Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 66 reacties

De meldplicht datalekken, die in februari al door de Tweede Kamer is aangenomen, is nu de Eerste Kamer gepasseerd. Dat betekent dat de wet zal worden ingevoerd, al is nog niet duidelijk wanneer de meldplicht precies ingaat.

Doordat de Eerste Kamer de meldplicht steunt, zal het wetsvoorstel worden omgezet in een wet. Het is nog niet duidelijk wanneer de meldplicht, die bedrijven onder bepaalde voorwaarden verplicht datalekken te melden, in werking treedt. Als de meldplicht in werking treedt, kunnen bedrijven die zich niet aan de meldplicht houden een boete van 450.000 euro krijgen.

Als gevolg van de meldplicht moet in bepaalde gevallen niet alleen de overheid worden ingelicht, maar ook gebruikers die zijn getroffen en die kunnen worden benadeeld door het lek. Dat hoeft echter alleen als sprake is van een ernstig datalek, bijvoorbeeld als medische of andere gevoelige gegevens kunnen worden ingezien. Een datalek is ook ernstig als het gaat om een lek op grote schaal.

Als gevolg van de wetswijziging krijgt het CBP ook de bevoegdheid om hogere boetes op te leggen. Nu gaat het nog om boetes van maximaal 4500 euro, maar in de nieuwe situatie kan het CBP boetes tot 810.000 euro opleggen. Ook wil het kabinet de naam van het CBP wijzigen in de Autoriteit Persoonsgegevens.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (66)

Ik vind het wetsvoorstel irrelevant. Het is namelijk een wetsvoorstel dat niet de kern van het probleem aanpakt, maar slechts ingaat op de gevolgen van het probleem.

Het probleem is dat we in Nederland (net als in de rest van de wereld) onvoldoende grip hebben op informatiebeveiliging. Vele bedrijven die met gevoelige informatie werken hebben nog nooit een risicoanalyse uitgevoerd op de processen en/of systemen waarmee deze vertrouwelijke informatie verwerkt wordt. Laat staan dat ze hun informatiebeveiliging op orde hebben. Vandaag de dag worden nog steeds softwarefouten gemaakt die twintig jaar geleden ook gemaakt werden. Het internet staat vol met informatie over deze bekende kwetsbaarheden, maar daar wordt onvoldoende naar gekeken. Ook maak ik auditors vanuit accountsbureau's mee die puur naar de letter van een maatregel kijken zonder deze maatregel zelf inhoudelijk goed te begrijpen, waarmee ze in feite schijnveiligheid bij bedrijven afdwingen.

Onlangs is de NEN 7510 kostenloos beschikbaar gemaakt. Dit zijn initiatieven die ik toejuig. Ik denk ook dat we het in die richting zoeken moeten. Er is bij veel mensen en organisaties nog onvoldoende kennis over informatiebeveiliging. Pak dat aan. Geef informatie over hoe te beginnen met de verbetering en aanpak van informatiebeveiliging. Hoe stel ik een informatiebeveiligingsbeleid op? Hoe voer ik een risicoanalyse uit? Hoe ga ik met de resultaten van een risicoanalyse aan de slag? Hoe moet ik een beveiligingsstandaard als ISO 27002 en NEN 7510 hanteren? Het is voor veel organisaties nu tasten in het duister of vele tienduizenden euro's besteden aan dure consultants. Voor veel midden- en kleinbedrijven die met vertrouwelijke informatie werken is dat een te hoge drempel. Zeker als niet duidelijk is wat je ervoor terug krijgt of hoe je dat moet beoordelen.

Bedrijven verplicht datalekken laten melden geeft hen niet opeens het inzicht hoe het dan wel moet. De meldplicht haalt de onduidelijkheid over hoe informatiebeveiliging op een goede manier in te richten niet weg. Problemen pak je aan bij de oorzaak, niet bij de gevolgen. De meldplicht is dus dweilen met de kraan open en daardoor totaal irrelevant. Dit wetsvoorstel zal niets verbeteren.
Ik vind het wetsvoorstel irrelevant. Het is namelijk een wetsvoorstel dat niet de kern van het probleem aanpakt, maar slechts ingaat op de gevolgen van het probleem.
Ik vind het deel van de oplossing. Deze wet op zich gaat datalekken niet voorkomen. Helemaal voorkomen lijkt voorlopig ook onmogelijk. We moeten er dus mee leren leven dat er data gelekt wordt. Mensen informeren zodat ze er rekening mee kunnen houden is het enige dat je nog kan doen als er al gelekt is.
Het probleem is dat we in Nederland (net als in de rest van de wereld) onvoldoende grip hebben op informatiebeveiliging.
<knip>
Het internet staat vol met informatie over deze bekende kwetsbaarheden, maar daar wordt onvoldoende naar gekeken. Ook maak ik auditors vanuit accountsbureau's mee die puur naar de letter van een maatregel kijken
Ik ben het helemaal met je eens dat het een een puinhoop is. Een belangrijke reden hiervoor is dat het lekken van data dusver nauwelijks consequenties heeft voor de bedrijven die lek zijn. Als ze het ontdekken wordt het snel in de doofpot gestopt en niemand die er wat aan kan doen. Het probleem oplossen kost geld, het negeren is gratis. De lasten komen bij de klanten/gebruikers terecht maar die weten van niks en kunnen er niks aan doen.

