Wat betekent de meldplicht datalekken voor u als ondernemer of klant?

Per 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College Bescherming Persoonsgegevens (CBP) zodra zij een ernstige datalek hebben. 

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Treedt er bij uw organisatie een ernstig datalek op, dan bent u verplicht om een melding te doen bij het CBP. In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Wanneer u ten ontrechte een datalek niet meldt bij het CBP, dan kan het CBP u een boete geven. De maximale boete is € 810.000,-.

U kunt nu al preventieve maatregelen treffen. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt goed beveiligt. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Daarnaast kunt u bijvoorbeeld:

  • een goed incidentenbeheer inrichten;
  • beslissen wie in de organisatie datalekken gaat beoordelen en melden bij  het CBP;
  • nadenken over hoe u de betrokkenen gaat informeren bij een datalek;
  • nadenken over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken;
  • afspraken met uw bewerkers controleren.

Elke ondernemer krijgt met deze wet te maken, omdat in elke onderneming of bedrijf data zijn opgeslagen die privacy gevoelig zijn. Denk maar aan personeelsadministratie en ziekteverzuimregistratie. Daarnaast zullen accountants, notarissen, advocaten maar ook medici de komende periode nog kritischer moeten kijken naar de beveiliging van hun netwerk. De gegevens van hun cliënten zijn per definitie privacygevoelig en vallen ook onder het beroepsgeheim. Het hebben van een extern ICT bedrijf dat service en onderhoud verricht, ontslaat de ondernemer niet van zijn verantwoordelijkheid. Het is dus zaak om de overeenkomst met de ICT, inclusief eventueel de algemene voorwaarden, na te kijken op het aspect beveiliging en zo nodig een aanvullende overeenkomst op te stellen, waarin duidelijk staat dat het ICT instaat voor de goede beveiliging van het bedrijfsnetwerk. Daarbij is het gebruik van virusscanner, firewall en regelmatige update van beveiligingssoftware vereist. Een Window XP besturingssysteem is dan ook definitief exit.

Dan zijn we er nog niet. Ook het eigen personeel moet duidelijk worden gemaakt dat recreatief surfen onder werktijd en het klakkeloos gebruik van USB sticks van onbekende herkomst fatale gevolgen kan hebben. En dan gaan we er maar vanuit dat het wachtwoord bij het inloggen ‘sterk’ is en regelmatig wijzigt. Er is nog veel te doen, want er blijken nog genoeg wachtwoorden met Admin, welkom01 of de naam van een huisdier te worden gebruikt.

Bron: Actuele artikelen

Senaat VS akkoord met omstreden cyberwet

De Amerikaanse Senaat heeft dinsdag (lokale tijd) een wetsvoorstel aangenomen dat de cyberveiligheid van het land moet versterken. De wet (CISA, Cybersecurity Information Sharing Act) voorziet erin dat de overheid privégegevens en geheime bedrijfsgegevens mag verzamelen als ze meent dat de veiligheid in gevaar is.

Tegenstanders, waaronder grote techbedrijven als Apple, Wikimedia en Dropbox, vrezen dat de privacy van burgers op grote schaal zal worden geschonden. Voorstanders vinden de wet een goed wapen tegen het toenemende hackersgeweld.

De wet moet nu nog worden goedgekeurd in het Huis van Afgevaardigden en door president Barack Obama.

Bron: Elsevier

Werknemer mag bedrijfsbestanden naar privéadres mailen

Een werknemer die databestanden van zijn werkgever naar zijn privémailadres stuurde, heeft niet onrechtmatig gehandeld. De werkgever had geen bedrijfsbeleid of regels over de omgang met digitale bedrijfsbestanden. En er is ook geen ongeschreven regel die het sturen van bedrijfsbestanden naar een privéadres verbiedt.

De situatie

Een recruiter mailt in mei 2014 een databestand met gegevens vanaf zijn zakelijke e-mailadres naar zijn privé-mailadres. Vier maanden later treedt hij in dienst bij een ander bedrijf. Omdat de werkgever een slechte ervaring heeft met een andere ex-werknemer die informatie zou hebben verduisterd, houdt de werkgever de situatie rondom de beëindiging van de arbeidsovereenkomst tegen het licht. De werkgever komt tot de ontdekking dat de werknemer de bestanden naar huis heeft gemaild en beschuldigt hem officieel van het stelen of verduisteren van bedrijfsgevoelige en vertrouwelijke informatie.

