Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Submitter: himlims_

De meldplicht datalekken gaat op 1 januari 2016 in. Dat maakte de Nederlandse overheid vrijdag bekend. Door de nieuwe wet moeten nagenoeg alle organisaties aan de bel trekken zodra criminelen gevoelige persoonsgegevens hebben buitgemaakt.

HackerDe meldplicht geldt voor private en publieke organisaties die persoonsgegevens verwerken. De wet houdt in dat zij alarm moeten slaan zodra persoonsgegevens zijn gestolen, kwijt zijn of zijn misbruikt. Dat schrijft de overheid.

De Tweede Kamer nam de meldplicht datalekken in februari aan, waarna ook de Eerste Kamer akkoord ging. Het doel van de meldplicht is om persoonsgegevens beter te beschermen. Daarnaast kunnen bedrijven sneller een boete krijgen zodra ze zich niet aan de regels houden.

Het CBP mag bedrijven vanaf volgend jaar beboeten als zij persoonsgegevens niet op een behoorlijke en zorgvuldige manier verwerken of langer bewaren dan nodig is. Ook deelt de overheidsinstantie bekeuringen uit als de beveiliging niet deugt of het beheer van persoonsgegevens slecht is georganiseerd.

Als gevolg van de wetswijziging krijgt het CBP ook de bevoegdheid om hogere boetes op te leggen. Nu gaat het nog om boetes van maximaal 4500 euro, maar in de nieuwe situatie kan het CBP boetes tot 810.000 euro opleggen.

Moderatie-faq Wijzig weergave

Reacties (42)

Ik ben benieuwd wat de boete voor " niet melden" is. Als er alleen boetes staan op het laten stelen van informatie, dan zal de neiging blijven het niet te melden.
Als er alleen boetes staan op het laten stelen van informatie, dan zal de neiging blijven het niet te melden.
Volgens de wet kunnen boetes opgelegd worden door het CBP voor:
- het niet melden van lekken
- het niet TIJDIG melden van lekken (CBP moet hier nog richtlijnen voor uitbrengen, maar waarschijnlijk binnen 72 uur. Ook als het lek plaats gevonden heeft bij een uitvoerende partij! (Dus dat kan leuk worden als het lek op vrijdag ochtend plaatsvond bij bv een drukkerij die voor jouw organisatie werk uitvoert)
- het niet op orde hebben van de beveiliging van die gegevens. Deze informatie moet meegeleverd worden bij het melden van het lek. Oeganisaties moete dus nu al controleren dat ze de gegevens al goed beveiligd heben, en ander maatregelen gaan nemen dat die beveiliging op orde komt. Pas acteren nadat er data gelekt is, is volgens deze wetgeving TE LAAT.
- Gemeldde lekken bij het CBP die personen aangaan, moeten gelijktijdig ook bij de getroffen personen gemeld worden.

Verder is ook Brussel met soortgelijke wetgeving bezig, die naar het schijnt rond 1-1-2017 in werking moet treden.
Ter aanvulling, okt/nov komt het Cbp als het goed is met 'richtsnoeren' waarin, in tegenstelling tot de wet, wel meer duidelijk wordt over de criteria voor het (moeten) doen van een melding. En in tegenstelling tot andere reacties kan de boete wel afhankelijk zijn vd omzet (10%) art 23 lid 7 SRAan allen, zijn ze bij jou/jullie al bezig met het proces/inrichting? http://wetten.overheid.nl...ldigheidsdatum_11-07-2015

[Reactie gewijzigd door djrobo1989 op 11 juli 2015 00:23]

Geld de maatregel niet voor overheidsinstanties? Dat begrijp ik niet zo goed uit het verhaal.
private en publieke organisaties

Dus ook overheid.
broekzak - vestzak
Want? Wetgeving had ook alleen voor private sector gemaakt kunnen worden.
ik refereer naar de Overheid.
Jammere is dat boetes aan de overheid eigenlijk weinig in de praktijk uitmaken.
Er zit gewoon weg minder verantwoordelijkheidsgevoel dan in private sector.
Daar zal je namelijk ook veel sneller worden afgerekend op je fouten.
Nee hoor, een minister is verantwoordelijk voor een tak van de publieke sector. Zodra daar een lek is zal de minister ter verantwoording geroepen worden omdat onze sensatie journalistiek de minister totaal de grond in slaat (of dat meestal terecht is laat ik in het midden).

De boetes zelf maken weinig uit qua financiën, wat meer uitmaakt is dat een boete ook aan het publiek gemeld zal worden en dat heel Nederland snel geinformeert zal worden over het mismanagement. Toch zullen de personen die echt de touwtjes in handen hebben (de topambtenaren) niet snel ontslagen worden

(of dit echter tot betere beveiliging moet leiden denk ik niet, aangezien de politiek in Den Haag nou niet echt van hoog niveau lijkt te zijn).