Deze wet maakt dat er wel consequenties zijn aan het lekken van data. Bedrijven die hun verantwoordelijkheden negeren kunnen een boete krijgen. Daarmee is er een stimulans om het wel goed te doen.
Onlangs is de NEN 7510 kostenloos beschikbaar gemaakt. Dit zijn initiatieven die ik toejuig. Ik denk ook dat we het in die richting zoeken moeten.
Dat is inderdaad een goede ontwikkeling maar er zijn te veel bedrijven die niks doen wat geen geld oplevert. Net zoals er allerlei bedrijven waren die hun afval in de natuur bleven dumpen ook al waren er goede methodes om van het afval af te komen. Je hebt zowel een wortel als een stok nodig.
Er is bij veel mensen en organisaties nog onvoldoende kennis over informatiebeveiliging. Pak dat aan. Geef informatie
<knip>
Voor veel midden- en kleinbedrijven die met vertrouwelijke informatie werken is dat een te hoge drempel. Zeker als niet duidelijk is wat je ervoor terug krijgt of hoe je dat moet beoordelen.
Die kennis bestaat maar er is weinig motivatie om er iets mee te doen. Beveiliging zal altijd het werk van IT'ers blijven. Die weten vaak best dat het niet is zoals het hoort te zijn maar ze kunnen geen bussinesscase maken waarom het anders moet. Deze wet helpt om hun bazen in te laten zien dat er geinvesteerd moet worden.
Bedrijven verplicht datalekken laten melden geeft hen niet opeens het inzicht hoe het dan wel moet. De meldplicht haalt de onduidelijkheid over hoe informatiebeveiliging op een goede manier in te richten niet weg.
Ik snap je punt maar weet niet hoe ik een wet zou moeten formuleren die echt veiligheid geeft zonder veel te specifiek te zijn. Je wil geen wet die alleen van toepassing is op Exchange 2013 of die na drie jaar volledig ingehaald is door de techniek.

Ik ben voor een wet die zegt dat je voor een adequate beveiliging moet zorgen maar tegen een wet die gaat uitspellen hoe dat dan moet. Daarvoor is de techniek nog te veranderlijk en zijn er te veel uitzonderingen.

Je zou bijvoorbeeld een virusscanner wettelijk verplicht kunnen maken. Zolang je wereld uit Windows desktops bestaat is dat een redelijke verplichting maar in de embedded wereld is dat een no-go. Op mijn Linux-desktop kan ik een half dozijn virusscanners installeren waar ik niks aan heb omdat ze gericht zijn op e-mailservers. Daar ga je nooit uitkomen. Daarom zie ik liever een brede wet die zegt "je mag geen data lekken" dan een wet die probeert uit te leggen hoe dat moet.
Ik ben het op veel punten met je eens. Ter verduidelijking: ik ben niet tegen de meldplicht datalekken. Ik denk alleen dat het nog te vroeg is voor zo'n wet. Of op z'n minst: de wet alleen is niet voldoende. De wet is de stok om mee te straffen. Eerst de kans bieden om te leren. En ja, er is genoeg kennis beschikbaar, maar als je er zelf geen kennis van hebt, hoe kan je dan inschatten of de kennis van een ander de juiste is? Er wordt namelijk ook een boel gebakken lucht verkocht als het gaat om ICT / informatiebeveiliging. Is tenminste mijn ervaring na 10+ jaar werken in de informatiebeveiliging. Mijn advies is dat de overheid hier een leidende rol in speelt. Mooie klus voor het NCSC. Doen die ook eens wat nuttigs...
Er wordt namelijk ook een boel gebakken lucht verkocht als het gaat om ICT / informatiebeveiliging. Is tenminste mijn ervaring na 10+ jaar werken in de informatiebeveiliging. Mijn advies is dat de overheid hier een leidende rol in speelt. Mooie klus voor het NCSC.
Ik heb het idee dat de overheid net zo goed slachtoffer van die gebakken lucht is. Het mantra lijkt vaak "als het maar gecertificeerd is". Door wie en wat die certificering dan precies inhoud lijkt daarmee vaak naar de achtergrond te verdwijnen. Zie bijvoorbeeld de hele certificering rondom stemcomputers in 2006/2007. Die waren ook getest en gecertificeerd op veiligheid. Dat het niets te maken had met informatieveiligheid maar slechts met zaken als "schokbestendigheid en temperatuurtolerantie" [1] was voor velen onbekend.

Op dit moment spreekt men over het beveiligen van nieuwe stemmentellers door te testen met de zogenaamde common criteria en een bepaald "Evaluation Assurance Level" [2]. Dit klinkt mooi, maar een probleem met common criteria is dat het met een klassiek waterval model werkt [3] en de vraag is of het uberhaupt wel mogelijk is om met deze methode de unieke tijdskritische aspecten van dit specifieke proces te testen (namelijk publiek uitsluitsel of op verkiezingsdag zelf wel exact de juiste software en ook slechts alleen die software actief is). Zelfs met het hoogste EAL level 7 is het nog maar de vraag of de zaken waar het om gaat bij bepaalde processen ook wel degelijk getest zijn.
EALs refer to the level of confidence in the conclusions of the evaluation, and not to the level of secrity the product provides. In other words, you can have more confidence that a EAL4 product performs as advertised than an EAL2 product... But an EAL4 product will not necessarily provide more security.
http://taosecurity.blogsp...al7-rating-i-read-in.html

Er is helaas veel securty theater en feel good wankery[tm] in de wereld van informatiebeveiliging waarvan certificering een hele grote is.

