Ik vind het wetsvoorstel irrelevant. Het is namelijk een wetsvoorstel dat niet de kern van het probleem aanpakt, maar slechts ingaat op de gevolgen van het probleem.
Ik vind het deel van de oplossing. Deze wet op zich gaat datalekken niet voorkomen. Helemaal voorkomen lijkt voorlopig ook onmogelijk. We moeten er dus mee leren leven dat er data gelekt wordt. Mensen informeren zodat ze er rekening mee kunnen houden is het enige dat je nog kan doen als er al gelekt is.
Het probleem is dat we in Nederland (net als in de rest van de wereld) onvoldoende grip hebben op informatiebeveiliging.
<knip>
Het internet staat vol met informatie over deze bekende kwetsbaarheden, maar daar wordt onvoldoende naar gekeken. Ook maak ik auditors vanuit accountsbureau's mee die puur naar de letter van een maatregel kijken
Ik ben het helemaal met je eens dat het een een puinhoop is. Een belangrijke reden hiervoor is dat het lekken van data dusver nauwelijks consequenties heeft voor de bedrijven die lek zijn. Als ze het ontdekken wordt het snel in de doofpot gestopt en niemand die er wat aan kan doen. Het probleem oplossen kost geld, het negeren is gratis. De lasten komen bij de klanten/gebruikers terecht maar die weten van niks en kunnen er niks aan doen.
Deze wet maakt dat er wel consequenties zijn aan het lekken van data. Bedrijven die hun verantwoordelijkheden negeren kunnen een boete krijgen. Daarmee is er een stimulans om het wel goed te doen.
Onlangs is de NEN 7510 kostenloos beschikbaar gemaakt. Dit zijn initiatieven die ik toejuig. Ik denk ook dat we het in die richting zoeken moeten.
Dat is inderdaad een goede ontwikkeling maar er zijn te veel bedrijven die niks doen wat geen geld oplevert. Net zoals er allerlei bedrijven waren die hun afval in de natuur bleven dumpen ook al waren er goede methodes om van het afval af te komen. Je hebt zowel een wortel als een stok nodig.
Er is bij veel mensen en organisaties nog onvoldoende kennis over informatiebeveiliging. Pak dat aan. Geef informatie
<knip>
Voor veel midden- en kleinbedrijven die met vertrouwelijke informatie werken is dat een te hoge drempel. Zeker als niet duidelijk is wat je ervoor terug krijgt of hoe je dat moet beoordelen.
Die kennis bestaat maar er is weinig motivatie om er iets mee te doen. Beveiliging zal altijd het werk van IT'ers blijven. Die weten vaak best dat het niet is zoals het hoort te zijn maar ze kunnen geen bussinesscase maken waarom het anders moet. Deze wet helpt om hun bazen in te laten zien dat er geinvesteerd moet worden.
Bedrijven verplicht datalekken laten melden geeft hen niet opeens het inzicht hoe het dan wel moet. De meldplicht haalt de onduidelijkheid over hoe informatiebeveiliging op een goede manier in te richten niet weg.
Ik snap je punt maar weet niet hoe ik een wet zou moeten formuleren die echt veiligheid geeft zonder veel te specifiek te zijn. Je wil geen wet die alleen van toepassing is op Exchange 2013 of die na drie jaar volledig ingehaald is door de techniek.
Ik ben voor een wet die zegt dat je voor een adequate beveiliging moet zorgen maar tegen een wet die gaat uitspellen hoe dat dan moet. Daarvoor is de techniek nog te veranderlijk en zijn er te veel uitzonderingen.
Je zou bijvoorbeeld een virusscanner wettelijk verplicht kunnen maken. Zolang je wereld uit Windows desktops bestaat is dat een redelijke verplichting maar in de embedded wereld is dat een no-go. Op mijn Linux-desktop kan ik een half dozijn virusscanners installeren waar ik niks aan heb omdat ze gericht zijn op e-mailservers. Daar ga je nooit uitkomen. Daarom zie ik liever een brede wet die zegt "je mag geen data lekken" dan een wet die probeert uit te leggen hoe dat moet.