Update IT Security Oktober 2015
Misbruik of verlies van gegevens of de nietbeschikbaarheid van bepaalde diensten kan grote gevolgen hebben voor burgers en bedrijven. Op grond van steeds meer wetgeving worden marktpartijen verplicht gegevens en de door hen aangeboden diensten te beveiligen. Daarnaast is er een trend gaande om marktpartijen te onderwerpen aan meldplichten bij beveiligingsincidenten. Zo treedt per 1 januari 2016 de algemene meldplicht datalekken in werking. Organisaties moeten vanaf dan beveiligingsincidenten die kunnen leiden tot diefstal, misbruik of verlies van persoonsgegevens melden bij het College Bescherming Persoonsgegevens (CBP). De regering verwacht maar liefst 66.000 meldingen per jaar voor uitsluitend deze meldplicht. Met welke wet- en regelgeving moet rekening gehouden worden en welke nieuwe wetsvoorstellen zijn in de maak? Hoe zit het verder met de aansprakelijkheid bij beveiligingsincidenten en de verzekerbaarheid hiervan? En, hoe kunnen partijen afspraken over de beveiliging en nieuwe wettelijke verplichtingen contractueel vastleggen? Inbreuk op IT-beveiliging In veel gevallen ligt een menselijke fout of onzorgvuldig gedrag aan de basis van een inbreuk op de IT-beveiliging. Denk aan de werknemer die zijn laptop in de trein laat liggen of slordig met inlogcodes omgaat. Ook is falende eigen of externe hard- of software een veelvoorkomende oorzaak van incidenten. De beveiliging is niet op peil gehouden bijvoorbeeld. Anders ligt het bij cybercrime. In dat geval wordt opzettelijk een strafbaar feit gepleegd met behulp van een computer of via een netwerk. Bij een inbreuk op de IT-beveiliging wordt de vertrouwelijkheid, integriteit en/of de beschikbaarheid van gegevens, computers of netwerken aangetast. Bij de aantasting van vertrouwelijkheid moet men denken aan aftappen of spionage. Schending van integriteit slaat bijvoorbeeld op gegevensmanipulatie en virusverspreiding. Computersabotage is een voorbeeld van de aantasting van de beschikbaarheid van gegevens.
Op 1 oktober 2015 verzorgden de Teams Informatietechnologie en Privacy van Kennedy Van der Laan een Update IT Security. Dit is een samenvatting.
Beveiligingsverplichtingen Artikel 13 uit de Wbp stelt dat partijen die werken met persoonsgegevens passende technische en organisatorische maatregelen tegen verlies of enige vorm van onrechtmatige verwerking moeten nemen. Er moet sprake zijn van adequate beveiliging, dus niet van de allerzwaarste beveiliging. Passendheid hangt samen met de stand van de techniek, de kosten, de aard van de gegevens en de risico's van de verwerking. Naast adequate beveiliging, is monitoring belangrijk om incidenten te herkennen. Mocht er desondanks een datalek plaatsvinden, dan is een draaiboek onmisbaar om de gevolgen te beperken. Het CBP heeft in 2013 richtsnoeren
opgesteld om organisaties te helpen bij de beveiliging van persoonsgegevens. Onder meer de Plan-Do-Check-Act-cyclus krijgt hierin aandacht. Een organisatie stelt betrouwbaarheidseisen vast, treft maatregelen, controleert of de maatregelen voldoen en worden nageleefd, en past zo nodig de beveiligingsmaatregelen aan. Idealiter wordt deze cyclus periodiek doorgewerkt. In de richtsnoeren wordt ook het belang van beveiligingsstandaarden (zoals NEN/ISO/IEC 27001, 27002, 27005 en 27018) benadrukt. Beveiligingsmaatregelen: sectorale wet- en regelgeving Voor telecomproviders, vertrouwensdiensten (zoals certificaatdienstverleners), gezondheidszorg en financiële ondernemingen is er sectorale wet- en regelgeving op het gebied van IT-beveiliging. Veel discussie is momenteel gaande over de voorgestelde Richtlijn Netwerken