[1] http://www.automatisering...-houdt-kiezer-voor-de-gek
[2] http://www.rijksoverheid....en-in-het-stemlokaal.html p. 44
[3] https://en.wikipedia.org/wiki/Common_Criteria#Criticisms
[tm] http://www.tedunangst.com/flak/post/reop

[Reactie gewijzigd door SlaSauS op 27 mei 2015 15:58]

Ik denk dat je gelijk hebt over je visie op gevolgen in plaats van de oorzaken, zeker als het om MKB en niet vitale sectoren gaat. Ondanks dat heeft de meldplicht daadwerkelijk effect op alle bedrijven in Nederland die met persoonsgegevens werken (eigenlijk allen). boetes die kunnen oplopen tot 450.000 euro voor nalaten van de wet (ook het bewust/onbewust nalaten) heeft grote effecten op bedrijven. Het is dan ook een middel om het doel te bereiken dat bedrijven werken aan een dataveilige omgeving.

Het aanpakken van de bron (en het uitvoeren van risico analyses) is naar mijn mening dan ook geen taak van de overheid, maar kan in het kader van bedrijfsrisico's gevat worden. Let wel dat hier ook de verhoogde boete mogelijkheidvan het Cbp om de hoek komt kijken(en dus een bepaalt risico).

[Reactie gewijzigd door djrobo1989 op 27 mei 2015 10:04]

Bedrijven verplicht datalekken laten melden geeft hen niet opeens het inzicht hoe het dan wel moet.
Ik denk dat je hier vele bedrijven fout inschat. Ik weet uit ervaring dat redelijk wat bedrijven intern maar al te goed op de hoogte zijn van beveiligingsproblemen en hoe ze op te lossen, maar er (nog) geen tijd en geld willen in investeren om die op te lossen: zolang het probleem enkel intern bekend is, en niet bij de klanten, verliezen ze er geen geld of reputatie aan, dus de kost van uitstel is nul, en intussen kunnen ze het dev team wel inzetten op het fixen van issues die de klant wel bekend zijn, en het uitbouwen van nieuwe features, ook iets waar klanten het effect van merken.

Het is een gevolg van het tekort aan goede developers, en natuurlijk ook de drang winsten te maximaliseren.

Als de meldplicht ervoor kan zorgen dat bekende problemen sneller publiek worden, dan ga je dat soort bedrijven aanzetten om beveiligingslekken wél snel op te lossen, omdat het later/niet fixen van een probleem plotseling wél een kost (verlies klanten/reputatie) met zich meedraagt.

[Reactie gewijzigd door kiang op 27 mei 2015 10:57]

Een wet zoals deze stimuleert wel betere beveiliging in plaats van "als het werkt werkt het" mentaliteit die veel bedrijven geven aan IT.
Ik durf te wedden dat veel bedrijven bang zijn voor reputatieschade zodra ze melding doen van een lek waardoor ze gewoon stil blijven. Of erger, niet eens door hebben dat er een lek was.
Tijd zal het uitwijzen.
Dit is precies altijd een probleem in Nederland, het probleem niet bij de bron aanpakken, maar lekker een Nederlandse half-werk oplossing verzinnen die sommige gevolgen aanpakken.
Het laatste dat ik zou willen als ik een gapend gat in m'n beveiliging zou ontdekken, is de plicht om het bij een overheid te melden. Helemaal als diezelfde overheid vervolgens van de daken gaat schreeuwen dat er een gat zit in m'n beveiliging nog voor ik die gedicht heb.
Dan haal je de service die onveilig is (gedeeltelijk) offline. Lijkt me niet geheel wenselijk dat je bvb een web app die creditcardgegevens laat zien online houdt omdat jij je zaken niet snel genoeg op orde hebt. Je zegt met je post dat je een dergelijk lek gewoon actief door zou laten gaan tot je een oplossing hebt gevonden.
Dat is natuurlijk niet in alle gevallen mogelijk, of neemt mogelijk grotere maatschappelijke gevolgen mee dan het verliezen van bedrijfs of privé gegevens. In zo'n geval is security through obscurity natuurlijk bekritiseerbaar, maar misschien wel maatschappelijk wel de minst slechte keuze om voor te gaan.
Je kan nooit voor alle mogelijke gevallen plannen. Deze meldplicht is voor nagenoeg alle datalekken de beste oplossing. Ik heb nog nooit van een datalek gehoord, waar transparantie tegenover overheid en getroffenen niet de beste optie was voor de samenleving. Voor het bedrijf is het natuurlijk bijna altijd beter als ze het gewoon kunnen verbergen, want je levert daarop (terecht) heel veel klantenvertrouwen in. En zo moet dat ook zijn.
Bovendien staat er in de richtlijn volgens mij niet dat je een tutorial moet geven hoe de aanval herhaald kan worden. Je moet alleen aangeven wat en over wie buitgemaakt is. Denk dat je het hoe wel kan uitstellen tot je een oplossing hebt (als dat niet te lang duurt. En de overheid voorlichten over de hoe kan altijd). Aan de manier van de aanval hebben de meeste eindgebruikers niks. De minsten kunnen aan de hand daarvan inschatten hoe slordig jij je beveilig als bedrijf op orde hebt.

