2017
Inhoud Meldplicht datalekken
p. 1
Bewerkersovereenkomst
p. 3
Melden Rollen Boete Maatregelen
Rollen in de praktijk Het accountskantoor De klant Locatie van de bewerker Model bewerkersovereenkomst
Privacyverklaring
p. 6
Disclaimer Hoewel bij de samenstelling van dit document de uiterste zorg is nagestreefd, wordt geen aansprakelijkheid aanvaard voor onvolledigheden of onjuistheden. Vanwege het brede en algemene karakter van dit document, is deze niet bedoeld om alle informatie te verschaffen die noodzakelijk is voor het nemen van financiële beslissingen.
Op 1 januari 2016 is de meldplicht datalekken in werking getreden als onderdeel van een breder pakket aan maatregelen ter uitbreiding van de Wet bescherming persoonsgegevens (Wbp). Met deze maatregelen is geanticipeerd op de inwerkingtreding van de Algemene Verordening Gegevensbescherming, die op termijn de Wbp zal vervangen. De Wbp heeft kort gezegd betrekking op de verwerking van persoonsgegevens. Anders gezegd: elke handeling met betrekking tot gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon, zoals: naam, adres en woonplaats, maar ook het kenteken van een auto of een IP-adres. Nu kunt u als ondernemer denken: mijn dienstverlening heeft toch betrekking op business-tobusiness en niet op consumenten? Of: ‘in de voorwaarden van mijn IT-leverancier wordt al gesproken over geheimhouding en daarmee is het dus toch geregeld?’ En, ben ik als ondernemer eigenlijk niet gewoon vrijgesteld? In dit document wordt in het kort uitgelegd wat de meldplicht datalekken omvat en wat het belang van de bewerkersovereenkomst in dit kader is.
Ondernemend, net als u
WHITEPAPER Meldplicht datalekken
Meldplicht datalekken
Met de introductie van meldplicht datalekken worden organisaties verplicht datalekken te melden bij de Autoriteit Persoonsgegevens (AP). Het doel van deze wet is om datalekken zoveel mogelijk tegen te gaan. De wet beschouwt iedere inbreuk op de persoonsgegevens als een datalek. Hierbij gaat het niet alleen om ongeautoriseerde toegang tot persoonsgegevens zoals bij een hack, maar ook om het onrechtmatig verspreiden, wijzigen en vernietigen van persoonsgegevens. Daarbij gaat het niet alleen om grote aantallen persoonsgegevens. Ook het verlies van een enkele USB-stick kan een datalek zijn. Meldplicht datalekken “Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).” Bron: AP
Melden Afhankelijk van de aard van het datalek moet er melding worden gemaakt aan:
• De toezichthouder (AP)
Deze moet in ieder geval worden geïnformeerd. De meldingen aan de toezichthouder zijn altijd vertrouwelijk.
• De betrokkenen
De betrokkenen - de natuurlijke personen op wie de gegevens betrekking hebben - moeten worden geïnformeerd als het datalek mogelijk nadelige gevolgen heeft voor hun persoonlijke levenssfeer. Via het Meldloket Autoriteit persoonsgegevens kunt u datalekken melden, gedane meldingen wijzigen of meldingen intrekken. Rollen In de Wbp wordt (naast de betrokkene) een onderscheid gemaakt tussen twee rollen die niet alleen bepalen hoe de verhouding tussen partijen is, maar die ook mede bepalen wat er moet worden geregeld in een bewerkersovereenkomst:
• Verantwoordelijke
De verantwoordelijke is de natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
• Bewerker (en sub-bewerker)
De bewerker is degene die in opdracht van de verantwoordelijke en overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid persoonsgegevens verwerkt. Het is mogelijk dat de bewerker (delen van) zijn werkzaamheden uitbesteedt. In dit geval moet de bewerker ervoor zorgen dat hij contractueel de verantwoordelijke is en dat de sub-bewerker zich eveneens richt naar de instructies van de verantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt. Boete Een overtreding van de Wbp kan leiden tot een boete. Sinds 1 januari 2016 is de boetebevoegdheid van de AP aangescherpt. Het bedrag voor de boete wordt verhoogd en kan oplopen tot een maximaal een boete van de zesde categorie (momenteel € 820.000). Zowel het niet melden van een datalek als het ontbreken van adequate beveiliging van de persoonsgegevens kan leiden tot een boete.
2
Whitepaper / 2017
Maatregelen Hiermee rijst direct de vraag welke maatregelen u minimaal moet treffen om dit tegen te gaan. De Wbp hanteert hier echter een zeer open norm door te spreken over een ‘passend beveiligingsniveau’, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging. Hierbij moet rekening gehouden worden met de risico’s die de verwerking en de aard van de persoonsgegevens met zich meebrengen.
“Uitbesteden van IT-beheer ontslaat u niet van de verantwoordelijkheid maatregelen te (laten) treffen.” Een aantal van de maatregelen die u moet treffen, zijn:
Deze maatregelen gelden voor uw onderneming, maar natuurlijk ook voor uw klant.
