Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties

De Autoriteit Persoonsgegevens heeft in de eerste week van dit jaar naar eigen zeggen twintig meldingen over datalekken binnengekregen. Dat is minder dan in eerste instantie werd verwacht. Organisaties zijn sinds 1 januari verplicht datalekken aan de toezichthouder te melden.

autoriteit persoonsgegevensEind vorig jaar uitte voorzitter Jacob Kohnstamm nog bezorgdheid over een tekort aan personeel. De huidige berichtgeving duidt erop dat de toezichthouder niet, zoals werd gevreesd, is overspoeld door meldingen van datalekken. Een woordvoerder laat aan Tweakers weten dat dit niet betekent dat de zorgen over tekorten bij de Autoriteit Persoonsgegevens zijn weggenomen. Door het uitgebreide takenpakket is er nog altijd meer personeel nodig.

Bedrijven zijn sinds 1 januari verplicht een datalek bij de toezichthouder te melden. Doen zij dit niet, dan kan in bepaalde gevallen een boete tot 820.000 euro opgelegd worden. De woordvoerder kon geen informatie verschaffen over de aard van de meldingen die tot nu toe zijn binnengekomen.

De Autoriteit Persoonsgegevens presenteerde onlangs haar nieuwe logo, dit is hierboven weergegeven. Het maakt onderdeel uit van de nieuwe identiteit van de toezichthouder, die vóór 1 januari nog 'College bescherming persoonsgegevens' heette, samen met nieuwe taken en bevoegdheden.

Bijna de helft van de Nederlandse consumenten vertrouwt de manier waarop bedrijven met hun persoonsgegevens omgaan niet, zo blijkt uit een recent onderzoek. Het is de vraag welke invloed de meldplicht en een toezichthouder met meer bevoegdheden op dit beeld zullen hebben.

Moderatie-faq Wijzig weergave

Reacties (37)

De reacties lezend zijn er nog wel wat onduidelijkheden over de nieuwe wetgeving (terecht). Het CBP (nu autoriteit persoonsgegevens) heeft de richtlijnen ook pas vlak voor de jaarwisseling gepubliceerd.

Wij zijn er (bij gebrek aan een privacy officier, die je eigenlijk moet aanstellen) ook mee aan het worstelen geweest.
Even kort door de bocht, bij een potentieel datalek krijg je 72 uur de tijd zelf onderzoek in te stellen. Als daaruit komt dat je voldoende aannemelijk kan maken dat data niet is gelekt hoef je het niet te melden. Dit is echter wel heel moeilijk.
Stel je hebt netjes een virus scanner, en de on-demand scan onderschept een virus is dit geen potentieel datalek, het is immers "Live" geconstateerd. Doe je echter een periodieke scan over bv je file server en vind je dan een virus heb je wel een potentieel datalek, je weet namelijk niet wat het virus/trojan/ransomware tussen het moment van besmetten en herkend worden precies aan data naar buiten heeft gestuurd.
Stel je verliest een laptop, als je software hebt waarmee je gecertificeerd data remote kan wissen, en je gebruik data encryptie zit je ook wel goed. Maar bijvoorbeeld een usb stick zonder wachtwoord met een excel dump van je klantenbestand en je hebt wel een probleem.

Als je dan eenmaal een datalek meld moet je zien te achterhalen of dit (ernstige) nadelen kan hebben voor de eigenaars van de gegevens (kort door de bocht, je klanten). Denk hier aan identiteitsfraude bijvoorbeeld. Dan ben je niet alleen verplicht het te melden aan de autoriteit, maar moet je uit voorzorg hier ook al je klanten van op de hoogte brengen.

Dit alles als je meer dan 5000 unieke natuurlijke personen in je systemen hebt opgeslagen. Rechtspersonen (bedrijven dus) vallen hier niet onder. Je eigen werknemers weer wel.

Deze meldplicht datalekken is pas het topje van de ijsberg van de nieuwe regelgeving die uit Brussel gaat komen. (GDPR)
En hoe zit het dan met stukken software die van buitenlandse makelij zijn, die een datacenter hebben in Nederland(of zou moeten hebben volgens het contract) maar vervolgens alles syncen naar bijv amerika, omdat het een amerikaans bedrijf is en onder die wetgeving valt. Een voorbeeld is het Elektronisch Patienten Dossier, genaamd EPIC (fail?)
al de datalekken worden afdekt ook op buitenlandsgebied. Richtlijn is wel dat het om Nederlandse onderdanen moet gaan

(er kan dus geen datalek zijn waar de AP iets over zegt als het om buitenlandse medewerkers gaat)
It's not a bug, it's a feature. :+
Ik verbaas mij eigenlijk wel over de hoeveelheid. Ik denk dat meeste bedrijven nog het water aan het testen zijn en daarnaast dit ook niet heel hoog op hun priolijst staat. Dus zo verassend is ook niet weer. Denk voornamelijk dat dit bedrijven zijn waarbij de druk groter is tot de verplichting. Denk bijvoorbeeld aan overheidsinstanties en dergelijke.
vraag me ook sterk af hoe je kan bewijzen dat ze wisten dat er een data lek was?
Een bedrijf hoeft alleen maar te zeggen wij wisten niet dat er een lek was om onder zon boete uit te kruipen.
Meestal komt zo'n lek via een onderzoeksjournalist naar buiten. Die heeft daarvoor waarschijnlijk al meerdere keren contact proberen te zoeken en zal het waarschijnlijk ook bij deze AP melden.

