Transcript Datalekken

Datalekken
NVVIR FLITS
Milica Antic en Huub de Jong
13 oktober 2011
[email protected]
[email protected]
Inhoud







Datalekken
 Datalekken?
 Voorbeelden
Richtlijn 2009/136/EG
 Achtergrond
 Doelen
Huidige wetgeving
Wetsvoorstel (32 549)
 Artikel 11.3 lid 2 en 3 Tw
 Artikel 11.3a Tw
 Problematiek
Toezicht
Wbp
Conclusie
Datalekken?
Datalekken: “(…) veiligheidsinbreuken die leiden tot het verlies, ongewild
vrijkomen, diefstal of misbruik van persoonsgegevens” (MvT, p. 23)
Datalekken
Voorbeelden
 Datalekken veelvuldig in het nieuws, voorbeelden:
 Gepensioneerde KLPD’ers
 Digitaal Loket Gemeente Amsterdam
 Miljoenennota
 Telefoonummers beveiliging Gay Pride
 Sony (PSN)
 Vodafone NL

Overzichten:
 Lektober (Webwereld)
 Zwartboek (Bits of Freedom)
Richtlijn 2009/136/EG

Wijziging e-Privacyrichtlijn(2002/58/EG), Wijziging Richtlijn Universele
diensten en eindgebruikersbelangen(2002/22/EG) en Wijziging
Verordening inzake samenwerking toezichthouders
consumentenbescherming (EG nr. 2006/2004) (BEREC)
(Meldplicht) Datalekken:
 Wetsvoorstel zal worden geïmplementeerd in de Telecommunicatiewet

Nu bij de Eerste Kamer
Richtlijn 2009/136/EG
‘(…) Een inbreuk op de persoonlijke gegevens kan,
wanneer dit probleem niet tijdig en op toereikende wijze
wordt aangepakt, voor de betrokken abonnee of
persoon aanzienlijk economisch verlies en
maatschappelijke schade, inclusief identiteitsfraude, tot
gevolg hebben. (…)’ (overweging 61)
Richtlijn 2009/136/EG
Achtergrond
‘(…) RFID-systemen (Radio Frequency Identification Devices)
bijvoorbeeld maken gebruik van radiofrequenties om gegevens op te
vangen van op unieke wijze geïdentificeerde RFI-chips, gegevens die
vervolgens kunnen worden verstuurd over bestaande
communicatienetwerken. Een breed gebruik van dergelijke [nieuwe,
MMA] technologieën kan aanzienlijke economische en
maatschappelijke baten opleveren en kan dus een krachtige bijdrage
leveren voor de interne markt, op voorwaarde dat hun gebruik
aanvaardbaar is voor de burger. Om dat doel te bewerkstelligen, is
het noodzakelijk al de fundamentele rechten van het individu, inclusief
het recht op privacy en gegevensbescherming, te waarborgen. (…)’
(overweging 56)
Richtlijn 2009/136/EG
Evt. uitbreiding meldplicht
‘(…) Het belang van gebruikers om te worden ingelicht is duidelijk niet
beperkt tot de sector elektronische communicatie, en bijgevolg
moeten op Gemeenschapsniveau prioritair expliciete, verplichte
meldingseisen worden ingevoerd die in alle sectoren gelden. In
afwachting van een door de Commissie uit te voeren evaluatie van
alle relevante Gemeenschapswetgeving op dit gebied moet de
Commissie, in overleg met de Europese Toezichthouder voor
gegevensbescherming, onverwijld passende maatregelen nemen ter
bevordering van de beginselen inzake melding van inbreuken
betreffende gegevens uit Richtlijn 2002/58/EG (richtlijn betreffende
privacy en elektronische communicatie), ongeacht de sector of het
soort gegevens.’ (overweging 59)
Richtlijn 2009/136/EG
Doelen:




Beperking maatschappelijke schade
Vergroten vertrouwen in communicatiediensten
Transparante markt: mogelijkheden tot overstappen bij
ontevredenheid
Algemeen belang
Huidige wetgeving
Art. 11.3 Tw (zorgplicht)

treffen van passende technische en organisatorische maatregelen ten
behoeve van de veiligheid en beveiliging van de door hen aangeboden
netwerken en diensten in het belang van de bescherming van
persoonsgegevens en de bescherming van de persoonlijke levenssfeer
van abonnees en gebruikers

Informatieverplichting richting abonnees m.b.t. risico’s doorbreking
veiligheid of beveiliging