[Reactie gewijzigd door Darkstriker op 27 mei 2015 09:53]

In wat voor geval is dat niet mogelijk? Even in gedachten houdend dat winstverlies voor een bedrijf geen valide punt is.
Voorbeelden van systemen die niet zomaar uitgeschakeld kunnen worden:
- Een bank die er niet al te best voor staat, kan niet zomaar internetbankieren uitzetten omdat dat een bankrun kan veroorzaken.
- Besturing van nucleaire reactors
- Informatiesystemen met patientgegevens van ziekenhuizen
- Radarsystemen van de haven terwijl er schepen met chemische producten rondvaren
- Controle van de watersnoodkering in de nieuwe waterweg
- Politie, brandweer, ..
Persoonlijk zou ik denken dat het in alle gevallen wenselijk is om direct maatregelen te nemen.

- Bank, publiek maken dat je een probleem hebt en dat eraan gewerkt wordt. Telebankieren tijdelijk minder functionaliteit geven, bijvoorbeeld maximaal 500 euro aan transacties per dag. Dat kan voor eventjes maar dit moet natuurlijk geen drie dagen of langer gaan duren. Als de sodemieter het beveiligingsprobleem oplossen.

- Energiecentrale, directe een graceful shutdown in gang zetten. Als jij het namelijk niet doet dan heb je kans dat de hacker het voor je doet en dat is het in alle gevallen minder graceful.

- Ziekenhuis, net als bij de bank tijdelijk functionaliteit verminderen.

- Haven en waternoodkering. Er zijn procedures om het uitvallen van dergelijke systemen te ondervangen. Het systeem uitschakelen en overgaan op handmatige bediening. Dat is dan even aanpoten voor een aantal mensen en het scheepsverkeer zal in een langzamer tempo afgehandeld gaan worden. Je kunt wel door echter het duurt allemaal ietsje langer.

- Politie en brandweer. Functionaliteit beperken en risicoafweging maken of je iedereen terug naar standplaats wilt hebben om nieuwe master encryption key voor P2000/C2000 in te laden. Als dat de enige verstandige oplossing is dan moet dat. Al is dit scenario redelijk onwaarschijnlijk.

Een ander voorbeeld, is de website meld misdaad anoniem gehacked dan direct de boel offline halen en de schade analyseren. Een zwaar strafrechtelijk onderzoek starten naar de daders van de inbraak.
De vraag was in welke situaties het niet wenselijk is om het systeem uit te schakelen / offline te halen. Stel nu dat een ziekenhuis is gehacked.
De vraagsteller is van mening dat je dan de systemen buiten werking moet stellen, waarbij het ziekenhuis geen ingrepen meer kan doen (want geen patientgegevens), geen patienten kan verzorgen (idem), geen eerste hulp kan verlenen enz. Dus moet het ziekenhuis geëvacueerd worden, en nieuwe patienten worden geweigerd. Dit gaat heel waarschijnlijk gepaard met slachtoffers. Is dat wenselijk? Het lijkt me niet.
Het offline halen is een mogelijke maatregel, maar deze kan heel drastisch uitpakken en is daarom niet altijd wenselijk.

Denk ook aan een kerncentrale, als een hacker de salarisadministratie heeft gekraakt wil dat nog niet zeggen dat hij daarmee de centrale kan platleggen. Jouw suggestie om de centrale zelf uit te schakelen is dan niet wenselijk, zeker als je weet dat het weken kost om deze weer werkend te krijgen.
Je moet wel alles een beetje in verband blijven zien. Met je ridicule opmerking over salarisadministratie vindt ik dat je de casus van een kerncentrale met primaire processen doodslaat. Ik ga dan ook verder niet meer op jou reageren.
Als de salaris omgeving los staat van de process control omgeving , maar de contractor die vanuit de salaris omgeving voor maintenance in de process omgeving word genoemd , zijn end point ( laptop ) wordt besmet zoals bijvb , hij via de tunnel remote werkzaamheden doet op een engineering station zie ik niet in waarom de kerncentrale niet een shutdown of erger kan krijgen ( son of stuxnet )
Dus steun FrankHe en geef een scenario dat dit wel mogelijk is....
En dit is geen sciencefiction:
North Korean hackers 'could kill', warns key defector
http://www.bbc.com/news/technology-32925495
Laten we het anders eens omdraaien kijken hoe je er dan over denkt?

Dus jij hoeft het niet te melden, maar ik mag dan wel op elk moment claimen dat jij iets gelekt hebt en het is dan aan jou om je onschuld te bewijzen...
Ik bedoel, door het niet te melden ontneem jij mij de mogelijkheid om een risico-analyse te maken en verdere acties te doen, dus ik neem aan dat ik alle vervolgschade bij jou moet kunnen claimen en dat het maar aan jou is om je onschuld te bewijzen...
Als je een gapend gat in je beveiliging hebt dan kan het zijn dat er data van jou over je klanten verdwenen is. Dan kan je niet gaan zitten hopen in je directiekamer dat 't overwaait en dat die gegevens nergens op zullen duiken, dan moet je pro-actief wat gaan doen!