[Reactie gewijzigd door Rifleshader op 12 juli 2015 00:57]

Yep. Het vervelende is alleen dat we dat dus indirect weer zelf betalen. Ik denk niet dat het van het salaris/de bonus van de verantwoordelijke bestuurder afgetrokken gaat worden.
Was ook mijn eerste gedachte.
Vooral na deze vertoning: http://www.bbc.com/news/world-us-canada-33481285
Had naar mijn beleving wel veel eerder gemogen. Ik ben benieuwd hoeveel meldingen er vanaf 2016 komen :)
Die boete lijkt me nog steeds te laag om echt effect te hebben. Veel bedrijven zullen ondanks die dreiging nog steeds eerder een lek geheim houden. Dit had gewoon omzetgebonden mogen zijn met als richtlijn 5% tot een max van 25% oid (uiteraard de uiteindelijke boete te bepalen door een rechter)
Omzet gebonden was vast beter geweest maar de nieuwe boetes zijn voor een hoop organisaties genoeg om indruk te maken. De club waar ik voor werk is in ieder geval behoorlijk onder de indruk en ik denk graag dat wij onze zaakjes redelijk goed voor elkaar hebben.
Dat kan ook, de boete is maximaal een boete van ¤810.000,- en als dit niet past dan gaat lid 7 op en dan wordt er tot 10% vd jaaromzet toegevoegd http://wetten.overheid.nl...ldigheidsdatum_11-07-2015
Klopt. Het heeft op "kleinere" ondernemingen natuurlijk wel heftig invloed. Maar de bedrijven die er grootschalig winst op kunnen maken onze privesfeer niet te respecteren of bedrijven die in een veel grotere dimensie kosten of reputatieschade kunnen vermijden door matig te beveiligen en/of lekken niet te melden lachen om deze boetes.
Daarbij denk ik dat bijvoorbeeld banken zaken liever stil houden. Ze verkopen vertrouwen, als dan bijvoorbeeld een ING tig meldingen moet doen, ga je je wel afvragen of je daar je geld moet stallen. Maar andersom werkt t ook, geen "datalekken" zijn verdacht.
Als dergelijke regelgeving Internationaal wordt ingevoerd krijg je op een gegeven moment denk ik zoveel datalekken over je heen dat je het normaal gaat vinden en het geen nieuws meer is.

Wat mij betreft is dat best een discussie waard: zijn datalekken niet "gewoon normaal"?* Was het niet beter geweest om de afhankelijk van zo'n lek wettelijk te regelen ipv alleen het melden ervan?

(* Waarmee ik niet wil zeggen dat we niet alles moeten doen om ze te voorkomen.)
Dit kan nog eens problemen geven voor studenten die als "bijbaan" een dozijn websites hosten... Bij mij wordt er nauwelijks wat verdiend, net genoeg om de stroom te bekostigen. Ik doe het meer om ervan te leren. Zo een boete zou voor mij een levenslange gevangenis betekenen. Maar goed, er staat "tot". We zullen zien wat dat in de praktijk gaat betekenen.

Edit: Ik bedenk me net dat de hoster (zonder contracten) niet de eindverantwoordelijke is, maar de organisatie achter de website zelf. Tenzij die weer de relatie ontkent.

[Reactie gewijzigd door Mocro_Pimp® op 11 juli 2015 03:30]

Je krijgt die boete alleen als je het datalek niet meld. Netjes melden dus.
Ja, maar daarvoor moet ik logboeken bijhouden en analyseren. Dat doe ik niet. Ik zou het pas merken als er daadwerkelijk gegevens verwijderd worden en klanten dat zouden melden.
Dat is dan wel iets om te gaan melden bij je klanten. Als je geld verdient aan deze activiteiten, daar dus een bedrijf voor hebt en netjes overal voor ingeschreven bent moet je ook aan deze wetgeving gaan voldoen. Dat het een bijbaantje als student is is voor de wetgeving niet relevant (wel voor de hoogte van eventuele boetes waarschijnlijk, maar het feit dat je überhaupt geen logs bijhoudt en analyseert zal je dan niet gaan helpen).

Als het gaat om websites voor familie en vrienden die verder geen privegegevens van derden verwerken, en jij geeft in het contract netjes aan dat er geen enkele garantie tegen hacken en verlies van persoonlijke gegevens is kom je er wellicht mee weg maar grotere klanten zou ik toch gaan doorverwijzen naar een professionele hoster. Of je moet er zelf één willen worden ;)
De hoster van een websites heeft nu eenmaal bepaalde verantwoordelijkheden. Wanneer door een lek op een door jou gehoste/ beheerde website privacygevoelige informatie buitgemaakt wordt, dan ben jij daar verantwoordelijk voor, of je nou een professioneels bedrijf bent of goedbedoelende hobbyist (al zal daar wel in de strafmaat rekening mee gehouden worden).
De beheerder van de website is ten alle tijden (eind)verantwoordelijk voor de beveiliging, dat kun je niet zomaar afschuiven op de organisatie waar de website voor bedoeld is.
Er even vanuit gaande dat niets voor 100% te beveiligen valt, de nieuwe manier om je concurrentie er onderdoor te krijgen? Laat ze maar hacken en boetes betalen...

