Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties, 13.614 views •

Nederlandse bedrijven moeten het voortaan aan klanten melden als door een lek of hack persoonlijke gegevens in handen van derden kunnen zijn gevallen. De meldplicht voor datalekken gaat gelden voor aanbieders van informatiediensten.

Het is nog onduidelijk wie er precies onder vallen, maar het kabinet noemt banken en verzekeringsmaatschappijen als voorbeelden van bedrijven die een meldplicht krijgen. Ook overheidsinstanties vallen onder de nieuwe regels. Wanneer de meldplicht ingaat, is onduidelijk. Het kabinet gaat de Wet bescherming persoonsgegevens aanpassen om de meldplicht erin op te nemen.

De wetswijziging verplicht die bedrijven om niet alleen klanten te melden als door een hack of lek persoonsgegevens kunnen zijn ontvreemd, maar ook toezichthouder College Bescherming Persoonsgegevens moet op de hoogte gesteld worden. Als klanten of het CBP niet op de hoogte worden gesteld, kan een boete worden uitgedeeld. Op dit moment is het melden van datalekken niet verplicht in Nederland. De meldplicht komt niet als een verrassing: de maatregels stond aangekondigd in het regeerakkoord.

Het gebeurt geregeld dat datalekken in de publiciteit komen. Een recent voorbeeld is de ontvreemding van accountgegevens van 77 miljoen leden van PlayStation Network. Andere bekende voorbeelden zijn die van NL Energie, waarbij gegevens van alle klanten op straat kwamen te liggen en Kasboek.nl, dat per abuis financiële gegevens van duizenden klanten openbaarde.

Er is voor privacyvoorvechters niet alleen goed nieuws van het kabinet: in dezelfde wet wordt opgenomen dat camerabeelden die bedrijven en particulieren maken voor hun eigen veiligheid voortaan vier weken mogen worden bewaard. Nu staat die termijn op 24 uur. Met de maatregel wil de overheid cameracontrole aantrekkelijker maken voor bedrijven en particulieren.

Reacties (35)

Ik weet niet hoe het zit in BelgiŽ hiermee, maar dit vind ik wel een goede regeling. Als dat hier in BelgiŽ nog niet moet wordt dat misschien wel eens tijd...
Inderdaad als je een fout maakt moet je er ook voor uitkomen als je een beetje wat bent als bedrijf. Belgie moet dit ook snel doen kunnen die het misschien nog voor zijn alle fouten die hier in NL al zijn geweest -_-' je wordt er gewoon moe van.
Maar welk bedrijf weet wanneer er sprake van een lek aanwezig is?
En welk bedrijf zal dit werkelijk bekend maken? als het bedrijf niks meld is er ook niks bekend.

Niet iedereen is op de hoogte wanneer er data gelekt is of beschikt over de kennis om dit te detecteren.
We hebben nog niet eens een regering :p Ik denk dat je wel even zal moeten wachten
Altijd te laat dit soort maatregelen....

Die gegevens liggen nu al op straat......
er moet altijd eerst iets misgaan voor dat men een oplossing gaat bedenken of maatregelen gaat nemen om het te voorkomen, ik ben al lang blij dat ze nu wakker zijn geworden en iets gaan doen aan het probleem.
Anders ook toch, alleen hadden ze het dan meteen moeten melden ;)
Het is ook geen maatregel tegen het uitlekken van gegevens, daar moeten bedrijven zelf doen. Het zorgt dat het minder makkelijk in de doofpot kan, bedrijven MOETEN nu hun klanten inlichten, ik zou het graag weten als mijn gegevens gestolen worden.
Ik denk dat de overheid druk genoeg is het het dempen van putten waar al kalveren in zijn verdronken (om te voorkomen dat er meer volgen), dan te bedenken welke putten er nog meer zijn.

En wat ook zo is: als je iets bedenkt over een meldplicht, neem ik aan dat je eerst vertrouwt op het fatsoen van de bedrijven om het zelf te melden. Nu blijkt dat de bedrijven het uit zichzelf niet doen, wordt het tijd om het via de wet af te dwingen.
Een wet of geen wet zal het er door veranderen?
Een bedrijf die zijn netwerk door derden heeft op laten zetten, hoe moet die in staat zijn dit soort situaties te herkennen?

Ik denk dat daarom naast de wet meer ervoor nodig is.
Goede zaak, nu weet je nooit of je gegevens nu wel of niet op straat liggen, lijkt me met persoonlijke gegevens toch niet erg prettig ivm privacy etc.