Een meldplicht geeft niet aan dat je op de voorpagina van de Telegraaf bekend moet maken dat je gehacked bent - daar zijn ongetwijfeld alternatieven voor te bedenken. Net als bij Responsible Disclosure, waarbij een 'hacker' een gat vindt in jouw firewall en dat netjes meldt zonder het van de daken te roepen is ook een meldplicht iets waar we als gemeenschap een boel mee op schieten...
Wel als de lek groot is:
Als gevolg van de meldplicht moet in bepaalde gevallen niet alleen de overheid worden ingelicht, maar ook gebruikers die zijn getroffen en die kunnen worden benadeeld door het lek. Dat hoeft echter alleen als sprake is van een ernstig datalek, bijvoorbeeld als medische of andere gevoelige gegevens kunnen worden ingezien. Een datalek is ook ernstig als het gaat om een lek op grote schaal.
Dus stel, het EPD is lek. Dan hoeft het ontdekken van dat lek door een whitehat, nog niet te betekenen dat het actief misbruikt wordt.

Wat ga je dan doen?
  • Het aan de grote klok hangen, en iedere hacker daarmee een 'uitnodiging' sturen om onze EPD's te bemachtigen?
  • Of het systeem op zwart zetten, zodat geen dokter mee bij de patiënt gegevens kan?
Juist bij een significante Hack, van maatschappelijk belangrijke systemen, lijkt mij het fixen prioriteit hebben over het van de daken schreeuwen van het kwetsbare gat.
Meldplicht betekent niet automatisch aan de grote klok hangen. Tenminste, dat haal ik niet uit het artikel. Het lek zou gemeld kunnen worden zonder dat het meteen een public disclosure betreft. En in dat geval is het juist wel handig. Want dan zijn de juiste (externe) professionals eerder op de hoogte dan een willekeurige andere hacker. Zoals ik het verhaal lees betekent de meldplicht voornamelijk dat bedrijven waar iets mis gaat niet maanden op eigen houtje gaan lopen prutsen tot het gevaar over is, maar gepast escaleren.
Persbericht van de 1e kamer lijkt toch wel te spreken over die verplichting.
Met dit voorstel MOET de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens [..]het Cbp en de betrokkene informeren.
Zegt het wetsvoorstel ook iets over ene periode waarin het lek gemeld moet worden? Als dat om een paar maanden gaat, lijkt het me een prima voorstel. Dan heeft het bedrijf tijd het lek te dichten, voordat hij het aan iedereen verteld.
De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging...die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. De toezichthouder informeren is overigens iets anders dan de hele wereld informeren.

Meer info over de wetswijzigingen is te vinden in dit gratis boekje.
> De toezichthouder informeren is overigens iets anders dan de hele wereld informeren.

Er staat dat ook de betrokkene geinformeerd moet worden, ik interpreteer dat als iedereen van wie data gelekt is. Dan moet je wel degelijk "de hele wereld" informeren.
> De toezichthouder informeren is overigens iets anders dan de hele wereld informeren.

Er staat dat ook de betrokkene geinformeerd moet worden, ik interpreteer dat als iedereen van wie data gelekt is. Dan moet je wel degelijk "de hele wereld" informeren.
Dat hangt er van af wie de betrokkene is (journalist?), hoeveel het er zijn (veel/weinig) en op welke wijze je ze informeert (bijvoorbeeld per sms vs. advertentie in een landelijk nieuwsblad). Bij sommige inbreuken zal wel de toezichthouder, maar niet de betrokkene geinformeerd hoeven te worden.

Je punt klopt dus in sommige gevallen wel en in sommige gevallen niet. Praktisch gezien kunnen datalekken natuurlijk ook via andere routes in de media kunnen komen. In de nieuwe situatie loop je wel kans op een boete als je niet gemeld hebt bij toezichthouder en indien nodig bij betrokkene.

[Reactie gewijzigd door f4k op 27 mei 2015 23:18]

Ja, in die volgorde. Dus CBP krijgt melding. Dit is nog geen persbericht. Er kunnen meer mensen aangetrokken worden om het te fixxen. Het is gefixt of bijna, dan pas worden de betrokkenen geïnformeerd.
Met dit voorstel MOET de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens [..]het CBP en de betrokkene informeren.
Ik heb even twee andere woorden voor je dikgedrukt.
Fix it, daarna kun je het melden? Lijkt mij dat zoiets binnen een week gedaan moet worden, als je namelijk aan iets anders prio geeft dan het fixen van een datalek ben je niet echt goed bezig en creëer je een slechte situatie voor jezelf.
Het hoeft natuurlijk niet acuut van de daken geschreeuwd te worden, staat ook nergens dat dat meteen moet. Als je die boete van een paar ton (ik hoop meer in het geval van zeer ernstige lekken en bijzonder grote bedrijven) maar op je dak krijgt ben ik al blij.
Juist bij een significante Hack, van maatschappelijk belangrijke systemen, lijkt mij het fixen prioriteit hebben over het van de daken schreeuwen van het kwetsbare gat.
Het probleem is theorie vs praktijk, in theorie heb jij gelijk maar heeft een bedrijf een bugfix ook binnen 24 uur oid uitgerold.

