CBP publiceert conceptrichtlijnen voor melden datalekken

Het College bescherming persoonsgegevens heeft bekendgemaakt wat organisaties moeten doen als ze met een datalek kampen. Vanaf 1 januari 2016 moeten ze dit soort lekken onder bepaalde omstandigheden verplicht melden. Organisaties kunnen nog feedback geven op de richtlijnen.

De publicatie van de richtsnoeren en de start van de consultatieronde is maandag door het CBP aangekondigd. Het College gaat straks Autoriteit Persoonsgegevens heten en bedrijven moeten bij deze organisatie de lekken bekendmaken. Het gaat dan onder andere om gevoelige gegevens die 'nadelige gevolgen' kunnen hebben. Het CBP noemt als voorbeeld gestolen laptops met financiële informatie over burgers, doorgespeelde logins die toegang geven tot klantgegevens en kwetsbare webapps die onbedoeld toegang geven tot medische data.

Organisaties moeten lekken uiterlijk binnen twee dagen na ontdekking van het lek melden aan de Autoriteit Persoonsgegevens. Dit kan vanaf januari via een webformulier. Melden ze het lek niet terwijl dit wel zou moeten, dan kan de autoriteit een boete van maximaal 810.000 euro opleggen.

Organisaties moeten beveiligingslekken niet alleen aan het CBP maar, onder bepaalde omstandigheden, ook aan betrokkenen zelf doorgeven. Ze moeten hiervoor onder andere afwegen of het datalek ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer van die betrokkene. Ook moeten ze een inschatting maken of de versleuteling van de verloren persoonsgegevens sterk genoeg was.

In Nederland geldt er al een meldplicht datalekken, maar deze is onderdeel van de Telecommunicatiewet en alleen van toepassing op 'aanbieders van elektronische communicatienetwerken en -diensten'. Vanaf 1 januari 2016 wordt de meldplicht sterk uitgebreid en zijn private en publieke organisaties die persoonsgegevens verwerken verplicht om beveiligingsinbreuken te melden die tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens leiden.

IT-banen

Reacties (46)

Meauses 21 september 2015 16:30

Goede ontwikkeling wat mij betreft. Zo weten mensen het veel eerder als hun gegevens op straat liggen en worden bedrijven gemotiveerd die gegevens beter te beschermen.

p.s. vraag mij af of het wegformulier geen belangrijke data zal gaan lekken

[Reactie gewijzigd door Meauses op 24 juli 2024 17:21]

martennis @Meauses • 21 september 2015 16:56

Ik denk eerder dat bedrijven juist niet naar buiten gaan komen over fouten en/of datalekken, omdat ze bang worden gemaakt met de hoogte van de boetes. Daarbij: hoe denkt het CBP te kunnen controleren of een lek heeft plaatsgevonden, anders dan dat hackers dit aan hun melden? Willen ze liever dat bedrijven geen aangifte doen van gestolen laptops of mensen die inloggegevens met opzet door laten schemeren?

Ook een mooie wordt dat bedrijven straks gaan wachten met het melden van lekken, wanneer er ander 'slecht nieuws' is. Dit gebeurde bijvoorbeeld ook op 9/11, toen brachten veel bedrijven met slecht nieuws en/of jaar-/kwartaalcijfers ook hun nieuws in de wereld, omdat dit overschaduwd werd door veel heftiger nieuws. Wat is dan het nut van de meldplicht?

Imo kan het CBP beter investeren in het preventief maatregelen nemen tegen datalekken. Laat ze bijvoorbeeld zorgen voor extra aandacht mbt security al op studies/opleidingen en verplicht bedrijven om jaarlijks hoogte te nemen van de nieuwste ontwikkelingen op het gebied van security.

Verwijderd @martennis • 21 september 2015 19:31

hoe denkt het CBP te kunnen controleren of een lek heeft plaatsgevonden, anders dan dat hackers dit aan hun melden?

Wel, als er op de torrents een file komt dat FaceBook_Customers.txt komt te staan zou ik als CPB toch eens gaan kijken. Een echte criminele hacker moet geld verdienen met zijn inbraak, en om geld te verdienen moet hij zijn waren aanprijzen.

Op die manier zijn de meeste grote hacks naar boven gekomen.