Informatiebeveiliging (NIB). Die richtlijn verplicht overheden, aanbieders van kritieke infrastructuur en aanbieders van diensten van de informatiemaatschappij tot beveiliging ter voorkoming en beperking van beveiligingsrisico’s van netwerk- en informatiesystemen. Bij aanbieders van kritieke infrastructuur valt te denken aan energieleveranciers, wateraanbieders en gezondheidszorginstellingen. Aanbieders van diensten van de informatiemaatschappij zijn partijen die diensten of producten over het web aanbieden, zoals webwinkels. Over de reikwijdte zijn de lidstaten in onderhandeling. Laatste stand van zaken is dat de categorie 'aanbieders van diensten van de informatiemaatschappij' uit het voorstel verdwijnt. De Nederlandse regering is voorstander van een beperkte basislijst van sectoren en de mogelijkheid voor lidstaten om de lijst zelf uit te breiden. Welke meldplichten zijn er? Sinds 2012 moeten openbare aanbieders van elektronische communicatienetwerken en -diensten (telecomsector) beveiligingsincidenten waarbij persoonsgegevens zijn betrokken melden bij de Autoriteit Consument & Markt (ACM). Daarnaast dient de aanbieder de personen waarop de persoonsgegevens betrekking hebben te informeren voor zover het incident ’waarschijnlijk nadelige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Verder dienen aanbieders continuïteitsinbreuken van hun netwerken of diensten te melden aan het Agentschap Telecom. Met de inwerkingtreding van de Verordening elektronische identificatie en vertrouwensdiensten zullen vertrouwensdiensten medio 2016 'iedere veiligheidsinbreuk of ieder integriteitsverlies met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd' moeten melden aan de desbetreffende toezichthouder. Verwacht men negatieve gevolgen voor een natuurlijk persoon of rechtspersoon aan wie een vertrouwensdienst is verleend, dan is ook melding aan de betrokkene verplicht. De financiële sector heeft te maken met verplichte melding van incidenten die de integere bedrijfsuitoefening
in gevaar brengen. Momenteel wordt gewerkt aan een wetsvoorstel meldplicht cybersecurity. ‘Aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving’ moeten melding van ICT-inbreuken doen als de beschikbaarheid of betrouwbaarheid van de producten of diensten in gevaar komt. Meldplicht datalekken In mei 2015 werd de meldplicht datalekken aangenomen door de Eerste Kamer. Eind september zijn de richtsnoeren gepubliceerd voor openbare consultatie. Vanaf 1 januari 2016 moet de wet in werking treden. De wet schrijft voor dat 'verantwoordelijke het CBP onverwijld in kennis stelt van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens' (art. 34a). Lid 2 bepaalt dat de verantwoordelijke de betrokkene onverwijld in kennis stelt van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De wetteksten zijn voor velen te abstract. Want wat is 'inbreuk op de beveiliging', wat betekent 'onverwijld'? Wat zijn 'ernstige nadelige gevolgen' en wat wordt bedoeld met een 'aanzienlijke kans'? De richtsnoeren van het CBP verduidelijken de nieuwe wet. Aan de hand van een beslissingsboom kunnen organisaties de afweging maken of melden noodzakelijk is of niet. Lees meer in onze “Samenvatting van de richtsnoeren van het College bescherming persoonsgegevens voor de Wet meldplicht datalekken”. Melden of niet? Voor iedere organisatie is de hamvraag: moeten we melden of niet? Het Cpb geeft vier vragen mee. De eerste vraag luidt: is dit een datalek? Een datalek betreft een inbreuk op de beveiliging, bedoeld in artikel 13 Wbp. Zijn de verwerkte persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking? Zo ja, kan ik uitsluiten dat er gegevens