Bij de rechter

De werkgever vraagt de rechter om voor recht te verklaren dat de werknemer met het doorsturen van het bestand een onrechtmatige daad heeft gepleegd. De werknemer zou inbreuk hebben gepleegd op het gebruiksrecht dat de werkgever had op deze aangekochte database. Op misbruik van de database staat een boete, die de uitgever van de lijst overigens niet heeft opgelegd. De werkgever meent ook dat het naar het privéadres sturen van dergelijke informatie die eigendom is van de werkgever in strijd is met wat volgens ongeschreven recht in het maatschappelijk verkeer betaamt. De werknemer verweert zich met het argument dat hij de bestanden naar huis heeft gemaild om voor zijn werk te gebruiken als hij thuis werkte.

Het oordeel

De rechter ziet geen bewijs voor een onrechtmatige daad. De werknemer heeft de lijst inderdaad naar huis gemaild maar er is geen enkel bewijs dat hij dat deed om de lijst voor andere doeleinden dan zijn eigen werk te gebruiken. Er zijn ook geen aanwijzingen dat de werknemer de database op een of andere manier heeft misbruikt. De werkgever heeft ook geen aangifte gedaan van diefstal of verduistering, die is alleen bang voor misbruik van de database in de nabije toekomst.

Geen regel die mailen naar huis verbiedt

De rechter overweegt dat de maatschappelijke opvatting over het professionele gebruik van het elektronische berichtenverkeer aan verandering onderhevig is. Maar er is geen ongeschreven regel die de werknemer verbiedt om bestanden van zijn werkgever naar zijn privé-mailadres te verzenden. Het is de taak van de werkgever om bedrijfsbeleid hierover te formuleren. En die regels zullen altijd (mede) afhankelijk zijn van de thuiswerkmogelijkheden in het bedrijf, de functie van de werknemer, de aard van de werkzaamheden, de vertrouwelijkheid van de digitale bestanden en het risico van openbaarmaking. De werkgever heeft aangegeven (nog) geen beleid te hebben. De rechter wijst dan ook alle vorderingen van de werkgever af.

Bron: P&O Actueel

Flinke stijging ontslagzaken in juni

Vlak voor de inwerkingtreding van het nieuwe ontslagrecht, is het aantal ontslagverzoeken bij rechtbanken flink toegenomen. De instroom van nieuwe ontslagverzoeken was in juni 2015 ongeveer twee keer zo groot als de gebruikelijk maandinstroom, zo blijkt uit een inventarisatie van voorlopige cijfers door de Raad voor de rechtspraak.

Sinds 1 juli gelden nieuwe ontslagregels, waarbij de werkgever niet langer zelf de ontslagroute kan bepalen. Alleen wanneer er sprake is van ontslag vanwege persoonlijke redenen, zoals slecht functioneren, verloopt de ontslagprocedure via de kantonrechter. Daarbij moet de werkgever zorgen voor een goed dossier.

In de periode van januari tot en met juni 2015 stroomden ruim vijfduizend ontslagzaken binnen bij de rechtbanken. Dat is een toename van ongeveer 10 procent ten opzichte van dezelfde periode in 2014. De Raad voor de rechtspraak heeft niet gezocht naar een verklaring voor de stijging. Een mogelijke verklaring zou kunnen zijn dat werkgevers nog voor de inwerkingtreding van het nieuwe ontslagrecht van hun werknemers af wilden, maar dit is niet onderzocht.

Bron: P&O Actueel

Gijzeling van data, mag dat?

Mag je als clouddienstverlener data gijzelen als er niet wordt betaald? Klinkt hard, maar in de ‘gewone’ offline wereld kan een fietsenmaker of keukenleverancier dat gewoon doen. Dat heet retentierecht. Maar kan dit ook bij data?

In een eerdere blog schreef ik over de problemen rondom de juridische determinatie van het begrip ‘data’. Conclusie was dat ‘data’ juridisch gezien niks is en dat er dus duidelijk afspraken gemaakt moeten worden wanneer data van de ene partij in de macht van een ander is. Met name bij clouddiensten komt deze situatie veel voor. De afnemer van een clouddienst voert allerlei informatie in via de dienst die vervolgens wordt opgeslagen op de servers van de clouddienstverlener. Dit geeft de clouddienstverlener een bepaalde macht, en die macht kan gebruikt en misschien wel misbruikt worden.

