Datalekken NVVIR FLITS

Slides:



Advertisements
Verwante presentaties
Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
Advertisements

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
van verdragsbepalingen
Medisch beroepsgeheim onder druk: trend of toeval?
Nathalie Ragheno Adviseur bij het Juridisch departement van het VBO
7 december 2011 Modernisering van de bevolkingsdiensten O pneming van de geboorten door gemeente van gebeurtenis in het Rijksregister. Naar een volledige.
Wie beschermt onze privacy?
WMO Praat mee!.
Gastcollege Utrecht 17 oktober 2013 Thomas van Essen Spam & social media.
Testdata Management Ketentest
2 en 4 juli 2013 Invoering van de biometrische gegevens in de verblijfstitels Informatiebijeenkomsten voor alle gemeenten van het Koninkrijk België.
Het persoongebonden budget en gemeentelijk beleid Persoons gebonden bekostiging Persoons gebonden bekostiging.
Hoofdstuk 16 Europese mededingingsregels voor lidstaten.
Verbrandingstoestellen werkend met bio-ethanol
1 European Union Regional Policy – Employment, Social Affairs and Inclusion EUROPEES SOCIAAL FONDS OPERATIONEEL PROGRAMMA Disclaimer: deze info.
Hoofdstuk 13 Vrij kapitaalverkeer.
Nieuwe regels, nieuwe plichten De tweede nationale marketing conferentie 10 september 2003 Christiaan Alberdingk Thijm.
De Richtlijn « Diensten » 2006/123/EG en de sociale zekerheid Geneviève Pietquin FOD Sociale Zekerheid.
Doelstelling 2 Amsterdam Groot Oost
Mr. Anton Ekker zomerborrel AdLantic 5 juni 2012.
Leuven Institute for Human Rights and Critical Studies
ELEKTRONISCHE FACTUUR
De Patiëntenrichtlijn
Europese dienstenrichtlijn: implementatie Karolien Naert, Bart Devisch en Eva Poelemans 1.
Hoofdstuk 2 Beginselen van de EG. Taken EG: Het instellen van een gemeenschappelijke markt (= interne markt), dat wil zeggen één enkele binnenmarkt. Het.
Hoofdstuk 11 Vrij kapitaalverkeer. (2/14) Het vrije kapitaalverkeer (inclusief het vrije betalingsverkeer) wordt gewaarborgd door artikel 56 van het Verdrag:
Hoofdstuk 4 Europese wetgeving.
Dienst Maatschappelijke Ontwikkeling Nieuwe Verordening Individuele Wmo Voorzieningen Raadsinformatieavond 17 december 2009.
INTERNATIONALE ASPECTEN VAN HET PENSIOENRECHT 6 maart 2007 R.J.G. Veugelers Vereniging voor Pensioenrecht.
Affligem, 23 april 2003 V-ICT-OR SHOPT IT. Affligem, 23 april 2003 Gebrek aan regelgeving, nood aan duidelijkheid oplossing : e-policy ? wettelijke beperkingen.
Powerpoint template Gemeente Maasdriel.
1 Elektronisch aanbesteden anno 2013 Eis of wens? 7 november Daan Versteeg
Spam & Social media Thomas van Essen Gastcollege Utrecht 7 oktober 2014.
Presentatie ABVAKABO 10 april 2006 Wet Maatschappelijke Ondersteuning (WMO)
Aanstaande privacywetgeving
Inkopen & Aanbesteden bij Zaanstad
Wetgeving digitale overheid (GDI)
Scoring in het licht van de WBP Serge van Nuijs DMSA,
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Consumentenbescherming in Nederland en onder de tropenzon Dr. Viola Heutger EU CARICOM.
Database: Lust en Last? 26 augustus 2009 Over marketingmogelijkheden en privacyaspecten na 1 oktober
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
Gij zult openbaren: privacy en de open overheid
Meld plicht Datalekken
Datacenter versus Cloud
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Stichting van de Arbeid
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
Privacy in wetgeving: wat mag wel en wat mag niet
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Hergebruik van overheidsinformatie
Privacy en Leerplicht/RMC
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
INTRO De nieuwe privacy verordening & ons kantoor.
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Algemene verordening Gegevensbescherming AVG
Passende technische en organisatorische beveiliging:
Recast of the Public Sector Information (PSI) directive
Transcript van de presentatie:

Datalekken NVVIR FLITS Milica Antic en Huub de Jong 13 oktober 2011 antic@solv.nl huub.de.jong@twobirds.com

Inhoud Datalekken Datalekken? Voorbeelden Richtlijn 2009/136/EG Achtergrond Doelen Huidige wetgeving Wetsvoorstel (32 549) Artikel 11.3 lid 2 en 3 Tw Artikel 11.3a Tw Problematiek Toezicht Wbp Conclusie

Datalekken? Datalekken: “(…) veiligheidsinbreuken die leiden tot het verlies, ongewild vrijkomen, diefstal of misbruik van persoonsgegevens” (MvT, p. 23)

Datalekken Voorbeelden Datalekken veelvuldig in het nieuws, voorbeelden: Gepensioneerde KLPD’ers Digitaal Loket Gemeente Amsterdam Miljoenennota Telefoonummers beveiliging Gay Pride Sony (PSN) Vodafone NL Overzichten: Lektober (Webwereld) Zwartboek (Bits of Freedom)

Richtlijn 2009/136/EG Wijziging e-Privacyrichtlijn(2002/58/EG), Wijziging Richtlijn Universele diensten en eindgebruikersbelangen(2002/22/EG) en Wijziging Verordening inzake samenwerking toezichthouders consumentenbescherming (EG nr. 2006/2004) (BEREC) (Meldplicht) Datalekken: Wetsvoorstel zal worden geïmplementeerd in de Telecommunicatiewet Nu bij de Eerste Kamer

Richtlijn 2009/136/EG ‘(…) Een inbreuk op de persoonlijke gegevens kan, wanneer dit probleem niet tijdig en op toereikende wijze wordt aangepakt, voor de betrokken abonnee of persoon aanzienlijk economisch verlies en maatschappelijke schade, inclusief identiteitsfraude, tot gevolg hebben. (…)’ (overweging 61)

Richtlijn 2009/136/EG Achtergrond ‘(…) RFID-systemen (Radio Frequency Identification Devices) bijvoorbeeld maken gebruik van radiofrequenties om gegevens op te vangen van op unieke wijze geïdentificeerde RFI-chips, gegevens die vervolgens kunnen worden verstuurd over bestaande communicatienetwerken. Een breed gebruik van dergelijke [nieuwe, MMA] technologieën kan aanzienlijke economische en maatschappelijke baten opleveren en kan dus een krachtige bijdrage leveren voor de interne markt, op voorwaarde dat hun gebruik aanvaardbaar is voor de burger. Om dat doel te bewerkstelligen, is het noodzakelijk al de fundamentele rechten van het individu, inclusief het recht op privacy en gegevensbescherming, te waarborgen. (…)’ (overweging 56)

Richtlijn 2009/136/EG Evt. uitbreiding meldplicht ‘(…) Het belang van gebruikers om te worden ingelicht is duidelijk niet beperkt tot de sector elektronische communicatie, en bijgevolg moeten op Gemeenschapsniveau prioritair expliciete, verplichte meldingseisen worden ingevoerd die in alle sectoren gelden. In afwachting van een door de Commissie uit te voeren evaluatie van alle relevante Gemeenschapswetgeving op dit gebied moet de Commissie, in overleg met de Europese Toezichthouder voor gegevensbescherming, onverwijld passende maatregelen nemen ter bevordering van de beginselen inzake melding van inbreuken betreffende gegevens uit Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie), ongeacht de sector of het soort gegevens.’ (overweging 59)

Richtlijn 2009/136/EG Doelen: Beperking maatschappelijke schade Vergroten vertrouwen in communicatiediensten Transparante markt: mogelijkheden tot overstappen bij ontevredenheid Algemeen belang

Huidige wetgeving Art. 11.3 Tw (zorgplicht) treffen van passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers Informatieverplichting richting abonnees m.b.t. risico’s doorbreking veiligheid of beveiliging Informatieverplichting richting abonnees m.b.t. middelen waarmee de risico’s tegen te gaan en een indicatie van de verwachte kosten

Wetsvoorstel (32 549) aanvulling zorgplicht Artikel 11.3 lid 2 en 3 Tw (aanvulling op zorgplicht) In ieder geval: waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens, de bescherming van opgeslagen of verzonden persoonsgegevens tegen onbedoelde of niet toegestane opslag, verwerking, toegang, verstrekking, wijziging, verlies, vernietiging, en de invoering van een veiligheidsbeleid met betrekking tot de verwerking van persoonsgegevens.

