Noort

Wanneer bent u een vitale of digitale dienstverlener?

Onder vitale dienstverleners vallen onder meer organisaties in de energie-, de financiële en de vervoerssector. Hun diensten zijn van essentieel belang voor het goed functioneren van de Nederlandse samenleving en economie. Onder het begrip ‘digitale dienstverleners’ vallen bijvoorbeeld clouddiensten, zoekmachines en online marktplaatsen, ook wel Digital Service Providers genoemd (DSP’s).

Niet elke partij die een digitale dienst aanbiedt, valt echter automatisch onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Social media en webshops bieden bijvoorbeeld ook digitale diensten aan, maar hoeven niet per definitie aan de Wbni te voldoen. Vereist is allereerst dat de organisatie een hoofdvestiging of vertegenwoordiging in Nederland heeft. Tevens dienen binnen de organisatie meer dan 50 medewerkers werkzaam te zijn of dient er sprake te zijn van een balanstotaal of een jaaromzet van meer dan 10 miljoen euro. Kleine en micro-ondernemingen vallen derhalve niet onder de reikwijdte van de Wbni.

De uitval of verstoring van vitale dienstverleners of digitale dienstverleners kan leiden tot grote maatschappelijke ontwrichting. De Wbni bevat daarom o.a. een zorgplicht voor beveiligingsmaatregelen.

De zorgplicht

De zorgplicht houdt in dat vitale dienstverleners en digitale dienstverleners passende organisatorische en technische maatregelen dienen te nemen om beveiligingsrisico’s te beheersen en de gevolgen van incidenten te verkleinen. In de AVG (art. 24) kennen we een dergelijke regeling ook voor het verwerken van persoonsgegevens. De Wbni ziet echter specifiek op digitale beveiliging en omvat het aanbieden van vitale en/of digitale dienstverlening in de ruime zin.

De Wbni werkt vijf aspecten uit waar vitale en digitale dienstverleners rekening mee dienen houden. Deze uitwerking is gebaseerd op art. 2 EU Uitvoeringsbesluit 2019/151 en bestaat – kort samengevat – uit het treffen van de volgende maatregelen:

Allereerst dienen de netwerk- en informatiesystemen adequaat te worden beveiligd. Daarnaast moeten organisaties kunnen aantonen dat zij maatregelen nemen bij incidenten. Daarbij kan worden gedacht aan processen om incidenten te melden en om tekortkomingen en zwakke plekken in het systeem te identificeren. Verder moet worden voorzien in maatregelen waarmee de bedrijfscontinuïteit en dienstverlening na een incident deugdelijk wordt gehandhaafd of hersteld. Onder die maatregelen valt o.a. de vaststelling en het gebruik van rampenplannen. Voorts is relevant dat regelmatig wordt gecontroleerd dat de betreffende maatregelen naar behoren werken en dus periodiek worden getest. Bij dit alles dienen -tot slot- ook internationale normen in acht te worden genomen.

Al deze maatregelen beogen dat vitale dienstverleners en digitale dienstverleners voldoen aan het uitgangspunt met betrekking tot de zorgplicht zoals die in de Wbni uiteen is gezet: “het nemen van passende maatregelen om incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken”.

De zorgplicht in de praktijk: hoe moet de regeling concreet worden toegepast?

De Wbni geeft vooral aan wát er moet gebeuren, maar niet hoe de uitvoering van die zorgplicht vervolgens concreet vormgegeven dient te worden om de toets van voldoende zorgvuldigheid met succes te kunnen doorstaan.

Vitale dienstverleners en digitale dienstverleners dienen de uitvoering van de zorgplicht en de maatregelen geheel zelf in te vullen waarbij het Agentschap Telecom toezicht houdt en handhavend op kan treden. Doordat de concrete invulling van de zorgplicht en de maatregelen ontbreken valt echter te verwachten dat organisaties hier veel vraagtekens bij hebben. Dit zou kunnen resulteren in een tekortschieten in de op hen rustende zorgplicht.

Aanbeveling verdient derhalve juridische advisering in het zo correct mogelijk toepassen van de uit de Wbni voortvloeiende zorgplicht in de praktijk. Hierbij is het belangrijk dat een balans wordt gevonden in het voldoen aan de zorgplicht en het respecteren van de commerciële belangen van bedrijven en de privacy van natuurlijke personen. Het creëren van een beveiligingsprotocol met een concreet te doorlopen stappenplan/checklist zou hiervan een voorbeeld kunnen zijn. Door de verscheidenheid aan organisaties die onder de reikwijdte van de Wbni vallen gaat het hierbij echter om maatwerk.