verloren zijn gegaan of onrechtmatig verwerkt? Zo nee, dan is er sprake van een datalek. De tweede vraag is: moet ik melden aan het CBP? De meldplicht is geclausuleerd: alleen als er 'een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens' is melding nodig. Of gevolgen ernstig nadelig zijn, hangt af van de gevoeligheid, de aard en de omvang van gegevens. Melden moet 'onverwijld', dat wil zeggen: uiterlijk op de tweede werkdag na ontdekking van het incident. De melding later aanvullen of intrekken is mogelijk. Moet ik melden aan de betrokkenen? De meldplicht aan betrokkenen geldt alleen als er ook een meldplicht aan het CBP bestaat. Het tweede lid geldt niet 'indien de verantwoordelijke passende technische beschermingsmaatregelen heeft getroffen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.' Denk aan versleuteling en pseudonimisering. Echter, bij verlies zijn er
misschien wel 'passende maatregelen' getroffen, maar zijn gegevens toch verloren gegaan. Het CBP meent dat de verantwoordelijk dan toch moet melden. Ten slotte moet de verantwoordelijke zich afvragen: ben ik uitgezonderd van meldingsplicht? Dit kan zijn, bijvoorbeeld omdat er al is gemeld onder een andere meldplicht. Schadeposten na IT-incident Persoonsgegevens liggen op straat of bedrijfsinformatie is gehackt. Welke schade wordt er geleden in het geval van een beveiligingsincident? Meestal lijden zowel de dienstverlener, bijvoorbeeld een bank, als de ITleverancier, die de persoonsgegevens verwerkt, reputatieschade. Dit is een belangrijke immateriële schadepost die lastig in geld is uit te drukken, tenzij duidelijk negatieve gevolgen voor de klantenbasis of omzet wordt aangetoond. Ook het verlies van bedrijfsgeheimen kan een schadepost vormen. Maar ook hier geldt: hoewel bedrijfsinformatie waardevol is, kan de financiële waarde van die informatie op het moment van lekken moeilijk worden vastgesteld. Dan kan er nog overige immateriële schade zijn, zoals bij de schending van integriteit of privacy. Onderzoekskosten, herstelkosten, kosten voor crisismanagement, meldingskosten, juridische kosten en afkoopkosten komen er ook bij kijken. Wie kan daarvoor aansprakelijk worden gesteld? Aansprakelijkheid Is er sprake van een datalek waarbij persoonsgegevens zijn betrokken, dan zal de verantwoordelijke moeten kunnen aantonen dat hij daar niets aan kon doen. Hij moet bewijzen dat de gegevens 'adequaat' werden beveiligd. Als die maatregelen niet in orde waren, kan de verantwoordelijke aansprakelijk worden gesteld. Ook als de gegevensverwerking werd uitbesteed aan een IT-leverancier. Heldere afspraken vooraf zijn dus belangrijk om vast te leggen hoe risico's worden verdeeld. Er is overigens nauwelijks een situatie denkbaar waarbij de schuld volledig bij één partij op het bord komt. Zo ligt in veel gevallen onzorgvuldig menselijk handelen bij de klant aan de basis van een datalek bij de leverancier: de gebruiker dus, en niet de leverancier. Contractuele aansprakelijkheid of onrechtmatige daad Bij contractuele aansprakelijkheid bestaan er verbintenissen en verplichtingen tussen partijen, zoals een opdrachtgever en de leverancier of een opdrachtgever en diens klant. Er moet worden nagegaan welke afspraken gelden. Voor welk beveiligingsbeleid is gekozen, dat van de opdrachtgever of de leverancier? Belangrijk is dat dit beleid scherp is geformuleerd. Wat is de aard van de beveiligingsverplichting? Betekent certificering nog iets in de zaak? Niet op zichzelf. Dat een leverancier (ISO)-gecertificeerd is, zegt meestal alleen iets over de kwaliteit van zijn processen, het is geen garantie voor een waterdicht beveiligingssysteem.