Had dan graag gelezen dat ter zelfde tijd er 10x meer budget komt om cybercriminelen op te sporen en hier voortaan serieuze gevangenisstraffen tegenover staan. Een gehackt bedrijf is per definitie wel nog altijd een slachtoffer.

Dit klinkt alsof je een boete krijgt als je per ongeluk je sleutels op de oprit verliest en men vervolgens je huis leeghaalt.
Dit klinkt alsof je een boete krijgt als je per ongeluk je sleutels op de oprit verliest en men vervolgens je huis leeghaalt.
Niet alleen wanneer je de sleutels verliest, ook wanneer er een deur open staat of er met bruut geweld wordt ingebroken. Wanneer jij niet snel genoeg deze inbraak of insluiping meldt, krijg jij als slachtoffer ook nog een boete.

Een ander probleem is dat men vaak niet weet hoe een inbraak te detecteren. Bedrijven hebben geen idee hoe normaal netwerkverkeer eruit ziet (aangenomen dat de inbraak via het netwerk plaatsvindt), dus ook niet hoe een inbraak eruit zou kunnen zien. Veel inbraken worden pas achteraf ontdekt, nadat een flink aantal slachtoffers kunnen worden verbonden aan dezelfde bron. Dat kan maanden later zijn, maar ben je dan te laat met melden wanneer je na ontdekking direct een melding maakt?
De analogie met een huis gaat niet op.

Het gaat er niet om dat je een boete krijgt als je een hack niet meldt, het gaat erom dat je een boete krijgt als er door die hack informatie over derden gelekt is. Het gaat niet om straffen van het directe slachtoffer, het gaat om straffen van het directe slachtoffer als die niet zijn verantwoordelijkheid neemt voor de vele indirecte slachtoffers die van zijn melding afhankelijk zijn om te weten of ze risico lopen. Om precies te zijn om informatie die leidt tot (quote uit de wet):

een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt.

Dat is niet het geval als jouw huis wordt opengebroken. Het is meer vergelijkbaar als jij in een appartementencomplex woont en jouw sleutel van de buitendeur van je wordt gestolen. Als jij dit niet meldt en vervolgens wel bij 6 buren wordt ingebroken omdat iemand makkelijker binnen kon komen met jouw sleutel van de buitendeur heb je ook wat uit te leggen.

Zover ik weet gaat de meldplicht overigens om het melden van zaken binnen X tijd nadat een bedrijf dat redelijkerwijs had moeten weten. Maar dat jij als bedrijf het lek nog niet had gevonden pleit je niet vrij, bedrijven weten veel te weinig over hun infra, deze wetgeving helpt duwen op betere beveiliging. Als jij ervoor zorgt dat persoonsgegevens die je verwerkt bij diefstal nutteloos zijn (door bv encryptie toe te passen) zit je in principe al goed, maar voor veel bedrijven is dit nog een ver van hun bed show, deze wetgeving helpt hopelijk om ze wakker te maken.
Zover ik weet gaat de meldplicht overigens om het melden van zaken binnen X tijd nadat een bedrijf dat redelijkerwijs had moeten weten.
Maar wat is de definitie van redelijkerwijs? Des te meer prioriteit je geeft aan beveiliging, des te eerder wordt je geacht een inbraak te ontdekken? Die vlieger gaat niet op, bij de gemiddelde inbraak weet men niet waar men naar moet zoeken, dus hoe herken je een inbraak?
Maar dat jij als bedrijf het lek nog niet had gevonden pleit je niet vrij, bedrijven weten veel te weinig over hun infra, deze wetgeving helpt duwen op betere beveiliging.
Toevallig mijn werkterrein en ook iets waar imho de complete IT industrie zich voor moet schamen. Kennis is van zeer, zeer laag niveau en kant&klare producten zijn compleet kansloos tegen nieuwe onbekende aanvallen. Zie de virusscanners, totaal kansloos. Maar worden wel gepresenteerd als dé oplossing voor beveiliging....
Als jij ervoor zorgt dat persoonsgegevens die je verwerkt bij diefstal nutteloos zijn (door bv encryptie toe te passen)
Wanneer iemand geencrypte data steelt, steelt hij/zij de data vanaf de verkeerde plek: Elders binnen de organisatie is dezelfde data niet-encrypted beschikbaar, anders heeft de organisatie er zelf niets meer aan.