Tussen clouddienstverlener en afnemer kunnen conflicten ontstaan over de dienstverlening. Waar de onenigheid ook door is ontstaan, het gevolg is vaak een opschorting van de betaling door de afnemer. De afnemer zal dan aanmaningen sturen maar die leveren niet altijd het gewenste effect op. Uiteindelijk is de relatie tussen partijen dan dusdanig verziekt dat de afnemer een andere partij zal zoeken. Uiteraard wil hij wel eerst zijn data exporteren naar de nieuwe clouddienstverlener. Een clouddienstverlener kan hier weigeren zijn medewerking aan te verlenen totdat de openstaande rekeningen betaald zijn. Is dit juridisch in de haak?

We horen wel eens dat een clouddienstverlener in zo’n geval een beroep doet op het ‘retentierecht’. Laten we eens kijken of dat juist is.

Het retentierecht is de bevoegdheid die in de bij de wet aangegeven gevallen aan een schuldeiser toekomt, om de nakoming van een verplichting tot afgifte van een zaak aan zijn schuldenaar op te schorten totdat de vordering wordt voldaan. (art 3:290 BW)

Denk hierbij aan een automonteur die de gerepareerde auto niet mee hoeft te geven zolang de rekening voor de reparatie niet is voldaan. Als we deze situatie nu verplaatsen naar een clouddienst waarbij de clouddienstverlener de rol van de automonteur speelt en de afnemer de eigenaar van de auto is lijkt de vergelijking goed te gaan. De clouddienstverlener is schuldeiser ten aanzien van de onbetaalde facturen en de afnemer eist afgifte van zijn data.

Probleem zit hem in de vergelijking tussen de auto en de data. Een auto is een ‘zaak’ en data is dat niet. De wettekst laat er geen misverstand over bestaan dat het hier om een zaak moet gaan. De gedachte hierachter is dat er sprake moet zijn van feitelijke macht. Zaken zijn stoffelijke objecten en daarvan is het duidelijk te zien wie daar de macht over uitvoert. Data is iets ongrijpbaars en dus geen zaak. Het uitvoeren van een retentierecht lijkt daarom ten aanzien van data niet gerechtigd. Een beroep op dit artikel helpt je als clouddienstverlener niet verder. Retentierecht op data is dus onzin.

Wat kan een clouddienstverlener dan wel doen? Een clouddienstverlener zou wel een beroep kunnen doen op artikel 6:52 BW en 6:262 BW, het opschortingsrecht. Op grond van deze artikelen is het wél mogelijk om de toegang tot de data te ontzeggen. Bij opschorting kan de prestatie (toegang verlenen tot de data) worden opgeschort zolang de rekeningen niet zijn betaald. Feitelijk gebeurt hier hetzelfde maar dan op basis van een andere rechtsgrond. Van een retentierecht is in zo’n situatie echter nooit sprake.

Wat zou je kunnen afspreken om bovenstaande situatie te voorkomen? Een drietal tips:
1. Maak als afnemer van een clouddienst een back-up van je (belangrijkste) data op eigen systemen of op die van een onafhankelijke derde.
2. Spreek met elkaar af dat de beschikbaarheid van data gegarandeerd wordt ondanks opschorting.
3. Sluit het opschortingsrecht volledig uit.

Bron: Cloudrecht

Kabinet verscherpt regels voor gebruik data burgers, maar handhaaft bewaarplicht

Er komen strengere regels voor het inzien van bewaarde bel- en internetgegevens van burgers. Dat zegt minister Opstelten van Veiligheid en Justitie na een uitspraak van het Europees Hof van Justitie over de opslag van persoonsgegevens. De bewaarplicht blijft wel.

Het Hof oordeelde eerder dat een Europese richtlijn over de inzet van persoonsgegevens om zware misdaad aan te pakken ongeldig was. Opstelten ziet in de uitspraak geen reden om de Nederlandse regels als ongeldig te zien. Wel zijn er aanpassingen nodig.

De bewaarplicht geldt als zeer controversieel. D66 en GroenLinks zien het opslaan en bewaren van deze gegevens als een inbreuk op de privacy. Ook de digitale burgerrechtenorganisatie Bits of Freedom is tegen de bewaarplicht en vindt het ‘onbegrijpelijk’ dat het kabinet vasthoudt aan de bewaarplicht.

Nodig tegen zware misdaad
Als het aan minister Opstelten ligt, kunnen straks telefoniegegevens alleen voor de volle bewaartermijn van twaalf maanden worden geraadpleegd als er sprake is van een ernstig misdrijf waar een straf van acht jaar of meer op staat. Bij misdrijven waar een straf onder de acht jaar op staat en waar voorlopig hechtenis mogelijk is, zal dat een half jaar zijn (tegen twaalf nu). Voor internetgegevens veranderen de termijnen niet, daar justitie al een korte bewaarperiode hanteert van zes maanden.

