Privacy update: over cybersecurity, Britse privacyboetes en dynamische IP-adressen

G7 neemt Cybersecurity richtlijnen aan voor de financiële sector

De G7, de groep van de zeven belangrijkste industrielanden, heeft een document met acht belangrijke actiepunten aangenomen om de beveiliging van netwerken binnen de financiële sector te verhogen.

De “Fundamental Elements of Cybersecurity for the Financial Sector” bevatten enkele best practices voor zowel de publieke als private ondernemingen uit de financiële sector. In acht actiepunten wil het ondernemingen helpen om hun cybersecuritystrategie uit te bouwen, te implementeren en op een continuë basis verder uit te bouwen.

De richtlijnen zijn niet bindend, toch worden overheden opgeroepen om de richtsnoeren te gebruiken als leidraad in hun beleid. Hoewel deze richtlijnen specifiek gericht zijn op de financiële sector, wordt verwacht dat de internationale samenwerking op het gebied van cyber standards zal blijven groeien.

Britse ICO besluit tot fikse boete voor TalkTalk voor “data breach”

Op 5 oktober kondigde de Britse privacyauthoriteit, de “Information Commissioner’s Office” (ICO), aan een recordboete van £400.000 op te leggen aan de Britse communicatiespeler TalkTalk Telecom Group PLC. TalkTalk werd het slachtoffer van een “data breach“, waarbij de persoonsgegevens van 156 959 TalkTalk consumenten onthuld werden.

Hoewel TalkTalk de gegevens niet zelf publiek had gemaakt, oordeelde het ICO dat TalkTalk onvoldoende passende beveiligingsmaatregelen had genomen om de gegevens te beveiligen, waardoor het de Britse Data Protection Act (DPA) van 1998 had geschonden. Volgens die DPA kan een geldboete van maximaal £500.000 worden opgelegd, bij ernstige schendingen van de DPA, met een risico op ernstige schade, terwijl de verantwoordelijke voor de verwerking minstens redelijkerwijze op de hoogte kon zijn van dat risico en zonder gepaste maatregelen te nemen.

Het oordeel van de ICO kan hier worden geraadpleegd.

“Best practices” voor privacyverklaringen

De Britse ICO deelt niet louter boetes uit, maar geeft evenzeer aanbevelingen – net zoals de Belgische Privacycommissie trouwens.

Een recente aanbeveling “Privacy notices, transparency and control” werd gegeven omtrent de informatie die ondernemingen moeten geven aan betrokkenen met betrekking tot de verwerking van hun persoonsgegevens. Deze informatie wordt doorgaans verstrekt door middel van een privacyverklaring. De aanbeveling bevat verschillende “best practices” bij het opstellen van dergelijke verklaringen.

Opmerkelijk is dat de ICO aangeeft dat de richtlijnen niet alleen zouden helpen bij het conformeren aan de Britse Data Protection Act (DPA) van 1998, maar ook aan de Europese Algemene Verordening Gegevensbescherming (AVGB) die pas in mei 2018 in werking zal treden. Daarmee heeft de ICO een aanzet gegeven als individuele privacyauthoriteit om aanbevelingen te geven die relevant zijn voor de ganse Europese zone.

De aanbeveling geeft richtsnoeren en tips voor het opstellen en plaatsen van transparante en toegankelijke privacyverklaringen. Uiteraard heeft elke onderneming specifieke vereisten en moet rekening gehouden worden met ‘IoT’-toepassingen, de verkoop van gegevens of het voeren van een “big data” analyse.

Dynamische IP-adressen als persoonsgegevens

Dat een IP-adres beschouwd moet worden als een persoonsgegevens jegens de betrokken internetprovider, weten we ondertussen al even dankzij het arrest Scarlet Extended van het Europees Hof van Justitie (Hof van Justitie, 24 november 2011, Scarlet Extended, C‑70/10, punt 51). In dit geval werden dynamische IP-adressen van abonnees geregistreerd door de provider, waarbij deze laatste ook wist wie er achter het IP-adres zat. Daarmee kon het IP-adres gekoppeld worden aan een identificeerbaar persoon en was het dus een persoonsgegeven.

Recent kreeg het Hof van Justitie een andere vraag, waarbij de Duitse federale overheid (dynamische) IP-adressen registreerde bij ieder bezoek aan haar websites door de verschillende bezoekers, zulks voor analyse van het gebruik van de betrokken websites. De Duitse overheid registreerde dan wel de IP-adressen, maar had zelf geen idee wie er precies achter die IP-adressen zat. Zij miste immers de abonneeinformatie die een persoon koppelt aan het IP-adres dat daaraan werd toegekend. Enkel de internetprovider heeft deze informatie.

In haar Breyer-arrest oordeeelde het Hof van Justitie dat het IP-adres in dit geval ook moest beschouwd worden als een persoonsgegeven. Hoewel de Duitse overheid dan niet op eigen kracht in staat was om de identiteit van de bezoeker te achterhalen, kan deze wel procedures aanwenden om de daarvoor ontbrekende informatie bij de internetproviders op te vorderen. Ook het “indirect” in staat stellen om een individu te identificeren is voldoende om over een persoonsgegeven te spreken. Daartoe moet gekeken worden naar alle middelen die redelijkerwijze ingezet kunnen worden om tot identificatie te komen; buitenproportionele inspanningen zijn van geen tel.

Volgens het “objectief” criterium is een gegeven steeds een persoonsgegeven voor de verantwoordelijke, ook wanneer enkel derden het gegeven in verband kunnen brengen met een individu. Volgens het “relatief” criterium is een gegeven enkel een persoonsgegeven voor de derde partij die het verband kan leggen tussen het gegeven en het individu, maar niet voor de verantwoordelijke die dat verband niet kan leggen. Met haar uitspraak neigt het Hof van Justitie eerder naar een relatief criterium, voor zover het geen buitenproportionele inspanningen vergt om de ontbrekende informatie voor identificatie te verkrijgen.

Het Breyer-arrest heeft zo een proef aangereikt om te beoordelen of een bepaald gegeven moet beschouwd worden als een persoonsgegeven. Daarbij lijkt de voorkeur te zijn gegeven aan een genuanceerd relatief criterium, en lijkt het objectieve criterium voorlopig verlaten.

Lisa Botteldoorn & Andries Hofkens

Wilt u meer informatie over privacy en gegevensbescherming? Email naar andries@siriuslegal.be of bel naar 02/721 13 00