De praktijk is echter dat er een complete dataroof geweest kan zijn van het complete epd en dat er nu niemand iets van hoort (terwijl de gegevens op de zwarte markt verkocht worden)
Of bijv dat er meerdere jaren aan een fix gewerkt wordt terwijl het systeem maar open blijft staan.

Of het heel simpele feit dat de whitehack pas hacker 10 is die het lek ontdekt en hacker 1/9 verhandelen het lustig op de zwarte markt en iedereen breekt maar in, maar omdat de whitehat het pas net ontdekt is gooit niemand het op zwart.
Maar ik als consument van jouw diensten zou juist wel willen dat jij verplicht bent om die lekken te melden. Dus in die zin is het een prima wet.
Als consument wil ik primair dat een lek gedicht wordt.
Media ophef, politieke bemoeienis en andere hackers informeren over dat er een nog niet gedicht gat is naar mijn privégegevens lijkt mij niet direct van positieve invloed bij het oplossen van het probleem.
Media ophef, politieke bemoeienis en andere hackers informeren over dat er een nog niet gedicht gat is naar mijn privégegevens lijkt mij niet direct van positieve invloed bij het oplossen van het probleem.
Wie had het over media ophef? Staat er ergens dat de media ook geïnformeerd moeten worden? Nee, dat staat nergens.

Ik mag toch hopen (oké, daar ga ik misschien al de mist in) dat de overheid en het CBP e.d. slim genoeg is om dit niet direct aan de grote klok te hangen of online, publiekelijk te publiceren. Dit moet vertrouwelijk behandeld worden en de getroffen organisatie moet de kans krijgen om dit lek te dichten. Daarvoor moeten zij op de hoogte gesteld worden, dat de gebruikers ook geïnformeerd worden lijkt mij niet meer dan redelijk, omdat het om hun gegevens gaat. Als daar dan een rotte appel tussen zit die het lek dan aan de media meld.. Tja, dan heb je inderdaad alsnog de poppen aan het dansen.

Mijn voorstel: verplicht de ontdekker het geheim te houden, het te melden bij CBP e.d. en verplicht alle betrokken (ook de organisatie en eventuele gebruikers) om hun mond te houden. Op straffe van een boete van ¤45.000,- omdat het om een lek gaat die fatsoenlijk gedicht moet kunnen worden voordat het aan de klok gehangen wordt.

Daarover zijn we het dan zeker eens, ik wil ook niet dat een andere hacker weet dat er een lek is en bij mijn gegevens kan voordat ik het zelf weet ;).
Wie had het over media ophef? Staat er ergens dat de media ook geïnformeerd moeten worden? Nee, dat staat nergens.
De verantwoordelijke bij een datalek, wordt door de wetgeving verplicht het lek te melden bij de betrokkenen.

Digitale 'lekken' doen het goed in de media, en burgers zijn in ons land, niet bang de media op te zoeken.

1+1=2 in dat geval natuurlijk. Als dat burgers geïnformeerd worden over een significant datalek, is de kans dat dat leidt tot ophef in de media natuurlijk groot.
Precies, maar in essentie staat nergens dat de media geïnformeerd moeten worden. Dus in principe is er niet direct sprake van media ophef zodra iets gemeld (moet) worden. Het CBP, betrokken en getroffenen moeten geïnformeerd worden. Dat daar dan iemand tussen zal zitten die de media informeert waardoor je alsnog je media ophef hebt, zal mij niks verbazen. Die rotte appels zijn er wel.

Vandaar ook mijn idee om een dikke, vette boete te leggen op het lekken van het lek naar de media. Dat zal (hopelijk) de lekker van het lek dan weerhouden het aan de media door te spelen.
Precies, maar in essentie staat nergens dat de media geïnformeerd moeten worden.
Toch zal dat het gevolg zijn van het beleid.
Mistanden waarover burgers vroeger niets te weten kregen, daarover krijgen ze als ze mogelijk betrokken zijn nu wel informatie.

Dat die informatie ook van de burger naar de media gaat, is eigenlijk inherent.

Ze zult dus meer van dit soort verhalen in de media horen, dat heeft twee gevolgen:
  • We krijgen minder vertrouwen in de ict.
  • We zullen meer 'numb' raken voor privacy-lekken, 'ah weer een lek..'.
Dat er een gat zit betekent niet dat er daadwerkelijk wat gelekt is.
Dat er geen gat bekend is betekent echt echter ook niet dat er niets gelekt is...

Zolang er geen gelekte data opduikt in het publieke domein weet momenteel niemand of het wel of niet gelekt is, alleen door het bekende is er zeker een mogelijkheid tot lekken.
Mee eens, als ziggo bijv. Een lek heeft zijn er genoeg blackhats die daar in willen komen. Zelf als de overheid niet meld wat voor lek, er zijn altijd mensen die het wel kunnen vinden.

