Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Informatiebeveiliging

ICT~Office 2005 Een impressie

advertisement 
Enkele actualiteiten IT & Recht
ZVIO
Mr. Peter van Schelven
28 januari 2016, Goes
Agenda
• Informatiebeveiliging en meldplicht datalekken
- Aanpassing privacywetgeving 1-1-2016
- Voorstel voor Wet gegevensverwerking en meldplicht
cybersecurity (januari 2016)
• Software en auteurscontractenrecht (1-7-2015)
Wet Meldplicht Datalekken
Databeveiliging: de klassieke ‘CIA-triade’
• Confidentiality => exclusiviteit van data: alleen geautoriseerde
personen/organisaties hebben toegang en de
data kunnen niet uitlekken.
• Integrity =>
actuele, correcte en volledige informatie, op basis
van een geautoriseerd proces of geautoriseerde
personen.
Integriteit van data en verwerkingsproces
• Availability =>
beschikbaarheid (tijdigheid, continuïteit en
robuustheid)
Nieuwste loot: het transparantiebeginsel
• Transparantie d.m.v. een meldplicht (notificatieplicht) datalekken
• Waar wettelijk geregeld?
1. Nu: Telecommunicatiewet (telecom- en internet accesproviders)
2. Vanaf 1-1-2016: Wet Bescherming Persoonsgegevens
(alle bedrijven en (overheids-)organisaties; deels voor financiële instellingen)
3. Bij de TK: Wet gegevensverwerking en meldplicht
cybersecurity (alleen aanbieders vitale infrastructuren)
4. Europese Privacy-verordening
(alle bedrijven en organisaties, waaronder overheden)
Wat is een ‘datalek’ volgens de WBP?
• Complexe definitie met open ‘eindjes’
• “…een inbreuk op de beveiliging … die leidt tot de aanzienlijke kans op
ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft
voor de bescherming van persoonsgegevens.”
• Bedrijf/organisatie moet zelf eigen afweging maken of sprake is van:
(a) inbreuk beveiliging
(b) ernstige nadelige gevolgen
(c) kans op ernstige nadelige gevolgen
• Niet alleen internet-gerelateerde databeveiliging, ook ‘klassieke’ ICT en
papieren bestanden (mits voldoen aan WBP-criteria)
Voorbeelden ‘datalek’ volgens Autoriteit
Persoonsgegevens (AP)
Inbreuken op de beveiliging volgens beleidsregels AP (nieuwe naam
van CBP)
• kwijtgeraakte USB-stick
• gestolen laptop
• inbraak door een hacker
• verzending van e-mail waarin de e-mailadressen van alle
geadresseerden zichtbaar zijn voor alle andere geadresseerden
• malwarebesmetting (ook ransomware)
• brand in datacentrum
Ernstige nadelige gevolgen voor de persoonlijke
levenssfeer?
• Beleidsregels geven diverse voorbeelden
Extra aandacht voor:
• “bijzondere persoonsgegevens” vrijwel altijd risicovol
-
medische data, godsdienst of levensovertuiging, ras, politieke
gezindheid, seksuele leven, lidmaatschap van een vakvereniging en
strafrechtelijke gegevens
• financiële/economische data van personen
• data die kunnen leiden tot stigmatisering/uitsluiting van personen
• gebruikersnamen, wachtwoorden en andere inloggegevens
• data die kunnen worden misbruikt voor (identiteits)fraude
Meldplicht volgens de WBP
• Autoriteit Persoonsgegevens
• Betrokken personen
• Wanneer? => ‘onverwijld’ , AP zegt: binnen 72 uur na ontdekking
incident
• Wat? => aard en omvang datalek, vermoedelijke gevolgen,
maatregelen, betrokken instanties etc.
• Hoe? => per brief, krant, website, email, telefoon e.d. en mogelijkheden
tot correctie/reactie (kostenafweging versus zorgvuldige info)
Uitzondering meldplicht jegens personen
• Geen meldplicht naar personen bij versleuteling (encryptie)
• “onbegrijpelijk en ontoegankelijk” voor iedereen die geen recht heeft op
kennisname
• AP kan beslissen dat encryptie niet voldoende is => dan ontstaat alsnog
een meldplicht.
Bezwaren tegen meldplicht
• Verhouding monitoring van ICT-systemen en meldplicht
• Nieuwe druk op ICT-contractpraktijk (cloudcontracten; hosting etc.)
• Onvoldoende bescherming tegen dat wat AP met meldingen doet
• Aanzuigende werking voor nieuwe aansprakelijkheden
• Geen internationale uniformering
Contractspraktijk
• Contractueel ‘doorleggen’ van wettelijke meldplicht naar Cloud
Provider of hostingbedrijf
- ICT-dienstencontracten
- bewerkersovereenkomsten : wettelijk verplicht
• Aanpassen van bestaande/lopende contracten
• Medewerkingsplicht van Cloud provider en host uitwerken.
• “best practices” en auditing
Aandachtspunten bewerkersovereenkomst
• Samenhang met IT-diensteverleningscontract (hostingcontract)
• Informatieverplichtingen IT-dienstverlener naar opdrachtgever (alle
datalekken melden of alleen bepaalde datalekken?)
• Informatieverplichtingen opdrachtgever naar IT-dienstverlener (bijv.
bij opdrachtgever bekende besmetting van IT-systemen)
• Level van informatiebeveiliging, maatregelen
• Positie van bewerker – subbewerkers
• Auditing
• Looptijd bewerkersovereenkomst
• Positie van derden (bijv. overheidsinstantie vraagt om inzage
gegevens)
• Aansprakelijkheid
Sancties
• Bestuurlijke boetes (tot max € 820.000 of 10%omzet)
• Precedent: boete ACM aan KPN.
