Datalekken NVVIR FLITS

1. DatalekkenNVVIR FLITS Milica Antic en Huub de Jong 13 oktober 2011 antic@solv.nl huub.de.jong@twobirds.com

2. Inhoud • Datalekken • Datalekken? • Voorbeelden • Richtlijn 2009/136/EG • Achtergrond • Doelen • Huidige wetgeving • Wetsvoorstel (32 549) • Artikel 11.3 lid 2 en 3 Tw • Artikel 11.3a Tw • Problematiek • Toezicht • Wbp • Conclusie

4. Datalekken? Datalekken: “(…) veiligheidsinbreuken die leiden tot het verlies, ongewild vrijkomen, diefstal of misbruik van persoonsgegevens” (MvT, p. 23)

5. Datalekken Voorbeelden • Datalekken veelvuldig in het nieuws, voorbeelden: • Gepensioneerde KLPD’ers • Digitaal Loket Gemeente Amsterdam • Miljoenennota • Telefoonummers beveiliging Gay Pride • Sony (PSN) • Vodafone NL • Overzichten: • Lektober (Webwereld) • Zwartboek (Bits of Freedom)

6. Richtlijn 2009/136/EG • Wijziging e-Privacyrichtlijn(2002/58/EG), Wijziging Richtlijn Universele diensten en eindgebruikersbelangen(2002/22/EG) en Wijziging Verordening inzake samenwerking toezichthouders consumentenbescherming (EG nr. 2006/2004) (BEREC) (Meldplicht) Datalekken: • Wetsvoorstel zal worden geïmplementeerd in de Telecommunicatiewet • Nu bij de Eerste Kamer

7. Richtlijn 2009/136/EG ‘(…) Een inbreuk op de persoonlijke gegevens kan, wanneer dit probleem niet tijdig en op toereikende wijze wordt aangepakt, voor de betrokken abonnee of persoon aanzienlijk economisch verlies en maatschappelijke schade, inclusief identiteitsfraude, tot gevolg hebben. (…)’ (overweging 61)

8. Richtlijn 2009/136/EG Achtergrond ‘(…) RFID-systemen (Radio Frequency Identification Devices) bijvoorbeeld maken gebruik van radiofrequenties om gegevens op te vangen van op unieke wijze geïdentificeerde RFI-chips, gegevens die vervolgens kunnen worden verstuurd over bestaande communicatienetwerken. Een breed gebruik van dergelijke [nieuwe, MMA] technologieën kan aanzienlijke economische en maatschappelijke baten opleveren en kan dus een krachtige bijdrage leveren voor de interne markt, op voorwaarde dat hun gebruik aanvaardbaar is voor de burger. Om dat doel te bewerkstelligen, is het noodzakelijk al de fundamentele rechten van het individu, inclusief het recht op privacy en gegevensbescherming, te waarborgen. (…)’ (overweging 56)

9. Richtlijn 2009/136/EG Evt. uitbreiding meldplicht ‘(…) Het belang van gebruikers om te worden ingelicht is duidelijk niet beperkt tot de sector elektronische communicatie, en bijgevolg moeten op Gemeenschapsniveau prioritair expliciete, verplichte meldingseisen worden ingevoerd die in alle sectoren gelden. In afwachting van een door de Commissie uit te voeren evaluatie van alle relevante Gemeenschapswetgeving op dit gebied moet de Commissie, in overleg met de Europese Toezichthouder voor gegevensbescherming, onverwijld passende maatregelen nemen ter bevordering van de beginselen inzake melding van inbreuken betreffende gegevens uit Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie), ongeacht de sector of het soort gegevens.’ (overweging 59)

10. Richtlijn 2009/136/EG Doelen: • Beperking maatschappelijke schade • Vergroten vertrouwen in communicatiediensten • Transparante markt: mogelijkheden tot overstappen bij ontevredenheid • Algemeen belang

11. Huidige wetgeving Art. 11.3 Tw (zorgplicht) • treffen van passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers • Informatieverplichting richting abonnees m.b.t. risico’s doorbreking veiligheid of beveiliging • Informatieverplichting richting abonnees m.b.t. middelen waarmee de risico’s tegen te gaan en een indicatie van de verwachte kosten

12. Wetsvoorstel (32 549)aanvulling zorgplicht Artikel 11.3 lid 2 en 3 Tw (aanvulling op zorgplicht) In ieder geval: • waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens, • de bescherming van opgeslagen of verzonden persoonsgegevens tegen onbedoelde of niet toegestane opslag, verwerking, toegang, verstrekking, wijziging, verlies, vernietiging, en • de invoering van een veiligheidsbeleid met betrekking tot de verwerking van persoonsgegevens.