Wetsvoorstel (32 549) meldplicht Vervolg Artikel 11.3a Tw (meldplicht) Onverwijlde meldplicht OPTA bij inbreuk beveiliging met gevolgen voor persoonsgegeven (zie art. 11.1 sub j Tw (nieuw)) Ook onverwijlde meldplicht bij betrokkene, indien dit waarschijnlijk leidt tot nadelige gevolgen Geen meldplicht indien OPTA oordeelt dat gepaste technische maatregelen zijn genomen Verplichting tot bijhouden overzicht van alle inbreuken

Voor wie? Artikel 11.3a Tw (meldplicht) In gewijzigd wetsvoorstel: Aanbieder van openbare elektronische communicatiedienst en –netwerk Wel: Aanbieders telefonie ISP’s Niet (MvT): Banken Webwinkels Webhosters Overheid

Wetsvoorstel (32 549) problematiek Artikel 11.3a Tw (meldplicht): (Te) Beperkte reikwijdte verplichtingen (geen forums, social networks, online banken e.d.) Interpretatie ‘inbreuk in verband met persoonsgegeven’ (zie overweging 61 Rl. 2009/136) Interpretatie ‘onverwijld’ Geen harde meldplicht, indien dit waarschijnlijk niet leidt tot nadelige gevolgen Wat is een ‘gepaste technische maatregel’ (art. 4 lid 3 Rl. 2002/58)

Toezicht OPTA Ontvangst en registratie melding Beoordeling of melding aan betrokkene noodzakelijk is Beoordeling of gepaste technische maatregelen zijn genomen Opstellen (aanvullende) (beleids)regels Mogelijkheid tot oplegging boete of last onder dwangsom

Algemene meldplicht: Wbp Regeerakkoord VVD-CDA ‘Vrijheid en verantwoordelijkheid’: “Het kabinet komt met een voorstel voor een meldplicht voor alle diensten van de informatiemaatschappij, waaronder de overheid, in geval van verlies, diefstal of misbruik van persoonsgegevens waarbij alle datalekken worden gemeld aan de nationale toezichthouder die boetes kan opleggen indien de meldplicht niet wordt nageleefd.” (p. 42) 30 september 2010

Wbp Brief aan Tweede Kamer: voornemens voorstel wet wijziging Wbp ‘a. Een meldplicht voor doorbrekingen van de beveiligingsmaatregelen voor persoonsgegevens.’ Kortom: meldplicht voor elke verwerking van persoonsgegevens door de verantwoordelijke. ‘Het wetsvoorstel wil het kabinet voor medio 2011 ter consultatie aanbieden.’ 29 april 2011 Nu: nog geen wetsvoorstel ingediend!

Wbp Brief Minister aan Kamer n.a.v. DigiNotar: "Zoals in het regeerakkoord is afgesproken zal de Staatssecretaris van Veiligheid en Justitie bovendien een wetsvoorstel indienen dat een meldplicht introduceert voor gebeurtenissen zoals deze bij DigiNotar zijn voorgekomen." 5 september 2011

Algemene meldplicht: herziening Privacy Richtlijn Mededeling EC aan EP: “De Commissie zal onderzoeken onder welke voorwaarden in het algemene wettelijke kader een algemene meldingsplicht voor inbreuken met betrekking tot persoonsgegevens kan worden ingevoerd, en met name aan wie dergelijke kennisgevingen moeten gebeuren en op basis van welke criteria de meldingsplicht ontstaat.” 4 november 2010

Conclusie (Thans) relatief beperkte beschermingsomvang; weinig datalekken door aanbieders van openbare telecommunicatiediensten Onzekerheid m.b.t. wetsvoorstel Wbp en herziening Privacy Richtlijn Onzekerheid over interpretatie van begrippen

Vragen? Milica Antic Huub de Jong antic@solv.nl huub.de.jong@twobirds.com @milica_antic