Rechtbank Rotterdam 8 januari 2015: “Garanderen van passend
beveiligingsniveau is een verstrekkende inspanningsplicht.”
Boete: € 364.000
• Aanwijzingen van AP over de inrichting van uw beveiliging
• Aansprakelijkheid: (i) schending van informatiebeveiliging
(ii) schending van notificatieplicht
Bestuurlijke boete
• Direct boete bij opzet of ernstig verwijtbare nalatigheid
• In andere gevallen: eerst bindende aanwijzing
• Beleidsregels boetes
- Categorie I Boetebandbreedte tussen € 0 en € 200.000
- Categorie II Boetebandbreedte tussen € 120.000 en € 500.000
- Categorie III Boetebandbreedte tussen € 350.000 en € 820.000
• Schending van meldplicht valt in categorie II en (eventueel) III
• Schending van meldplicht aan CBP en betrokkenen leveren afzonderlijke boetes
op, dus max 2x 820.000 = € 1,64 miljoen
• Minimumboete is in beginsel € 120.000 (afwijkingen t.b.v. MKB toegestaan)
• Schending beveiligingsverplichting zelf: categorie II en III
Meldplicht en aansprakelijkheid
• Onvoldoende beveiliging = onrechtmatig!
=> Melding kan indicatie van onvoldoende beveiliging zijn
=> Melding levert geen vrijtekening van aansprakelijkheid op
• Aansprakelijkheid jegens betrokken persoon voor:
=> Niet, te laat of te weinig melden bij CBP
=> Niet, te laat of te weinig melden bij betrokken personen
=> Niet voldoen aan last van CBP
=> Niet bijhouden van incidentenregister
US Case – ca 110 miljoen credit card data
Eigen kosten en schade i.v.m. meldplicht?
•
•
•
•
•
Kosten forensisch onderzoek
Kosten van crisismanagement
Kosten melding inbreuk
Kosten van ‘disaster recovery’
Kosten klantenservice (opzetten call-centre, bewaken
betaalkaarttransacties, kredietbewakingsdiensten)
• Kosten verweer externe claims
• Kosten extra PR
• Kosten en schade wegens business interruptie
Cyber security verzekering
• First party verzekering of third party verzekering?
• Deel van beroepsaansprakelijkheidsverzekering IT-bedrijf?
• Dekking alleen bij schending van wettelijke meldplicht? Of ook bij nietexpliciete wettelijke verplichtingen? Of zelfs ook bij schending
contractuele meldplicht in relatie verantwoordelijke - bewerker?
• Welke kosten zijn gedekt?
Praktische aandachtspunten meldplicht
• Inschakeling van ICT-monitoring?
• Aansturing van de medewerkers?
• Bij wie wanneer wat melden intern?
• Beleidskader voor melden aan AP/betrokkene: met of zonder
verzekeraar?
• Rol van de verzekeraar bij uitvoering meldplicht
• Angst versus vertrouwen?
• Contractuele verhoudingen?
Voorstel voor wet gegevensverwerking
en meldplicht cybersecurity
Wetsvoorstel januari 2016
• Alleen voor ‘vitale aanbieders’
• Welke zijn dat? Nog te bepalen, maar regering denkt aan energie,
drinkwater, telecom, transport (mainport Rotterdam en Schiphol),
financiën en Rijkswaterstaat (primaire waterkeringen).
• Wat melden: IT valt ‘in belangrijke mate’ uit.
• Invulling van ‘in belangrijke mate’ ontbreekt in wetsvoorstel.
Concretisering in overleg met sectoren.
Inhoud wetsvoorstel
• Meldplicht bij Minister van Justitie/NCSC (Nationaal Cybersecurity
Center)
• Boetes: geen
• NCSC gaat ‘hulp’ verlenen
• Niet alle IT-incidenten: geen melding bij Ddos-aanvallen
IT en Auteurscontractenrecht
Enkele aspecten van nieuw
auteurscontractenrecht
• Vroeger: overdracht van auteursrecht d.m.v. akte en licenties waren
vormvrij
Nu: overdracht en exclusieve licenties d.m.v. akte.
• Gehele set van nieuwe spelregels voor ‘de exploitatieovereenkomst’
voor makers van vlees en bloed (natuurlijke personen)
• Geldt niet voor zogeheten fictieve makers (werkgevers en art.6rechtspersonen)
• Doel: versterking van rechtspositie van ZZP-ers, freelancers
Nieuwe rechten voor natuurlijke personen (1)
• Recht op een ‘billijke vergoeding’
• Nieuwe exploitatievormen => aanvullende billijke vergoeding => ook
jegens rechtsopvolgers
• Aanvullende billijke vergoeding bij ‘ernstige onevenredigheid’ tussen
vergoeding en exploitatieopbrengsten, ook te handhaven jegens
rechtsopvolgers
• NON USUS: Ontbindingsrecht bij non-usus (non-exploitatie), na gunning
van een redelijke termijn => retro overdracht auteursrecht
Nieuwe rechten voor natuurlijke personen (2)
• Vernietigbaar is beding dat onredelijk lang/onbepaald toekomstige
werken claimt
• Nieuwe rechten zijn dwingend recht; afwijkende contracten houden
geen stand.
Vragen?
BIJ PETER- Wet & Recht
Oudewater
[email protected]
Related documents
De nieuwe model Keur van de Unie van Waterschappen
De nieuwe model Keur van de Unie van Waterschappen
Best practise powerpoint Wittenberg Amsta 2013
Best practise powerpoint Wittenberg Amsta 2013
Download
advertisement