“Zorg ervoor dat maatregelen niet alleen op papier bestaan, maar verzeker u ervan dat ze zijn getroffen.” Bewerkersovereenkomst
In het kader van de meldplicht datalekken wordt de bewerkersovereenkomst genoemd als één van de te treffen maatregelen. De bewerkersovereenkomst is echter niet nieuw. De Wbp schrijft voor dat indien persoonsgegevens ten behoeve van u worden verwerkt door een derde partij (de bewerker), met deze bewerker schriftelijke afspraken moeten worden gemaakt: de bewerkersovereenkomst. Dit is al het geval bij de uitbesteding van uw IT of delen hiervan. Als verantwoordelijke voor de verwerking dient u er zorg voor te dragen dat de bewerker afdoende technische en organisatorische beveiligingsmaatregelen heeft getroffen met betrekking tot de te verrichten verwerkingen. Rollen in de praktijk Een organisatie (de klant) is verantwoordelijk voor het bijhouden van een administratie. Het bijhouden hiervan en/of het verrichten van werkzaamheden hiervoor door de accountant, in opdracht van de klant, betekent dat de accountant in het kader van bescherming van persoonsgegevens een bewerker is. Door de accountant en/of de klant wordt voor het bijhouden van de administratie en het verrichten van de werkzaamheden gebruik gemaakt van software. Deze software kan zijn geïnstalleerd bijvoorbeeld op kantoor van de klant, bij de accountant, in een datacenter of worden afgenomen bij een softwareleverancier in de vorm van een abonnement. Daarnaast kunnen persoonsgegevens ook worden opgeslagen in bijvoorbeeld een portaal of website. Ook dit kunnen gegevens zijn die vallen onder de Wbp.
3
1 - Het accountantskantoor Het onderstaande overzicht (figuur 1) geeft een aantal veelvoorkomende situaties weer gezien vanuit het perspectief van de interne administratie van het accountantskantoor.
figuur 1
De accountant is in dit kader de verantwoordelijke voor de verwerking van de data. Dit betreft namelijk de eigen administratie, niet die van een klant. Indien de accountant zijn ICT heeft ondergebracht bij een derde zoals een cloudleverancier dient hij ervoor te zorgen dat deze partijen adequate beveiligingsmaatregelen hebben getroffen en kan dit vastleggen in een bewerkersovereenkomst. Ook de derde partij kan op haar beurt een derde (een sub-bewerker) inschakelen, bijvoorbeeld voor de daadwerkelijke hosting van data. De bewerker dient in de bewerkersovereenkomst toestemming te hebben gekregen van de verantwoordelijke (de accountant) om sub-bewerkers in te schakelen. 2 - De klant Het onderstaande overzicht (figuur 2) geeft veelvoorkomende situaties weer gezien vanuit het perspectief van de klant.
figuur 2
De accountant is in dit kader de bewerker van de data. Indien deze zijn ICT heeft ondergebracht bij een derde zoals een hostingprovider of gebruik maakt van een online dienstverlener dient hij ervoor te zorgen dat deze partijen adequate beveiligingsmaatregelen hebben getroffen en kan dit vastleggen in een bewerkersovereenkomst. Ook hier kunnen door de bewerker sub-bewerkers worden ingeschakeld, mits dit is afgedicht in de bewerkersovereenkomst. Als de klant zelf een abonnement heeft bij een cloudleverancier, is de accountant alleen bewerker indien hij toegang heeft verkregen van de klant tot deze omgeving.
4
Whitepaper / 2017
Locatie van de bewerker Afhankelijk van de relatie tussen verantwoordelijke en bewerker dient ook rekening te worden gehouden met de plaats waar de gegevens worden opgeslagen. Hierin kan grofweg een onderscheid worden gemaakt in drie situaties: 1. 2. 3.