Waarom trouwens niet voor ALLE bedrijven, instellingen, clubs etc zo'n meldplicht? Lijkt me dat het net zo kwalijk is als je prive gegevens op straat komen te liggen als het via commerciele bedrijven gaat, dan wanneer het via een verzekeraar gebeurt.
Een verzekeraar is een commercieel bedrijf.
De meeste wel, maar niet alle. Univť profileert zichzelf bijvoorbeeld als vereniging zonder winstoogmerk, wat inhoudt dat hun doel is om hun leden zo goed mogelijke producten te bieden. Het zou daarom wel fijn zijn als alle bedrijven/clubs/verenigingen zo'n meldplicht krijgen. Ook bijvoorbeeld de plaatselijke voetbalclub, als die namelijk ook gegevens van oud-leden bewaart dan gaat het snel...
Een verzekeraar is een commercieel bedrijf.
Niet allemaal, zoals ari hierboven al opmerkt.

Daarnaast heb je nog meer commerciele bedrijven, zoals winkels, webshops etc etc, en daar geld deze regeling dus niet voor. En wat mij betreft zou het ook voor hen gewoon mogen gelden.

Het is immers net zo erg als je gegevens via hen op straat komen te liggen, als wanneer dat via een verzekeraar o.i.d. gaat.
Dat moet toch pijnlijk zijn voor een bedrijf, al hun klanten moeten mailen dat ze hun vertrouwelijke informatie kwijt zijn.. En dat is maar goed ook, dan is de impuls om het goed te beschermen tenminste hoger! Nu kan het maar beter in de doofpot gestopt worden, aangezien de imagoschade dan nul tot nauwelijks is.

Wat is het nut van extra lange opslag van camerabeelden? Het lijkt me toch wel dat een misdrijf binnen 24 uur bekend is, anders klopt er sowieso iets niet.
Een bedrijf dat alleen op werkdagen open is, vrijdag avond een overval die pas maandagochtend wordt opgemerkt?
Het lijkt me toch wel dat een misdrijf binnen 24 uur bekend is, anders klopt er sowieso iets niet.
Diefstal bijvoorbeeld kan best pas later, bij het natellen van de voorraad ontdekt worden. Als een medewerker een laptop van de stapel van honderd haalt hoeft dat lang niet altijd binnen 24 uur ontdekt te worden.
Nederlandse bedrijven moeten het voortaan aan klanten melden als door een lek of hack persoonlijke gegevens in handen van derden kunnen zijn gevallen.
Ik vind dat deze maatregel ook moet gelden voor overheidsdiensten, en niet alleen voor het bedrijfsleven. Hoe vaak komt het niet voor dat een medewerker van justitie of defensie een usb-stick laat slingeren of zijn PC met HD bij het grofvuil zet?

Kijk eens in het zwartboek datalekken van Bits of Freedom. Daar zie je ook regelmatig falende overheidsdiensten voorbij komen.

https://www.bof.nl/category/zwartboek-datalekken/
[...]


Ik vind dat deze maatregel ook moet gelden voor overheidsdiensten
Dat gebeurt toch ook?
Ook overheidsinstanties vallen onder de nieuwe regels
Staat letterlijk in het artikel.
Hoe vaak komt het niet voor dat een medewerker van justitie of defensie een usb-stick laat slingeren of zijn PC met HD bij het grofvuil zet?
En jij denkt dat dat alleen bij overheidsinstanties is? Ik kan je, met 15 jaar ervaring, garanderen dat dat in het bedrijfsleven net zo vaak, zoniet vaker, gebeurt.
Mij lijkt het een voorbarige statement dat het bedrijfsleven nonchalant(er) met gegevens omgaat dan de overheid. Net zoals vele tweakers kan ik niet meer dan enkel het nieuws lezen maar hoevaak ik niet lees dat de overheid een 'oepsie' doet en dan tot in de domste zin door simpelweg tassen met gegevens achter te laten is ongekend. Ook denk ik dat de incentive voor het bedrijfsleven om geheimen geheim te houden beduidend hoger is, uiteindelijk als ik mijn klapper vergeet wanneer ik buiten de deur ben met bepaalde gegevens staat er contractueel hier zelfs ontslag op.
Verder is het leuk dat de overheid dit oplegd dat men zeker na Sony dit verplicht maar in de US kan het best voorkomen dat de lokale geheime dienst het desbetreffende bedrijf wel iets anders verteld. Mij lijkt dan ook doordat lekkages wereldwijd gebeuren geen haalbare zaak deze enkel in NL te melden, naar mijn inziens dient dit op zijn minst op Europees niveau te gebeuren.
Dat gezegd is het wel spijtig dat het talloze keren fout moet gaan alvorens eindelijk de politiek een beetje wakker schud.
Even doorlezen:
Ook overheidsinstanties vallen onder de nieuwe regels.
Zo'n inleiding is max drie regels lang - en daar past eenmaal niet elk element in :)
Er is voor privacyvoorvechters niet alleen goed nieuws van het kabinet: in dezelfde wet wordt opgenomen dat camerabeelden die bedrijven en particulieren maken voor hun eigen veiligheid voortaan vier weken mogen worden bewaard. Nu staat die termijn op 24 uur.
En wat is hier dan zo slecht aan voor de privacy? Als een bedrijf zich niet houdt aan de 24 uurs termijn, dan zal het bedrijf zich ook wel niet houden aan de 4 weken termijn. Dus het verschil is 0,0.