Geldt de zorgplicht ook voor u?

Heeft u vragen of wenst u advies over de Wbni en de daarin geldende zorgplicht binnen uw organisatie? Neem dan contact op met onze Cyber risk expert Astrid van Noort

Uit het onderzoek bleek dat vele medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien.

Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. De AVG bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. Regelmatige controle dient derhalve plaats te vinden om vast te stellen wie welk dossier raadpleegt. Daarnaast wijst de AP erop dat bij een goede beveiliging een authenticatie hoort waarbij ten minste twee factoren worden betrokken. Dit betekent dat de identiteit van een gebruiker op twee manieren wordt gecontroleerd voordat hij toegang krijgt tot een patiëntendossier, bijvoorbeeld met een code of een wachtwoord in combinatie met een personeelspas of pincode.

Onderzoek AP: Interne beveiliging niet op orde

De AP constateerde dat het ziekenhuis niet voldeed aan haar eigen beveiligingseisen. De logbestanden werden niet regelmatig beoordeeld en evenmin verliep de twee-factor-authenticatie correct. Volgens de AP was er geen sprake van een “passend beveiligingsniveau” zoals dat op grond van de AVG verplicht is.

De AP vindt het een “kwalijke” zaak dat een ziekenhuis de interne beveiliging van patiëntdossiers niet op orde heeft. Hierbij hoort volgens de AP dan ook een ferme boete. “De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn, ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent”, aldus de AP.

Om het ziekenhuis te dwingen de beveiliging van de patiëntdossiers te verbeteren legt de AP naast de bestuurlijke boete van €460.000 ook een last onder dwangsom op. Als het ziekenhuis de beveiliging niet voor 2 oktober 2019 op orde heeft, moet het ziekenhuis elke twee weken dat de overtreding voortduurt een dwangsom van €100.000 betalen, met een maximum van € 300.000.

Het ziekenhuis legt zich niet neer bij de uitspraak van de AP en gaat in beroep.

Heeft u vragen over de manier waarop uw organisatie de verplichtingen van de AVG heeft geregeld? Neemt dan contact op met Astrid van Noort van onze Privacy Desk.

Lack of strength

This change in regulation creates a great amount of work for the Data protection authorities. At the meantime, in the Netherlands the capacity to implement the new legislation is seriously doubted.

Although the organisation of the Dutch data protection authority grew from 72 employers to 123, the envisaged growth to 140 employers was not achieved.[1] Furthermore, a number of important people left the organisation. Moreover there would be a good deal of dissatisfaction within the organisation.[2] To mitigate and avoid further turbulences the executive board will soon be extended with a third member.[3] As a consequence of all these circumstances, a lack of authority of the national Data protection authority is presumed.

Differences in points of view between the Dutch Government and the Dutch data protection authority

Furthermore, the request for extra finance of the Data protection authority has also been denied by the responsible Dutch Minister of Justice. The Minister has indicated that no extra money will be provided until “the dust settles”.[4]

Money however is certainly not the only subject of discussion between the Minister of Justice and the Dutch data protection authority. Shortly before the GDPR entered into force the Minister of Justice reassured small and medium-sized enterprises that they should not fear immediate penalties if not GDPR-compliant: ”If you are working on it, the Dutch data protection authority will not be knocking on your front door on de 26 th.[5]

All much to the displeasure of the Dutch data protection authority, that in response to this pronouncement made clear that not the Minister but only the authority is responsible for the enforcement of the legislation and that every organisation, big or small, needs to comply with the Regulation. [6]

Other European countries also inadequately prepared

The Netherlands are not the only European Member State where the ability of the Data protection Authority to respond effectively to violations of the GDPR is questioned.
According to a survey by the press agency Reuters, 17 of the 24 National authorities noted that they did not yet have sufficient financial resources, or at the time of entry did not have sufficient powers to fully carry out the new Regulation. Most of the Member States were even now still required to adjust their national laws. Only 5 of the 24 national Authorities were able to confirm that they have both the sufficient financial resources and the assets to be able to act adequately.[7]