Een rechter of de AP zal echt niet zomaar meegaan in de redenatie dat toevallig alle mailtjes in de spamfilter zijn blijven hangen, dat telefoontjes bij de verkeerde persoon terecht kwamen en dat er niemand het nieuws volgt.

Persoonsgegevens verwerken geeft een beetje verantwoordelijkheid, net zoals je in bepaalde situaties een BHV-er of vertrouwenspersoon nodig hebt. Als je een potje maakt van procedures en regels, dan hoef je weinige 'coulance' te verwachten. Of het om brand, intimidatie of een datalek gaat maakt daarin weinig uit. Bij ChemiePack worden ze ook gewoon gestraft, omdat ze het hadden moeten weten, ongeacht of ze het wisten.
Dit gaat niet op aangezien er hier omgekeerde bewijslast geldt. Je dient als bedrijf aan te tonen welke acties je hebt ondernomen om lekken te voorkomen. Er wordt namelijk verondersteld dat je als organisatie deze kennis in huis hebt of hebt kunnen verkrijgen door bijvoorbeeld inhuur van expertise.
Hoe ver dit kan gaan is mij nog niet helder. In het geval van een verloren usb key kan het simpel zijn als je kunt aantonen dat hierop encryptie is toegepast, voor bijvoorbeeld webservers en databases wordt het al lastiger
Je kan niet van de ene op de andere dag wettelijk verplicht maken dat persoonsgegevens van nauwelijks naar heel goed beveiligd moeten worden. Dat werkt niet. Daar moet je langzaam naar toe werken. Dit aanstellen van een autoriteit is daar een stap in.

Nu lijkt het er op dat die autoriteit nog niet veel tanden heeft, maar dat kan later nog komen.
Het is nu al wettelijk verplicht om, wanneer je omgaat met persoonsgegevens, deze op alle punten (dus van invoer tot opslag) te beveiligen volgens de huidige stand der techniek. Het is wellicht discutabel wat dat exact omhelst, maar 'nauwelijks' is zeker te weinig.
Als aantoonbaar een audit is gedaan, penetratie test, gegevens op straat liggen, of een hacker per e-mail het bedrijf in kwestie op de hoogte heeft gesteld van een lek moet het bedrijf hiervan dus geweten hebben.

[Reactie gewijzigd door Ghost Dog op 8 januari 2016 17:17]

Een bedrijf hoeft alleen maar te zeggen wij wisten niet dat er een lek was om onder zon boete uit te kruipen.

... tenzij de security niet op orde was. Immers niet weten omdat je gewoonweg een slecht systeem hebt maakt je weer strafbaar op dat gebied.
Hier kan best een heleboel 'achterstallig onderhoud' bij zitten, d.w.z. lekken die in de afgelopen maanden zijn gevonden maar nog niet zijn gedicht. Kwalijke zaak misschien, maar niet alle lekken worden actief misbruikt, en bovendien kan zo'n melding gebruikt worden als pressiemiddel voor de softwareleverancier om er nou eindelijk eens wat aan te doen.

Ik weet niet hoeveel bedrijven en organisaties er in Nederland zijn met een (of meerdere) persoonsgegevensdatabase, maar ik gok zo dat het er vele duizenden zijn. Zo bezien valt 20 lekke databases nog reuze mee.
Je gaat doorgaans niet als bedrijf pro-actief op zoek naar lekken.
Dit hoort uiteraard wel periodiek, maar ze gaan nu niet tig extra testen gaan lopen aanschaffen, omdat er toevallig een overheid site-tje online staat.

Ik vermoed daar ook een lek in; kans is vrij groot.
Op mijn werk gebruiken ze nog windows xp en office 2003. Hier zitten natuurlijk ook datalekken in . Wij hebben wel klantgegevens. Valt dit ook onder dit (datalek)?

P.s ik ben geen systeembeheerder en heb dit al verschillende keren aangekaart.
In Win XP en Office zitten geen "datalekken", net zoals er in een emmer met een gat geen "waterlek" zit. Een datalek is niet het gat zelf, maar gaat over de gebeurtenis dat er daadwerkelijk data naar buiten is gelekt, niet dat het potentieel mogelijk is.
Dank je voor de info . Ik stelde mijn vraag denk ik verkeerd .