Buitencontractuele aansprakelijkheid vloeit voort uit de wet. Er is sprake van een inbreuk op een recht, een doen of nalaten in strijd met een wettelijke plicht of een doen of nalaten in strijd met wat volgens ongeschreven recht in het maatschappelijk verkeer betaamt. Partijen die gegevens verwerken zijn gehouden passende beveiligingsmaatregelen te treffen. Om passende maatregelen te kunnen treffen, moet de leverancier wel weten wat voor soort gegevens hij verwerkt. Is de dienstverlener voldoende transparant over de aard en gevoeligheid? Ook speelt de stand van de techniek mee: doet de leverancier het mogelijke of het gebruikelijke? Het is aan de leverancier om te bewijzen dat zijn maatregelen passend zijn voor de specifieke gegevensverwerking, en aan de dienstverlener, de verantwoordelijke, om met dat beleid in te stemmen. Verzekering Standaard beroepsaansprakelijkheidsverzekeringen schieten in het geval van ICT-inbreuken en datalekken veelal tekort. Eenieder die gegevens van een ander verwerkt of gevoelig is voor ICT-inbreuken of datalekken doet er verstandig aan zich hiervoor specifiek te verzekeren. Specifieke cyberpolissen zijn op de markt en dekken een trits aan schadeposten. In beginsel dekken zij geen immateriĂŤle schade. Nu (nog) zijn de polissen vrij ruim geformuleerd. Om de premie te bepalen is er transparantie vereist omtrent gebruikers en de aard van de gegevens. Positief aan de verzekeraars van ICT-inbreuken is dat zij de verzekeringnemer op meerdere manieren ontlasten in het geval van een incident. Er wordt een team ingesteld dat helpt bij het inkapselen van de gevolgen van het incident. Bijvoorbeeld door een callcenter in te richten en te ondersteunen bij de pr.
Contact Voor meer informatie kunt u contact opnemen met onze advocaten uit de Teams Informatietechnologie en Privacy.
Patrick Wit +31 20 5506 642 patrick.wit@kvdl.com Patrick Wit is sinds 1996 verbonden aan Kennedy Van der Laan, waar hij gespecialiseerd is in de commerciĂŤle en wettelijke kanten van elektronische communicatie, complexe IT en BP outsourcingprojecten, en bescherming van persoonsgegevens. Als partner van het Team Informatietechnologie houdt hij zich bezig met zakelijke onderhandelingen en geschilbeslechting, indien noodzakelijk inclusief procedures. Hij werkt op het snijvlak van technologie, mediakanalen en toezicht voor de sectoren telecommunicatie, media en IT. Patrick schrijft maandelijks een blog op BlogIT.nl. Sinds 1 januari 2014 heeft Patrick samen met Bart de Man (Managing Partner) en CĂŠcile Schobben (Managing Director) zitting in het Dagelijks Bestuur van Kennedy Van der Laan.
David Korteweg +31 20 5506 895 david.korteweg@kvdl.com
David Korteweg is gespecialiseerd in Informatietechnologie met de nadruk op telecommunicatie, cybersecurity en e-commerce. Hij heeft werkervaring opgedaan als bedrijfsjurist bij een internationaal ingenieursbedrijf en een financiĂŤle instelling. Hij heeft veel verstand van de technische onderwerpen en zakelijke belangen die hierbij op het spel staan en hanteert een hands-on benadering bij het oplossen van juridische kwesties. Voordat hij advocaat werd werkte hij als projectonderzoeker aan het Instituut voor Informatierecht en als vrijwilliger voor de burgerrechtenorganisatie Electronic Frontier Foundation in San Francisco en de Nederlandse burgerrechtenorganisatie Bits of Freedom.
Maarten Goudsmit +31 20 5506 683 maarten.goudsmit@kvdl.com Maarten Goudsmit is medewerker van de Teams Privacy en Informatietechnologie en werkt sinds 2012 bij Kennedy Van der Laan. In 2004 begon Maarten aan zijn studie rechten aan de Universiteit van Amsterdam en studeerde af met een specialisatie in informatierecht. Na het behalen van zijn masterstitel in Amsterdam studeerde Maarten IP & IT Law aan de Fordham University in New York City, en behaalde daar zijn LL.M magna cum laude. Voordat hij naar Kennedy Van der Laan overstapte werkte Maarten anderhalf jaar als advocaat bij een ander groot advocatenkantoor in Amsterdam.