Verantwoordelijke - Bewerker binnen de EU Verantwoordelijke - Bewerker buiten de EU (met passend beschermingsniveau) Verantwoordelijke - Bewerker buiten de EU (geen passend beschermingsniveau)
Afhankelijk van de situatie dienen extra zaken te worden geregeld in de bewerkersovereenkomst. Model bewerkersovereenkomst In een bewerkersovereenkomst dient u een aantal zaken vast te leggen waarbij de vetgedrukte elementen het meest belangrijk zijn: • • • • • • • • • • • • • • •
Introducerende bepalingen Doeleinden van de verwerking Verplichtingen van de bewerker Doorgifte van persoonsgegevens Garanties Beveiliging Meldplicht datalekken Verzoeken van betrokkenen Intellectueel eigendom Vrijwaringen Geheimhouding Retentietermijn eventueel gekoppeld aan duur, verlenging en opzegging van de overeenkomst, Wijzigen van de overeenkomst Rechtskeuze en forumkeuze Slotbepalingen
Verzekeringen Ongeacht alle preventieve juridische, technische en organisatorische maatregelen die worden getroffen, blijft er een risico bestaan van een datalek. Naast eventuele directe schade, zoals een boete en het oplossen van de oorzaak van het probleem, zijn er ook indirecte gevolgen zoals imagoschade. Hoewel ondernemingen vaak beschikken over verschillende verzekeringen, zoals een bedrijfs- en beroepsaansprakelijkheidsverzekering, een brandverzekering en fraudeverzekering, dekken deze verzekeringen niet of nauwelijks de schade als gevolg van datalekken en/of cybercrime. Het afsluiten van een zogenaamde cyberriskverzekering om dit risico af te dekken, is een maatregel die u in dit kader kunt treffen. Met een cyberriskverzekering kunt bijvoorbeeld de volgende zaken verzekeren (in alfabetische volgorde): • • • • • • •
aansprakelijkheidsclaims bedrijfsschade boetes cyberafpersing hulp in natura bij een datalek kosten van inbreuk (o.a. kosten voor melden datalek en forensisch onderzoek) schade door hackers
Van belang hierbij is wel goed na te gaan welke eventuele voorwaarden in de verzekeringspolis worden gesteld. Of u een cyberriskverzekering nodig heeft, is een afweging die u zelf moet maken.
5
Privacyverklaring
Het plaatsen van een privacyverklaring op een website is verplicht op het moment dat persoonsgegevens worden verzameld en verwerkt via de website. In de privacyverklaring staat vermeld welke (persoons)gegevens u van klanten en bezoekers van de website verzameld, met welk doel en wat u er mee doet. In een privacyverklaring moet in ieder geval het volgende staan: • Identiteit U moet uw bedrijfsnaam vermelden, inclusief de adresgegevens van uw bedrijf en een contactadres voor privacygerelateerde vragen. • Doel U dient aan te geven met welk doel de gegevens worden verwerkt. • Cookies Indien u gebruik maakt van cookies bent u verplicht uit te leggen wat cookies zijn en wat u daarmee doet. • Nieuwsbrieven Als klanten op nieuwsbrieven geplaatst worden, moeten ze daar expliciet toestemming voor gegeven hebben. Ook moet er in elke nieuwsbrief staan hoe men er weer vanaf komt. • Inzage en correctie Een klant heeft altijd recht op inzage in zijn gegevens. Daarbij kan hij verzoeken om correctie of verwijdering van zijn persoonsgegevens. Verwijdering mag echter alleen als de gegevens niet meer relevant zijn. • Beveiliging U moet toelichten welke technische en organisatorische maatregelen u heeft genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Via de website veiliginternetten kan een privacyverklaring worden gegenereerd. Meer informatie en bronnen Meer informatie kan worden gevonden op: • SRA-Whitepaper Meldplicht datalekken - Wat u moet doen om te voldoen aan de meldplicht datalekken? • Staatsblad 281 Besluit inwerkingstredingsbesluit Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp • De meldplicht datalekken in de Wet Bescherming Persoonsgegevens (Wbp) - Beleidsregels voor toepassing van artikel 34a van de Wbp (8 december 2015) • Taylor Wessing Global Data Hub (Engels), met veel informatie over bescherming van persoonsgegevens (waaronder over datalekken) vanuit Europees perspectief • De bewerkersovereenkomst. Wat is dat voor een beest? • Impact van de meldplicht datalekken • Juridische dienstverleners en accountants - Handreiking Vrijstellingsbesluit Paragraaf 3. Goederen en diensten: Vrijstelling 13. (Artikel 15 Vrijstellingsbesluit) • Hostingprovider als bewerker • Veilig internetten - wat je kan doen en laten • NBA - Modellen bewerkersovereenkomst Vragen en reacties Heeft u nog vragen of wilt u meer weten? Neem dan contact op met uw HLB adviseur via www.hlb-van-daal.nl/contact.
6
Whitepaper / 2017
www.hlb-van-daal.nl HLB is daar waar de business zit, thuis in uw regio en internationaal geĂŻnspireerd Bij HLB kunt u rekenen op een vlotte, adequate en persoonlijke afhandeling van uw bedrijfseconomische en financiĂŤle vragen. Natuurlijk is controleren en rapporteren onze basis, maar we kijken verder en denken mee over uw toekomst en die van uw onderneming. Uw wereld is onze wereld, dus ook als u internationale ambities heeft. Onze professionals zijn betrokken, dichtbij, oplossingsgericht, vooruitstrevend en ondernemend. Dat is typisch HLB.
275
professionals staan voor u klaar met expertise en persoonlijke aandacht
Amsterdam
Waalwijk Dongen
Den Bosch Uden Schijndel
Breda
10
kantoren
Gemert
Geleen Valkenburg a/d Geul
HLB Van Daal & Partners is a member of HLB International. A world-wide network of independent accounting firms and business advisors.
7