Gomez12 @Verwijderd • 21 september 2015 22:02

[...]
Wel, als er op de torrents een file komt dat FaceBook_Customers.txt komt te staan zou ik als CPB toch eens gaan kijken. Een echte criminele hacker moet geld verdienen met zijn inbraak, en om geld te verdienen moet hij zijn waren aanprijzen.

Op die manier zijn de meeste grote hacks naar boven gekomen.

Nog even daargelaten of FB onder deze wetgeving valt, maar als dit echt de planning is dan kan je leuke taferelen krijgen.

Ik plaats een torrent online Falconhunter_customers.txt en ik mieter er 200 potentiële email adressen in met wat extra gegevens (niet zo heel moeilijk) en jij mag je onschuld gaan bewijzen want anders heb je kans op een boete.

Armin @Verwijderd • 21 september 2015 22:30

zou ik als CPB toch eens gaan kijken

Inderdaad, en het CPB zal zeker in het begin streng moeten zijn omdat mensen/organisaties/bedrijven anders op de oude voet verder zullen gaan en gewoon niets melden.

Game_overrr @Verwijderd • 22 september 2015 12:00

Waar hij denk ik op doelt is dat het CPB nooit de capaciteit heeft om een dergelijk onderzoek in te stellen en iets te bewijzen, de bewijzen moeten altijd extern komen (hackers, journalisten etc.).

Iblies @martennis • 21 september 2015 20:15

In het algemeen komen fouten, al dan niet opzettelijk, wel bovendrijven.

Een voorbeeldje van afgelopen week is de manipulatie van VW en de uitstoot van hun wagens.
http://nos.nl/artikel/205...den-uitstootbeperker.html

De omstreden software zou "weten" wanneer de uitstoot van schadelijke stoffen wordt gemeten en laat de motor dan tijdelijk zuiniger draaien. Zo lijkt de auto zuiniger en milieuvriendelijker dan hij in werkelijkheid is.

Er gingen al lange tijd geruchten dat er in de software vreemde code zit. Dit omdat sinds jaar en dag dergelijke auto's worden getuned.

Hier zal het niet anders zijn, er zullen op vreemde tijden en plaatsen data boven komen drijven die daar eigenlijk niet zouden horen. De bron komt dan vanzelf wel in zicht.

djwice

@martennis • 21 september 2015 20:21

. Wat is dan het nut van de meldplicht?

Imo kan het CBP beter investeren in het preventief maatregelen nemen tegen datalekken. Laat ze bijvoorbeeld zorgen voor extra aandacht mbt security al op studies/opleidingen en verplicht bedrijven om jaarlijks hoogte te nemen van de nieuwste ontwikkelingen op het gebied van security.

Dat is er al. Trainingen, advies, hulp bij aanvallen, lekker etc. dat faciliteert de overheid al voor bedrijven waar het hier om gaat.

Data veiligheid van burgers ligt niet alleen bij CBP. Overheid weet dat je niet 100% tegen alle hacks beveiligd kunt zijn. Doel is dat iedereen doet wat hij kan.

Het is echt ook in het belang van bedrijven veiligheid van data op orde te hebben, en zo niet, snel hulp te krijgen van experts om zo veel mogelijk schade voor jou en je klanten te voorkomen. Ze coordineren dit, de teams hebben veel ervaring om dit soort dingen snel en goed te doen.

Luno @martennis • 21 september 2015 21:38

Je krijgt niet direct boete omdat je een lek meldt, maar wel een zeker boete als je een lek NIET meldt (tot 810,000)

Armin @martennis • 21 september 2015 22:37

Wat is dan het nut van de meldplicht?

Het CBP is anders dan het publiek niet vatbaar voor die truc.

En de betrokkene zelf ook. Immers groot abstract slecht nieuws is nog altijd minder revelant, dan persoonlijk 'klein' slecht nieuws. Ook heb je maar beperkt de tijd om te 'wachten' op slecht nieuws. Immers anders krijg je op je mieter van het CBP vanwege te lang wachten.

Plus dat voor beursgenoteerde bedrijven je de timing niet vrij kan bepalen omdat het koersgevoelig is.