Dit gaat de beveiliging niet helpen, juist het tegenovergestelde...
In principe hoort de overheid dit niet te gaan publiceren, of het CBP en dergelijke.
Probleem is, dat dit in de praktijk vast en zeker wel gaat gebeuren.

Als ze naast de meldplicht (eigenlijk een heel logische plicht, vind ik), ook een wet aannemen om ervoor te zorgen, dat mensen niet de publiciteit op gaan zoeken met dit soort meldingen.. top.
(gedupeerden van zo'n lek, oftwel de klanten, hebben het volste recht om te klagen, maar niet de controlerende instanties)

Ik vertrouw de kundigheid van de meeste ambtenaren echter niet.. Bedoel.. zelfs de politieagentjes gaan hun werk op social media delen tegenwoordig.
De overheid is hypocriet.

Zolang zij niet afstappen van Windows XP kan ik hier alleen maar om lachen.
Ik heb voor de Rijksoverheid gewerkt om die oude kastjes weg te krijgen, maar de overheid is heel groot. Dat het maar 5000 systemen betreft vind ik eigenlijk nog wel acceptabel. Daarmee doen we het beter dan bijvoorbeeld het Verenigd Koninkrijk. Alleen de Belastingdienst moest al 33.000 nieuwe systemen uitrollen. Dat is een mega klus. En dat de overheid altijd achter de feiten aan loopt mag nauwelijks nog verwondering opwekken.
Haha, dus zolang er nog een paar pc's XP draaien die toch niet op internet zitten, mag de overheid geen nuttige maatregelen nemen op het gebied van security? Gaap, whatever... :O
Waarom zijn zoveel mensen in de veronderstelling dat XP per definitie onveilig is?

Je kunt het dichttimmeren en/of gescheiden laten draaien. Er zijn een aantal mogelijkheden om xp te blijven gebruiken zonder dat het invloed heeft.


Mbt meldingsplicht,
dan zal er een onderzoek moeten komen. Een onderzoek vereist tijd en specialisatie. Tijd en specialisatie zijn schaarse goederen in de ICT. Heb er dusdoende weinig vertrouwen in.
Super!

Hopelijk prikkelt dat bedrijven wat meer om de beveiliging echt op orde te hebben.
Dat gaat tijd, geld en moeite kosten. De effectiefste manier om aan deze wet te voldoen is gewoon je security monitoring uit te zetten. Wat je niet weet hoef je immers niet te melden.
Persoonlijk vind ik dit lijken op een voorstel dat het enkel mogelijk maakt om nog jarenlang met modder naar een bedrijf te kunnen gooien waar iets gelekt is, ongeacht of ze dat zelf geconstateerd en gemeld hebben. Ik betwijfel of er ook echt iets veranderd aan de security-level van publieke services en de hoeveelheid incidenten waarbij een lek daarin wordt misbruikt.

Daarnaast vind ik het verschrikkelijk hypocriet. Zolang die overheid zelf data bewaart en filtert die verkregen is door het exploiteren van lekken en dat ook nog doorspeelt naar buitenlandse partijen hebben ze wat mij betreft geen recht van spreken. Dat is regeren op een leugenachtige manier.

[Reactie gewijzigd door blorf op 27 mei 2015 10:17]

Nu nog de overheid, want die wordt met deze wetgeving volgens mij weinig geraakt.
Ijdele hoop zolang de overheid dit soort wetten aanneemt en ondertussen zelf nog verlengingsprogramma's voor xp afsluit (wat in wezen gewoon betekent dat hun het niet op orde hebben).

Ik zie het alleen als het begin naar een traject waar bijv public naming and shaming gaat komen na x tijd geen fix (na melding) zodat bedrijven het om pr-redenen serieuzer gaan oppakken.
De overheid gebruikt nog steeds XP op sommige computers right?
Als gevolg van de meldplicht moet in bepaalde gevallen niet alleen de overheid worden ingelicht, maar ook gebruikers die zijn getroffen en die kunnen worden benadeeld door het lek. Dat hoeft echter alleen als sprake is van een ernstig datalek Check, bijvoorbeeld als medische of andere gevoelige gegevens Check kunnen worden ingezien. Een datalek is ook ernstig als het gaat om een lek op grote schaal. Check
De overheid en IT... Willen zo hard hun best doen met hun regeltjes, maar weten niet waar ze het over hebben...

[Reactie gewijzigd door t1mmy op 27 mei 2015 09:22]

Voorlopig kun je wel met een gerust hart je IB-aangifte elektronisch doen en is het ook niet dagelijks zo dat patiëntgegevens uitlekken. Vergeet niet: Het nieuws is een verzameling van uitzonderingen. We lezen hier wel vaak over wat er mis gaat met overheid en IT, maar de rest gaat dus allemaal goed. En er lopen echt wel gekwalificeerde professionals rond bij de overheid hoor, maak je daar maar niet druk over.
Och, daar heb je die reacties weer. Lijkt wel of er telkens als het woord 'overheid' in een nieuwsbericht valt, dit soort reacties komen. Er zo onnoemelijk veel goed op ICT-gebied bij de overheid, maar daar hoor je niemand over. Nee, laten we gaan zeiken op die paar XP-machines die sowieso allang niet meer op het internet zitten.