Door de lekken die in windows xp zitten en niet meer gedicht word kunnen er klantengegevens ontvreemd worden en dan wordt het dus een datalek .
Ten eerste kan het gewoon zo zijn dat je werk nog officieel support heeft (Ja, dat kan gewoon nog op XP) en dus wel 'dicht' is. Ten tweede moet je even alles opnieuw lezen. Het is pas een datalek, op het moment dat het echt lekt.. Jij gaat er maar vanuit dat het kan, en dan kan ik je wellicht verassen maar -alles- op de wereld is lek en kan potentieel gezien echt data gaan lekken..
OT :
Door de lekken die in windows xp zitten en niet meer gedicht word ...
http://www.pcmweb.nl/nieu...rijgen-registry-hack.html

je kunt nog XP updates krijgen via extended support.
En zelfs dan: als het op een afgesloten intranet zit, zonder browser en e-mail, dan lekt het allen via usb stcks, telefoons en papier(!).

Die organisaties bestaan ook nog, waar je moet internetten op een semi publieke pc in de gang.
Je maakt een grapje, toch?
Waarom zou je dan die aparte PC gebruiken, dan kijk je internet wel op je telefoon, toch?

[Reactie gewijzigd door djwice op 9 januari 2016 15:32]

beveiligheidsrisco is niet gelijk aan een datalek
waar vinden we de gerapporteerde lekken?
Vind ik een goede opmerking. Openheid van zaken. Zou bij alle overheids-inspecties en -toezichthouders moeten gelden, zoals Voedsel en Waren. Dat zou een betere stok achter de deur zijn dan een boete die vaak toch niet toegekend wordt.
En nu maar hopen dat de site van de Autoriteit Persoonsgegevens niet lek is, anders wordt dit prijsschieten voor hackers... :+
Dat V&D logo schept weinig vertrouwen....
Zal wel onduidelijkheid zijn over definities. Ziekenhuizen melden dingen ook niet, omdat het complicaties zijn i.p.v. fouten.
Bedrijven met meer dan 5000 datapunten moeten al aan deze wet voldoen. Een webshop met 5000 contactpersonen moet een eventueel lek dus al melden.
Dus je weet eigenlijk niet hoe het zet met de wetgeving en gaat blind van je eigen opvatting erover uit? Je maakt stellingen over een onderwerp zonder enige bewijzen hiervoor?

Bewerk: je reactie heeft werkelijk niets met het bovenstaande te maken... jij maakt een stelling zonder enige bewijzen. Alsof je al zeker weet dat iets zo is zonder dat ditgeen bewezen is.

[Reactie gewijzigd door Sacron op 8 januari 2016 21:47]

Iets wat is opgeschreven zal zich in de praktijk moeten bewijzen. Anders hadden we geen jurisprudentie en reparatiewetgeving.
Datalekken kunnen ook slordigheden van personeel zijn. In de zorg bijvoorbeeld cliëntinformatie naar een verwant e-mailen en een typefout in het adres maken...
Of een cc: ipv. een bcc: bij een mailinglist.
Sowieso, als je een BCC veld gebruikt voor meer dan alleen zeer incidentele mededelingen naar beperkte groepjes mensen doe je het gewoon fout. Zeker als bedrijf.
Mensen hoor je gewoon in het aan veld te mailen (en met deftige aanhef e.d.), als je dat niet zelf als zodanig kan automatiseren met bijvoorbeeld een excel file en word (mail merge...) kan je nog altijd één van de honderden massa mail programma's gebruiken die er bestaan.

BCC is bedoeld om mensen ongezien mee te nemen in e-mails. Dat men het geregeld gebruikt voor massa-mailings is een lelijke function creep waarvan ik persoonlijk vind dat je dat anno nu echt niet meer kan maken.

[Reactie gewijzigd door Alpha Bootis op 9 januari 2016 01:54]

De praktijk is dat niet iedereen zo hangt aan digitale etiquette, niet bekend is met speciale mailprogramma's en al helemaal de moeite niet neemt om zich daarin te verdiepen.

Als Henk en Ingrid een digitale kerstkaart versturen, heb ik liever dat ze bcc-en in plaats van mijn mailadres zichtbaar naar hun halve adressenboek te sturen. Er hoeft daarna maar één PC een virus op te lopen en je staat weer op een nieuwe spamlijst.
De Henk en Ingrid's die ik ken plempen gewoon iedereen in het AAN veld. En als je een kerstkaart ofzo verstuurd is dat ook prima. Meestal ben je dan ook wel een vage bekende van elkaar en heb je elkaars mailadres toch wel.
Mijn relaas baseert zich meer als je mailings doet waar het karakter professioneler moet zijn. Dus eigenlijk gewoon alles wat niet van Henk en Ingrid komt voor kerst zeg maar.

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True