Momenteel worden datalekken onder de pet gehouden vanwege slechte publiciteit voor het bedrijf. In de nieuwe regelgeving mag dat nooit tegenover het CBP, en enkel tegenover de betrokkenen indien:
1) de gelekte gegevens niet zijn nadeling voor de betrokkenen
2) er goede encryptie was.

Dat laatste is een groot voordeel, want nu zijn er anno 2015 nogs teeds lamballen bij bedrijven die persoonsgegevens op onversleutelde USB sticks rondzeulen en de laptop niet van Bitlocker of verwante software voorzien. In de toekomst hoef je iets niet (altijd) te melden indien het versleuteld was, en dus is er opeens een marketing/PR reden om encryptie te gebruiken. Vandaag is het vaak een eenzaam gevecht van een IT'er tegen een onverschillige organisatie.

bbob

Privacy

@Meauses • 21 september 2015 16:45

Vage ontwikkeling omdat de tekst vaag is:

aar, onder bepaalde omstandigheden, ook aan betrokkenen zelf doorgeven. Ze moeten hiervoor onder andere afwegen of het datalek ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer van die betrokkene. Ook moeten ze een inschatting maken of de versleuteling van de verloren persoonsgegevens sterk genoeg was.

Je moet dus zelf inschattingen maken. Tja maak je de verkeerde krijg je zeker een dikke boete. Altijd een melding maken dan ben je dus zeker, zelf inschatten betekend kop of munt ?
Dat lijkt me niet de bedoeling om zelf maar te gokken of je wat meer moet doen.

Meauses @bbob • 21 september 2015 16:49

Melding moet altijd gemaakt worden aan het CBP, aan de individu is dus inderdaad afhankelijk van eigen oordeel, zo blijkt. Ik gok dat het CBP hier wel iets van zal vinden als er een datalek gemeld wordt.

djrobo1989 @Meauses • 21 september 2015 23:24

In de richtsnoeren staat redelijk uitgelegd aan welke eisen voldaan moet worden om een melding te maken aan het individu. Belangrijkste van de meldplicht is het woordje plicht. Wanneer je niet meld vat het cbp dit volgens de wbp op als ernstig nalatig en kan de boete oplopen tot 810.000 of 10% van de jaaromzet als het eerder bedrag niet afdoende is. Als je als bedrijf goed je security op orde hebt, en dit kan aantonen zul je die boete nooit zo hoog krijgen. Inschatten kan vaak best goed met bijvoorbeeld een PIA (privacy impact assesment).

Verwijderd @bbob • 21 september 2015 19:27

Je moet dus zelf inschattingen maken. Tja maak je de verkeerde krijg je zeker een dikke boete. Altijd een melding maken dan ben je dus zeker, zelf inschatten betekend kop of munt ?
Dat lijkt me niet de bedoeling om zelf maar te gokken of je wat meer moet doen.

Dat is een van de zaken die je als ondernemer inderdaad correct moet inschatten. Ik heb dat zelf enkele malen aan de hand gehad (in Duitsland zijn de regels hierover al wat ouder). Het is echter niet iets wat je alleen doet, je vraagt daarvoor advies aan je juridische dienst (in een hele groot bedrijf) of aan de bedrijfsjurist (die vrijwel elk bedrijf van enige omvang heeft). Het is zijn taak om je te adviseren en om de omstandigheden en de wetgeving tegen elkaar af te wegen.

Aarzel je, dan doe je aangifte. Lijkt me niets mis mee. Als je een verkeerde inschatting hebt gemaakt dan zal je dat moeten uitleggen.

hardwareaddict @Meauses • 21 september 2015 18:46

"Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die
persoonsgegevens verwerken datalekken moeten melden aan het
College bescherming persoonsgegevens (CBP), 1 en in bepaalde
gevallen ook aan de betrokkene. De betrokkene is degene van wie
persoons gegevens zijn gelekt"

Ik interpreteer dat als dat geen enkele commerciele inlichtingendienst, bijvoorbeeld Ernst&Young, noch bedrijf, dat hoeft te melden.

Je moet namelijk OFFICIEEL "persoonsgegevens verwerken".
Dat doet niemand OFFICIEEL natuurlijk.

Wat je niet meldt dat komt ook niet in 't nieuws natuurlijk.

