar is beding dat onredelijk lang/onbepaald toekomstige werken claimt Nieuwe rechten zijn dwingend recht; afwijkende contracten houden geen stand.

Vragen? BIJ PETER- Wet & Recht Oudewater peter.van.schelven@gmail.com