Encryptie is leuk en heeft ook zeker toegevoegde waarde om de gelegenheidsdief met lege handen te laten staan, maar het is niet dé oplossing tegen datadiefstal.
Wanneer een bedrijf gehackt wordt maar dat keurig meldt en de hack niet te wijten was aan een lakse beveiliging, is er niets aan de hand.

Je kunt het beter vergelijken met het verliezen van de sleutel van de centrale ruimte van een appartementencomplex. Wanneer jij het niet bij de beheerder meldt en vervolgens worden uit de centrale ruimte het tuinmeubilair van de bewoners gejat, dan is dat (mede) jouw schuld.
Het gaat om prive/ persoons gegevens. Weet of kan iemand mij uitleggen vanaf waar de grens wordt getrokken? Is het al bij een aanmelding voor nieuwsbrief bijvoorbeeld?

Als ik nu mijn bedrijf in NL sluit en in Belgie ofzo verder ga en alles nog steeds opstuur naar mijn klanten via dezelfde website etc. Ben ik dan ook nog verplicht om ze te melden als ik een lek heb?
Kort door de bocht gegevens die leiden naar een natuurlijk persoon. Extra speciaal zijn bijzondere persoonsgegevens zoals bsn en bijv politieke voorkeur, ras en zorg
De grens kan je zelf vinden door de vragen van het cbp te beantwoordenhttps://cbpweb.nl/nl/melden/melden-bij-het-cbp
Als je volgens deze voorwaarden de gegevens moet aanmelden bij het cbp, zal dat hoogst waarschijnlijk ook gaan gelden voor de datalekken meldingen
'tot 810.000' dit betekend niet dat het altijd dat bedrag zal zijn. Het kan natuurlijk ook minder naar mate de ernst en de organisatie.
Ik hoop dat de artsen die data via whatsapp uitwisselen, als eerste de een zware boete opgelegd krijgen.
Voor alle zorgorganisaties zijn duidelijke richtlijnen. O.a. artsen mogen ook geen gegevens via gewone e-mail verzenden, maar gebruiken een beveiligde (en versleutelde) versie.

Natuurlijk zijn er die het wel via sms of whatsapp doen, maar ze kunnen niet ontkennen dat ze weten dat dit niet mag.
Wat valt er onder "alle organisaties "?

Wikipedia :
"De term organisatie wordt soms als synoniem gebruikt voor een bedrijf, stichting of vereniging"

Bedrijven,verenigingen zijn dus technisch gezien ook organisatie... Grote kleine, middel...
Dan vind ik de boete best behoorlijk!
Ze kunnen boetes tot 810.000 euro opleggen. Dat betekent dus dat iedere boete tussen 0 en 810.000 kan worden gegeven door de CPB. Een kleine vereniging krijgt dan natuurlijk niet dezelfde boete als een internetgigant zoals bijv. Google.
Ik ben hier blij mee. Er zijn een hoop bedrijven die beveiliging vooral als koste post zien. Niet onterecht, want 95% van de tijd kost het alleen maar geld. Economisch belang wint het uiteindelijk altijd. Door boetes in te stellen wordt het economische belang verschoven in de richting van het publiek.
Vergelijk het met brandveiligheid. Als er geen forse boetes tegenover stonden zouden de meeste bedrijven ook geen fluit geven om brandveiligheid. Ja, ze zouden wel zeggen dat het belangrijk is, zolang het maar geen geld kost. Uiteindelijk wordt er toch gekozen voor de goedkoopste oplossing op korte temijn. Een straf boetebeleid kan helpen om die keuze de juiste kant op te sturen.
Het lastige blijft wel dat een brand vrij duidelijk en aantoonbaar is, dus dan kan je achteraf vrij makkelijk constateren dat er niet aan regelgeving werd voldaan, een doofpot is lastig. Bedrijven die zelf een lek ontdekken kunnen nog altijd kiezen om dat te verzwijgen, het is voor de overheid moeilijk vast te stellen dat er iets aan de hand was als een bedrijf daar niet zelf over begint.

Ik juich deze plicht toe, ik zie alleen nog niet helemaal hoe de naleving gecontroleerd gaat worden. Wellicht dat het groeiende aantal publiek gemaakte hacks daarbij wel gaat helpen. Hoewel het een kwaadwillige hacker ook kan helpen: "Ik wil nu 10.000 euro van je anders maak ik bekend dat je al langer dan 72 uur een datalek hebt" of iets dergelijks.
Perfect, hiermee worden betrokken instanties toch wel enigszins gedwongen om voorzichtig om te gaan met persoonlijke gegevens, een boete oplopend tot ruim 8 ton is hierbij een goede stok achter de deur. Die meldplicht zorgt er dan weer voor dat gebruikers alsnog verwittigd kunnen worden en zelf aktie kunnen ondernemen om gegevens aan te passen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True