Martijn033 @hardwareaddict • 22 september 2015 14:28

Jawel, dat doen juist een heleboel bedrijven en (overheids-)instanties officieel. Die moeten zich aanmelden bij het CBP, ze moeten een veiligheidsbeleid op papier hebben staan, ze moeten een auditor hebben (extern of in dienst), en de procedures moeten worden worden getoetst door een extern bedrijf zoals een accountant.
Dus reken maar dat bedrijven een eventueel lek gaan melden want slechte publiciteit is dodelijk in dit soort gevallen.

hardwareaddict @Martijn033 • 24 september 2015 00:36

Ach joh elke hacker die ik in verleden tegenkwam (begeef me nu in betere kringen - te veel criminelen die scene ingekomen) die werkten bij bedrijf of organisatietje die onder mom van bedrijf zijn alles kon doen en laten wat ze wilden maar officieel doen ze alleen onschuldige dingen.

Niet 1 politieagent in heel Nederland die dat OOIT komt controleren.

Martijn033 @hardwareaddict • 24 september 2015 09:59

Niet 1 politieagent in heel Nederland die dat OOIT komt controleren.

Helaas ben ik dat dan wel weer met je eens...

SPT @Meauses • 21 september 2015 19:42

Ik vind de meldplicht wel een goede zaak, maar de plicht de betrokkenen in te lichten juist helemaal niet, tenzij het passwords betreft en mensen uiteraard gewaarschuwd dienen te worden zodat deze kunnen worden aangepast.

Er is achteraf toch niets meer aan te doen als gegevens eenmaal in verkeerde handen zijn gevallen. Tegelijkertijd zal het mensen enige tijd bezighouden, en zullen ze zich misschien (al daar niet terecht) ongerust maken over hun privacy of de kans op identiteitsfraude. Meer preventie lijkt mij veel beter. Zo mag het onveilig opslaan van passwords wat mij betreft bijvoorbeeld geheel mogen worden verboden, en zouden ook strenge standaards mogen worden ontworpen voor de opslag van andere gegevens.

ari3 @SPT • 21 september 2015 22:57

De betrokkenen in lichten is juist wat wel gedaan moet worden! Wanneer ik mij moet verantwoorden waarom er frauduleuze handelingen met mijn identiteit gedaan zijn wil ik toch graag kunnen wijzen op het feit dat mijn identiteit is buitgemaakt bij een hack.

Verwijderd 21 september 2015 16:37

Mioet je ook melding maken als je niet weet of de data gelekt is maar er alleen een mogelijkheid bestaan heeft dat die data gelekt kan zijn?

Dan kan je namelijk bij elke bug in je website of app misschien een melding moeten maken.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 17:21]

Alienus @Verwijderd • 21 september 2015 16:49

Dit is een verrekt goede vraag.

Hoe definieer je uberhaupt een lek?
Erg behulpzaam bij het beantwoorden van deze vraag is het document can het CBP mijn inziens niet:

Zijn de verwerkte persoonsgegevens
blootgesteld aan verlies of onrechtmatige
verwerking?

Als naar het weten van de 'mogelijk lekkende' organisatie er geen 'onrechtmatige verwerking' heeft plaatsgevonden, dan zou je dus denken van niet..

Kan ik redelijkerwijs uitsluiten dat er
persoonsgegevens verloren zijn gegaan
of onrechtmatig zijn verwerkt?

In de praktijk vraag ik me af of je dit kan doen; Eigenlijk moet je hiervoor namelijk alle opvragingen loggen, doe je dit niet, dan kan een organisatie alleen maar gokken op het niet-bestaan-van onbevoegde opvragingen..

En als het dus gegevens betreft van derden, dan komen zij (mogelijk) achter de schade, niet de organisatie die het lek had, ook al is het naar hun weten nooit misbruikt..

[Reactie gewijzigd door Alienus op 24 juli 2024 17:21]

FreshMaker @Alienus • 21 september 2015 16:57

Hoe goed bedoelt en naar buiten ook gesteld, zijn instanties als CPB wel héél makkelijk ingesteld.
Zelf de "macht" hebben om te berispen, door een set regels op te stellen op voorhand, waar je aan dient te voldoen.

