GDPR, andere wetten en datalekken Peter van Schelven ZVIO - Goes Rotterdam - 20 september 2017

Nieuwe spelregels privacy Van: Wet bescherming persoonsgegevens (Wbp) Naar: Algemene Verordening Gegevensbescherming (AVG/GDPR) Wanneer: 25 mei 2018

In de maak in NL: Uitvoeringswet AVG

Trends & Ontwikkelingen volume van persoonsdata die opgeslagen/verwerkt worden maatschappelijke en economische waarde van data complexiteit van interacties (keten-IT, IoT) meer & nieuwe bedreigingen op privacy range van analytics van personen & groepen globalisering van dataverkeer kring van stakeholders neemt toe privacy inzetten als competitive advantage; trust

Beginselen privacy-recht Collection Limitation Principle Data Quality Principle Purpose Specification Principle Use Limitation Principle Security Safeguards Principle Openness Principle Individual Participation Principle Accountability Principle

GDPR: de stand van zaken WatchGuard Technologies (bron: SecurityVandaag.nl) 37% organisaties weet niet of ze aan de GDPR moet voldoen 28% organisaties denkt dat ze niet ‘compliant’ hoeft te zijn 10% organisaties geeft aan nu GDPR-compliant te zijn 90% is nog niet GDPR-compliant 44% weet niet hoe ver zij verwijderd zijn van GDPR- compliancy

Nieuw in de GDPR Accountability Registerplicht Privacy Impact Assessment Verwerkerscontracten Privacy by Design /Default Recht om te worden vergeten Functionaris Gegevensbescherming One shop stop

Sancties / handhaving in GDPR Bestuurlijke boete - € 20 mln./4% jaaromzet - € 10 mln./2% jaaromzet - overheden beboetbaar? - afwentelen op IT-provider? Aansprakelijkheid schade - verantwoordelijke + verwerker - omgekeerde bewijslast - hoofdelijkheid Uitvoeringswet AVG: last onder dwangsom? VS: contractuele afspraken

GDPR: veel blijft bij het oude … persoonsgegevens geïdentificeerde of (direct of indirect) identificeerbaar persoon IP-adressen, relatienummers biometrische gegevens zakelijke contacten pseudonimiseren / versleutelen anonimiseren

Verwerken van persoonsgegevens IT versus wet alle handelingen gedurende de lifecycle van data (van verzamelen, opslag, bewaren tot vernietigen) zelf verwerken of verwerken door een derde?

Vuistregels bescherming persoonsgegevens zorgvuldigheid security is top-prio ! doel + doelbinding dataminimalisatie transparantie + rechten van burgers bewaartermijnen

Security-plichten Technisch Organisatorisch Lees- en mutatierechten Logging Functie-scheiding PIA Verwerkingenregister

Datalekken volgens GDPR Breed begrip datalekken: - inbreuken op beveiliging - ‘op straat’ - interne onrechtmatigheden Meldplicht - toezichthouder: onverwijld, max. 72 uur - betrokken burgers: onverwijld - soms geen meldplicht - maatregelen treffen

Wat is een ‘datalek’ volgens de WBP? “…een inbreuk op de beveiliging … die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” Bedrijf/organisatie moet zelf eigen afweging maken of sprake is van: (a) inbreuk beveiliging (b) ernstige nadelige gevolgen (c) kans op ernstige nadelige gevolgen

Voorbeelden ‘datalek’ volgens AP Inbreuken op de beveiliging volgens eigen spelregels van AP kwijtgeraakte USB-stick gestolen laptop inbraak door een hacker verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden malwarebesmetting (ook ransomware) brand in datacentrum

GDPR-definitie Art. 1 definitie: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” Confidentialiteit en Integriteit

Nieuw! Voorontwerp Cybersecurity-wet Juli 2016 NIB-Richtlijn Juni 2017 Voorontwerp Cybersecuritywet Doel: 9 mei 2018 Extra meldplicht voor o.a. AED’s, Cloudproviders en Online marktplaatsen O.a. Nationaal Cyber Security Centre Boete: max. 5 milj. Euro

GDPR en ICT-bedrijven Softwaremakers - Secure Software Development - Privacy by Design - Logging - Maintenance & Support - AP onderzoeksrecht voor software? Hosting, Cloud, Datacenter - verwerkersovereenkomst - contractuele security-eisen - contractuele meldplicht datalekken - contractuele meldplicht security- incidenten - verleggen ‘boete’ van klant (vrijwaring, wanprestatie) - alignment van contracten

Hosting + SaaS 1. Categorieën van gegevens 2. Interne acces 3. Kring van derden 4. Hoofdlijnen van security 5. Bewaartermijn/wissen/vernietigen 6. Audit-rechten 7. Instructierechten klant 8. Identity- & accesmanagement 9. Vrijwaring security-inbreuken/ datalekken

Protocol meldplicht datalekken Wat is een datalek? Interne procedures Meldplicht toezichthouder Meldplicht betrokken burger Meldplicht opdrachtgevers Melden overige stakeholders Protocol/draaiboek

Verzekeren van kosten meldplichten Schadeclaims derden Bestuurlijke boete Kosten forensisch onderzoek Kosten van crisismanagement Kosten wettelijke en contractuele meldplicht inbreuk, inclusief achterhalen van betrokken burgers Kosten van ‘disaster recovery’ Kosten klantenservice Kosten verweer externe claims Kosten extra PR Kosten en schade wegens business interruptie Beroepsaansprakelijkheidsverzekering (BAV) Cyberdekking - separate dekking - gekoppeld aan BAV

Tot slot “Privacy is not an option, and it shouldn’t be the price we accept for just getting on the Internet.” - Gary Kovacs (ex-CEO AVG) “Data really powers everything that we do.” - Jeff Weiner – CEO LinkedIn