Dutch Insurance Industry in forefront with new Privacy Code of Conduct

Dutch Insurers and foreign insurers operating in the Netherlands however in general have taken significant measures in order to achieve a compliant operation.
In addition, the Dutch Association of Insurers, the sector organisation for the insurance industry, has also acted progressively by drawing up a new Privacy Code of Conduct, the so called “Gedragscode Verwerking Persoonsgegevens Verzekeraars”, which is grafted onto the GDPR and will be submitted for approval to all the Insurers affiliated at the General Members’ Meeting on 20 June 2018.
This Code of Conduct replaces the previous code that was obsolete, partly in view of the both new and advanced technologies in the use of personal data. In case of an affirmative vote by a majority of the Members, this Code of Conduct for insurers will acquire the status of binding self-regulation. Authorised brokers and intermediaries may also choose to commit to the Code of Conduct.
In the Code of Conduct the GDPR is translated into a set of concrete rules for the insurance industry. Important topics are the large-scale analysis of personal data by insurers for determining the premium, and the processing of personal data for the safety and integrity of the sector. The Code of Conduct has not yet been certified in the sense of art. 40 GDPR, because further detailed Directives of the European supervisors are still being prepared.

The implementation of the GDPR in the Netherlands has thus been approached at a sector wide level. The scarce enforcement capacity of the Dutch data protection authority is therefore not expected to be primarily aimed at insurers. Or, as the Dutch data protection authority in an interview with the Dutch Association of Insurers stated: “I do not worry so much about insurers. I have the impression that the sector is well organized.”

[1] “Privacy watchdog with big plans and tight budget”, De Volkskrant, 24 may 2018

[2] “Unrest with privacy watchdog Authority Personal Data”, Het Financieele Dagblad and “Administrative disputes limit authority to the Personal Data Authority”, NOS, 25 mei 2018.

[3] “Dekker is looking for third board member of the Authority for Personal Data”, Het Financieele Dagblad

[4] “Dekker:” not immediately fine for football club due to new privacy law, NOS, 24 mei 2018.

[5] “Minister Dekker: Smaller organizations do not have to expect immediate penalties by AVG”, Algemeen Dagblad, 24 mei 2018.

[6] “Minister speaks in turn about enforcement of privacy law”Het Financieele Dagblad

[7] https://www.reuters.com/article/us-europe-privacy-analysis/european-regulators-were-not-ready-for-new-privacy-law-idUSKBN1I915X

Wanneer is een FG verplicht?

Art. 37 van de AVG stelt een FG verplicht voor:

• overheden en publieke organisaties (rijksoverheid, gemeenten en provincies, maar ook zorg- en onderwijsinstellingen), ongeacht het type gegevens dat zij verwerken. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.
• organisaties die als kernactiviteit op grote schaal individuen volgen of diens activiteiten in kaart brengen (bijvoorbeeld door profiling, cameratoezicht of personeelvolgsystemen).
• organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken (zoals gezondheidsgegevens en gegevens over ras, politieke opvatting, geloofsovertuiging, seksuele geaardheid of strafrechtelijk verleden)

Waaraan moet een aanmelding FG voldoen?

FG-aanmeldingen moeten via een speciaal op de website van de AP opgenomen “aanmeldingsformulier functionaris voor de gegevensbescherming (FG)” bij de AP worden gedaan.

Let op: eerdere FG-aanmeldingen waarvoor niet dit speciale webformulier van de AP is gebruikt zijn per 25 mei 2018 vervallen. Ook een vrijwillig aangestelde FG moet met dit webfomulier worden aangemeld.

Doorstaat úw bedrijf de toets?

Inmiddels heeft de AP als volgende stap aangekondigd in de private sector tot controle van FG-aanmeldingen over te gaan.

Het is dus aanbevolen binnen uw organisatie niet alleen na te gaan of aan de verplichting tot het aanmelden van de FG is voldaan, maar ook of dit met het door de AP voorgeschreven webformulier is gebeurd.

Mocht u nog vragen hebben over dit onderwerp, dan kunt u contact opnemen met Astrid van Noort.

Bedrijven moeten dan hun gegevensverwerking goed op orde hebben als ze het risico op hoge boetes of reputatieschade willen vermijden. Dit artikel gaat in op de noodzaak voor ondernemers om zich bewust te zijn van deze nieuwe wetgeving, welke maatregelen zij moeten treffen, hoe het zit met de bewijslast en het internationale gegevensverkeer.

Lees hier het artikel.

Mocht u nog vragen hebben over dit onderwerp, dan kunt u contact opnemen met Astrid van Noort of ons team Privacy Desk.