:O
Er zo onnoemelijk veel goed op ICT-gebied bij de overheid, maar daar hoor je niemand over.
Het hoort goed te gaan dus daar hoef je niet over te pochen als overheid.
Nee, laten we gaan zeiken op die paar XP-machines die sowieso allang niet meer op het internet zitten.
Zitten die XP bakken niet aan het internet.? Weten we dat zeker.? Dan kunnen we inderdaad die contracten met MS wel opzeggen.
Dus die machines zitten niet op het internet.En zijn airgapped afgesloten van de gevaarlijke boze buiten wereld. Dat waren de iraanse kern reactoren ook en plc waren geen pc dus waar maak je je druk om...
Open je ogen , zelfs gebouwen automatisering, koeling van data centers etc hebben connectiviteit en maintenance via het internet .
availability is niet hetzelfde als security en de mens is lui.Hoeveel van deze xp machines zit iemand achter? Denk niet veel , worden allemaal remote bediend. Tunnels gaan dwars door naar segmenten ,met onveilige protocollen ( RDP WINXP 8)7 8)7 8)7 segmenten liggen .Patches die we kopen van microsoft extended support lossen geen kernel problemen op..
mensen stellen al voor om je security monitoring uit te zetten, ja je hebt een inbraak alarm zet maar uit dan weten we niet dat ze binnen geweest zijn en als je spullen kwijt bent koop je gewoon weer nieuw ( mediamarkt would love that! )
Standaardisatie, geen papieren tijger, en data zien zoals het hoort een bron om goed geinformeerd business beslissingen door te voeren.
Die 'paar' XP machine's, die paar 1 2 3 4 projecten van slechts een paar miljoen die elke keer falen and the list goes on and on. Ja hoor, het gaat prima bij de overheid met ICT en die paar miljoen hadden we toch niet nodig, toch?

[Reactie gewijzigd door t1mmy op 27 mei 2015 09:42]

Het probleem bij de overheid is dat het investeringen in de ICT doet als de "overheid". Er zit geen verdien model aan. Hierdoor worden soms verkeerde riscoanalyses gemaakt. Zeker als het gaat om geld.

Ook is het zo dat veel projecten worden goedgekeurd/afgekeurd door mensen die daar verder geen verstand van hebben. Hoeveel mensen in de tweede kamer weten nu echt veel van ICT en de verschillende technieken en mogelijkheden die daar zijn. Ik denk dat de overheid met inversteringen meer moet gaan kijken zoals bedrijven doen. Wat kost het ons en wat kan het opleveren. Hiermee bedoel ik niet dat ze alleen commercieel gericht moeten worden. Wel wil ik zeggen dat ze meer risico bewust moeten worden van verschillende projecten.
De taak van de Tweede kamer is absoluut niet vergelijkbaar met die van werkvloer IT Professional ambtenaren. Echt, ik ken mensen in Rijksdienst die meer van IT weten dan menig tweaker. Dat de top management laag niet alle details kent geldt voor elke top management laag. Het is ook niet echt eerlijk om aan een people-manager te vragen hoe systemen gemanaged moeten worden. Nederland is echt wel goed georganiseerd qua ICT. Alleen als er dan iets mis gaat, is het meteen groot nieuws. En dan worden precies de verkeerde ondervraagd vaak. Een Ton Elias is niet representatief voor de kennis die er rond loopt bij de overheid.
geef je helemaal gelijk, de overheid weet amper iets van ICT af. laat staan dat ze dure (ipads nemen). maar dan toch beter een custom-linux kernel nemen op android tablets, die helemaal dichtgetimmert is.
Die ipads zijn zeer goedkoop hoor, vergeleken met een custom-linux kernel op android tablets...

Ipads/standaard software hebben veelal gewoon een bepaalde certificering, enig idee wat dat soort certificeringen kosten voor custom-linux kernels (en dan dus bij elke wijziging/update/upgrade weer)
het is wel beter dan afhankelijk zijn van apple, met hun updates voor alleen de nieuwste apparatuur. (selectief updaten)
Custom-linux kernel heeft per definitie 0 updates behalve waar je zelf tijd in investeert (en dus geld).

En je moet qua updates dus concurreren met een Apple met een paar 100 devs. En dan wil je het beter doen dan Apple, dus je mag per versie een paar 100 extra devs aan gaan nemen.

Nope, dan toch liever dat de overheid ipads aanschaft dan een paar 1000 man in dienst neemt zodat we het via een custom-linux kernel kunnen doen.
Goed initiatief! maar hebben ze nu eindelijk de problemen met DigID opgelost of schot in de update naar een nieuwer OS als Windows XP? of eigenlijk eindelijk hun IT op orde?

Gevalletje de pot verwijt de ketel...
In de samenvatting zoals te vinden is op het linkje staat niet "bedrijven".

Er staat: "Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector."

Lijkt me toch een belangrijk detail...
Denk dat de boetes weer beetje uit properties zijn. De schade die een internetbedrijf bedrijf waarschijnlijk lijdt met het uitbrengen van een lek is in veel opzichten waarschijnlijk veel groter dan een boet van 4200 tot een ton. Iemand een idee wanneer de max boete zal worden uitgereikt ?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True