Ik zou de maatregel willen doortrekken juist. Bedrijven en particulieren worden verplicht om opnames minimaal bijvoorbeeld 2 weken te bewaren.

Nu is het zo dat wanneer je op straat wordt neergeslagen je er als de kippen bij moet zijn om bij de opnames te komen, als je dat als particulier al mag. En aangifte doen bij de politie en dat de politie de opnames als bewijsmateriaal verkrijgt is een kansloos verhaal met de maximale termijn van 24 uur.

Als de minimale termijn van bijvoorbeeld 2 weken wordt doorgevoerd is er veel meer tijd om de opnames te krijgen.

En als er niet is voldaan aan de minimale bewaartermijn dan kan je de gemeente aansprakelijk stellen voor het feit dat er onvoldoende toezicht is gehouden wanneer de opnames weer eens na een dag overschreven zijn...
Als een bedrijf zich niet houdt aan de 24 uurs termijn, dan zal het bedrijf zich ook wel niet houden aan de 4 weken termijn.
Dat is wel wat kort door de bocht. Als een bedrijf een roulatie systeem heeft met 7 tapes, voor elke dag van de week 1 zijn ze nu formeel in overtreding straks niet meer.
Ik kan me wezenloos ergeren aan beveiligers die me vertellen dat je beelden niet langer mag bewaren dan 24 uur. Dat is gewoon keihard niet waar. Nergens in de Wbp staat die termijn genoemd.

De enige plek waar dat getal staat, is in de VRIJSTELLING voor het moeten aanmelden van je cameratoezicht bij het College. Wie meldt, mag beelden 3 maanden bewaren als dat nodig is voor whatever doel hij de camera's hanteert.

Een wetswijziging hiervoor is aperte onzin, dat vrijstellingsbesluit kan de minister per direct zelf herzien.
Ik vraag me af wat de boete is wanneer de bedrijven deze plicht niet nakomen. Als de boete te laag is, zou het me niks verbazen als ze deze op de koop toenoemen en het dus erop gokken de boel niet te melden, onder het mom van imagobescherming.

Het zou niet het gekste zijn dat bedrijven gedaan hebben.
ik vind dit wel een kwalijke zaak
als je beveiliging niet optimaal is dan laat je het toch eerst testen???(of ben ik nu scheef)
huur 1 of 2 hackers kost wel veel misschien maar dan test je het voor dat je in de lucht stuurt want dan weet je zeker of het goed is ja of nee

maar goed we leven nu in een tijd dat geld belangrijker is dan alles he want geld maakt gelukkig zeggen ze /deel mee eens 8)7 \
Beveiliging is een dynamisch iets, iets wat vandaag niet gekraakt kan worden kan dat morgen misschien wel, niemand kan een systeem garanderen wat (in de toekomst) niet gekraakt kan worden, hoeveel geld je er ook tegen aan gooit.

[Reactie gewijzigd door Zer0 op 29 april 2011 21:50]

En zolang de managers zo denken krijg je inderdaad dynamische situaties waarbij het winst van een periode berekent wordt inclusief de bezuinigingen die ALTIJD als eerste bij de IT afdeling op de stoep staat.

Als je de tijd en geld neemt om echte professionals in dienst te nemen en niet voor een project van 3 tot 6 maanden om je beveiliging bij te werken dan kan je makkelijk een waterdichte situatie creŽren.

Helaas blijft het altijd bij "Oeps we hadden toch wel dat IT plan moeten invoeren die we al twee jaar in de kast hebben staan maar maakt niet uit we kunnen wel hackers de schuld geven en aan het eind van het jaar toch nog onze bonus krijgen"
Dat valt ook wel mee. Het is gewoon een kwestie van mensen neerzetten die weten waar ze mee bezig zijn en op voorhand allerlei maatregelen implementeren en daar niet down the road over na gaan zitten denken.
Je weet natuurlijk pas of je beveiliging niet klopt op het moment dat iemand er omheen loopt.... Maar je kan audits laten uitvoeren ja.
Ik denk dat je meer hebt aan it'ers die het betreffende netwerk op hun handje kennen en daar gewoon in blijven investeren.
Alleen Nederlandse bedrijven? Dat zou niet zo handig zijn. Misschien toch maar verkassen naar net over de grens?
Kan dit niet doorgelust worden naar _alle_ bedrijven? Dus ook joop en co als het bestand van 5 medewerkers dat per abuis publiekelijk toegankelijk is?

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True