13. Wetsvoorstel (32 549)meldplicht Vervolg Artikel 11.3a Tw (meldplicht) • Onverwijlde meldplicht OPTA bij inbreuk beveiliging met gevolgen voor persoonsgegeven (zie art. 11.1 sub j Tw (nieuw)) • Ook onverwijlde meldplicht bij betrokkene, indien dit waarschijnlijk leidt tot nadelige gevolgen • Geen meldplicht indien OPTA oordeelt dat gepaste technische maatregelen zijn genomen • Verplichting tot bijhouden overzicht van alle inbreuken

14. Voor wie? Artikel 11.3a Tw (meldplicht) In gewijzigd wetsvoorstel: • Aanbieder van openbare elektronische communicatiedienst en –netwerk Wel: • Aanbieders telefonie • ISP’s Niet (MvT): • Banken • Webwinkels • Webhosters • Overheid

15. Wetsvoorstel (32 549)problematiek Artikel 11.3a Tw (meldplicht): • (Te) Beperkte reikwijdte verplichtingen (geen forums, social networks, online banken e.d.) • Interpretatie ‘inbreuk in verband met persoonsgegeven’ (zie overweging 61 Rl. 2009/136) • Interpretatie ‘onverwijld’ • Geen harde meldplicht, indien dit waarschijnlijk niet leidt tot nadelige gevolgen • Wat is een ‘gepaste technische maatregel’ (art. 4 lid 3 Rl. 2002/58)

16. Toezicht OPTA • Ontvangst en registratie melding • Beoordeling of melding aan betrokkene noodzakelijk is • Beoordeling of gepaste technische maatregelen zijn genomen • Opstellen (aanvullende) (beleids)regels • Mogelijkheid tot oplegging boete of last onder dwangsom

17. Algemene meldplicht: Wbp Regeerakkoord VVD-CDA ‘Vrijheid en verantwoordelijkheid’: “Het kabinet komt met een voorstel voor een meldplicht voor alle diensten van de informatiemaatschappij, waaronder de overheid, in geval van verlies, diefstal of misbruik van persoonsgegevens waarbij alle datalekken worden gemeld aan de nationale toezichthouder die boetes kan opleggen indien de meldplicht niet wordt nageleefd.” (p. 42) 30 september 2010

18. Wbp Brief aan Tweede Kamer: voornemens voorstel wet wijziging Wbp ‘a. Een meldplicht voor doorbrekingen van de beveiligingsmaatregelen voor persoonsgegevens.’ Kortom: meldplicht voor elke verwerking van persoonsgegevens door de verantwoordelijke. ‘Het wetsvoorstel wil het kabinet voor medio 2011 ter consultatie aanbieden.’ 29 april 2011 Nu: nog geen wetsvoorstel ingediend!

19. Wbp Brief Minister aan Kamer n.a.v. DigiNotar: "Zoals in het regeerakkoord is afgesproken zal de Staatssecretaris van Veiligheid en Justitie bovendien een wetsvoorstel indienen dat een meldplicht introduceert voor gebeurtenissen zoals deze bij DigiNotar zijn voorgekomen." 5 september 2011

20. Algemene meldplicht: herziening Privacy Richtlijn Mededeling EC aan EP: “De Commissie zal onderzoeken onder welke voorwaarden in het algemene wettelijke kader een algemene meldingsplicht voor inbreuken met betrekking tot persoonsgegevens kan worden ingevoerd, en met name aan wie dergelijke kennisgevingen moeten gebeuren en op basis van welke criteria de meldingsplicht ontstaat.” 4 november 2010

21. Conclusie • (Thans) relatief beperkte beschermingsomvang; weinig datalekken door aanbieders van openbare telecommunicatiediensten • Onzekerheid m.b.t. wetsvoorstel Wbp en herziening Privacy Richtlijn • Onzekerheid over interpretatie van begrippen

22. Vragen? Milica Antic Huub de Jong antic@solv.nl huub.de.jong@twobirds.com @milica_antic