Een officier van justitie krijgt straks pas na toetsing van de rechter toegang tot deze gegevens. De aanbieders van telecomdiensten worden verplicht hun data op te slaan en te verwerken binnen de EU. Het Agentschap Telecom zal onder de nieuwe regels het recht krijgen deze gegevens in te zien.

Volgens het kabinet is het bewaren van deze gegevens belangrijk om zware misdaad aan te pakken. Een overweging die volgens de minister ook door het Europees Hof wordt onderschreven:

“Zonder telecommunicatiegegevens komt de aanpak van bijvoorbeeld jihadisten, kinderpornografie, roofovervallen, moord en doodslag in gevaar of wordt zelfs onmogelijk. Ook de Europese rechters gaven in hun arrest aan dat bewaring van telecommunicatiegegevens een waardevol instrument is bij strafonderzoeken en een algemeen belang dient.”

Bron: NRC

Kabinet voert hogere straffen in voor computercriminaliteit

Criminelen die computergegevens vernielen, computersystemen ontoegankelijk maken door aan wachtwoorden te sleutelen of computers bestoken met spam zodat de boel vastloopt, kunnen straks een gevangenisstraf van maximaal twee jaar tegemoet zien. Nu is dat nog één jaar. Wanneer ze deze delicten plegen met behulp van een zogeheten ‘botnet’ wordt de maximumstraf drie jaar. Brengt een computerdelict ernstige schade toe of richt het zich tegen een vitale infrastructuur – bijvoorbeeld een overheidsnetwerk of energiecentrale – dan wordt de maximale gevangenisstraf vijf jaar.

Dit blijkt uit een wetsvoorstel van minister Opstelten van Veiligheid en Justitie waarmee de ministerraad heeft ingestemd en dat een Europese richtlijn omzet in Nederlands recht. Nederland voldoet al grotendeels aan de regels waartoe de richtlijn verplicht.

Het kabinet wil cybercriminaliteit krachtig aanpakken omdat die kan leiden tot maatschappelijke ontwrichting of het vertrouwen in het financieel-economisch systeem kan aantasten. Risico’s zijn er vooral bij aanvallen via ‘botnets’, waarbij op afstand de controle over grote aantallen computers wordt overgenomen met behulp van kwaadaardige software.

Vanwege het grensoverschrijdende karakter van cybercriminaliteit is een gezamenlijke Europese aanpak noodzakelijk. Als in alle Europese lidstaten dezelfde regels gelden voor strafbaarstelling van computercriminaliteit, verdwijnen de zogeheten ‘safe havens’. Dit zijn landen waar criminelen gemakkelijker hun gang kunnen gaan omdat bepaalde feiten niet strafbaar zijn of met een lagere straf worden bedreigd. Als er geen ‘safe havens’ meer zijn, wordt het voor criminelen lastiger hun pijlen ongestraft vanuit die landen op Nederlandse bedrijven, burgers en overheid te richten.

De ministerraad heeft ermee ingestemd het wetsvoorstel voor advies aan de Raad van State te zenden. De tekst van het wetsvoorstel en van het advies van de Raad van State worden openbaar bij indiening bij de Tweede Kamer.

Bron: Ministerie van Justitie

Cookiewetgeving versoepeld

De cookiewet wordt zo aangepast dat er geen toestemming meer hoeft te worden gevraagd voor cookies die niet privacygevoelig zijn. Het gaat dan onder andere om cookies die de werking van websites verbeteren: de analytic cookies. Minister Kamp van Economische Zaken (EZ) heeft daartoe een wetsvoorstel ingediend.

“Het beschermen van de privacy van internetters is belangrijk”, aldus minister Kamp. “Tegelijkertijd moeten we er voor zorgen dat deze bescherming niet doorslaat. Burgers moeten ook kunnen profiteren van het gemak van het gebruik van internet.”

Toestemming

Door de versoepeling worden internetters alleen om toestemming gevraagd als dit ook echt in het belang is van de privacybescherming. Voor cookies die het surfgedrag van internetgebruikers volgen verandert er niets. Hiervoor moet nog steeds vooraf toestemming worden gegeven.

Het wetsvoorstel werd in 2013 aangekondigd. Naar verwachting kan het wetsvoorstel dit jaar in werking treden.

Bron: Ministerie van Economische Zaken