Informatieverplichting richting abonnees m.b.t. middelen waarmee de
risico’s tegen te gaan en een indicatie van de verwachte kosten
Wetsvoorstel (32 549)
aanvulling zorgplicht
Artikel 11.3 lid 2 en 3 Tw (aanvulling op zorgplicht)
In ieder geval:



waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk
toegestane doeleinden toegang heeft tot de persoonsgegevens,
de bescherming van opgeslagen of verzonden persoonsgegevens
tegen onbedoelde of niet toegestane opslag, verwerking, toegang,
verstrekking, wijziging, verlies, vernietiging, en
de invoering van een veiligheidsbeleid met betrekking tot de
verwerking van persoonsgegevens.
Wetsvoorstel (32 549)
meldplicht
Vervolg Artikel 11.3a Tw (meldplicht)

Onverwijlde meldplicht OPTA bij inbreuk beveiliging met gevolgen
voor persoonsgegeven (zie art. 11.1 sub j Tw (nieuw))

Ook onverwijlde meldplicht bij betrokkene, indien dit waarschijnlijk
leidt tot nadelige gevolgen

Geen meldplicht indien OPTA oordeelt dat gepaste technische
maatregelen zijn genomen

Verplichting tot bijhouden overzicht van alle inbreuken
Voor wie?
Artikel 11.3a Tw (meldplicht)
In gewijzigd wetsvoorstel:
 Aanbieder van openbare elektronische communicatiedienst en –netwerk
Wel:
 Aanbieders telefonie
 ISP’s
Niet (MvT):
 Banken
 Webwinkels
 Webhosters
 Overheid
Wetsvoorstel (32 549)
problematiek
Artikel 11.3a Tw (meldplicht):





(Te) Beperkte reikwijdte verplichtingen (geen forums, social
networks, online banken e.d.)
Interpretatie ‘inbreuk in verband met persoonsgegeven’ (zie
overweging 61 Rl. 2009/136)
Interpretatie ‘onverwijld’
Geen harde meldplicht, indien dit waarschijnlijk niet leidt tot nadelige
gevolgen
Wat is een ‘gepaste technische maatregel’ (art. 4 lid 3 Rl. 2002/58)
Toezicht
OPTA



Ontvangst en registratie melding
Beoordeling of melding aan betrokkene noodzakelijk is
Beoordeling of gepaste technische maatregelen zijn genomen

Opstellen (aanvullende) (beleids)regels

Mogelijkheid tot oplegging boete of last onder dwangsom
Algemene meldplicht: Wbp
Regeerakkoord VVD-CDA ‘Vrijheid en verantwoordelijkheid’:
“Het kabinet komt met een voorstel voor een meldplicht voor alle diensten
van de informatiemaatschappij, waaronder de overheid, in geval van verlies,
diefstal of misbruik van persoonsgegevens waarbij alle datalekken worden
gemeld aan de nationale toezichthouder die boetes kan opleggen indien de
meldplicht niet wordt nageleefd.” (p. 42)
30 september 2010
Wbp
Brief aan Tweede Kamer: voornemens voorstel wet wijziging Wbp
‘a. Een meldplicht voor doorbrekingen van de beveiligingsmaatregelen
voor persoonsgegevens.’
Kortom: meldplicht voor elke verwerking van persoonsgegevens door de
verantwoordelijke.
‘Het wetsvoorstel wil het kabinet voor medio 2011 ter consultatie
aanbieden.’
29 april 2011
Nu: nog geen wetsvoorstel ingediend!
Wbp
Brief Minister aan Kamer n.a.v. DigiNotar:
"Zoals in het regeerakkoord is afgesproken zal de
Staatssecretaris van Veiligheid en Justitie bovendien een
wetsvoorstel indienen dat een meldplicht introduceert voor
gebeurtenissen zoals deze bij DigiNotar zijn voorgekomen."
5 september 2011
Algemene meldplicht: herziening
Privacy Richtlijn
Mededeling EC aan EP:
“De Commissie zal onderzoeken onder welke voorwaarden in het
algemene wettelijke kader een algemene meldingsplicht voor
inbreuken met betrekking tot persoonsgegevens kan worden
ingevoerd, en met name aan wie dergelijke kennisgevingen moeten
gebeuren en op basis van welke criteria de meldingsplicht ontstaat.”
4 november 2010
Conclusie

(Thans) relatief beperkte beschermingsomvang; weinig datalekken
door aanbieders van openbare telecommunicatiediensten

Onzekerheid m.b.t. wetsvoorstel Wbp en herziening Privacy Richtlijn

Onzekerheid over interpretatie van begrippen
Vragen?
Milica Antic
[email protected]
@milica_antic
Huub de Jong
[email protected]