Ondanks dat er in zo'n instantie mensen zullen werken die "begrijpen" hoe het er aan toe moet gaan, is het allemaal erg klinisch, en zwart wit.
Soms lijkt het lukraak zinnetjes op papier zetten, die misschien enig steek houden met het onderwerp, als onderbuikgevoel "als DIT zou gebeuren, dan had DAT voorkomen moeten worden"

PcDealer @FreshMaker • 21 september 2015 17:09

Nu is er een voorstel gemaakt en kan men daarop reageren. Hiermee kunnen jouw bezwaren mogelijk worden aangepakt.

hardwareaddict @PcDealer • 21 september 2015 18:49

En als ik dat lees dat voorstel dan is het lachwekkend voorstel.

WIE moet WAT melden?

Dat is gewoon niet helder omschreven.

Gomez12 @hardwareaddict • 21 september 2015 21:50

Tja maar dat is ook een eeuwigdurende strijd.

Ga je het 100% omschrijven zodat je gegarandeerd in de toekomst dingen mist (want mensen gaan dan buiten de 100% letterlijke omschrijving om werken)
Of houd je het een beetje in het midden zodat je in ieder geval de "geest" overbrengt en je de praktische invulling later kan doen.

hardwareaddict @Gomez12 • 24 september 2015 00:45

D'r werken paar honderd duizend man in Nederland in de semi-inlichtingendienst sfeer. Gedeelte daarvan is IT-er.

Maar op papier zijn ze allemaal brandschoon.

Als je met ze praat over dat wat ze doen feitelijk wel heel erg verdorven is - dan wijzen ze naar veel andere bedrijven en bedrijfjes:

"Wij houden ons aan spelregels, maar al die bedrijven en consultants die doen maar wat", om een generaal te citeren.

Er werken er honderdduizenden in dat vage grijze gebied. Het is, met een paar uitzonderingen, het enige wat nog geld oplevert in de IT in Nederland naast systeembeheerder zijn.

Maar op papier doet er NIEMAND iets fout.

Dus met deze spelregels ga je NIETS, maar dan ook NIETS oplossen.

De papieren werkelijkheid is alleen nog 1 stap verder verwijderd van de echte werkelijkheid.

djrobo1989 @hardwareaddict • 21 september 2015 23:27

Wie moet wat melden is als je de wbp kent geen issue. Ben je verantwoordelijke voor het verwerken van persoonsgegevens? Dan ben jij verantwoordelijk om te melden. Om te helpen of je moet melden zijn de richtsnoeren bedacht.

hardwareaddict @djrobo1989 • 24 september 2015 00:41

Ja maar beste djrobo - niet 1 ITer werkt zogenaamd bij een al dan niet semi-inlichtingendienst. Niet 1 IT bedrijf doet iets ongeoorloofds.

In Duitsland zitten overigens nog ergere boeven.

Op papier is iedereen schoon hier - maar niet 1 ITer in Nederland maakt een boterham zonder hier iets mee te maken hebben.

Het roofdierengedrag loopt de spuigaten uit - alleen op papier zijn het allemaal lievertjes.

Het is groot-Italie in Nederland in dat opzicht.

FreshMaker @PcDealer • 21 september 2015 17:15

Ik heb bijna wekelijkse regelmatig overlegrondes met externe bedrijven en organen.
Ervaring leert dat juist dit soort abstracte partijen zich vaak 'geweldig' superieur vindt, ten opzichte van het bedrijfsleven / de overlegpartners.

Inbreng is mogelijk, maar uiteindelijk besluit zo'n partij toch voor zichzelf, aangezien je niet 100% transparant inzicht hebt in alle belangen.

[Reactie gewijzigd door FreshMaker op 24 juli 2024 17:21]

Bruin Poeper @Alienus • 21 september 2015 18:16

Hoe definieer je uberhaupt een lek?

Haha dat vind ik een goeie!

Bij onrechtmatig verwerken zullen er doorgaans geen gegevens weglekken (=verdwijnen)

Verwijderd @Verwijderd • 21 september 2015 19:35

Mioet je ook melding maken als je niet weet of de data gelekt is maar er alleen een mogelijkheid bestaan heeft dat die data gelekt kan zijn?

Makkelijk antwoord, nee. Pas als er duidelijk aanwijzingen zijn wel.

Ik vind overigens het document behoorlijk duidelijk en ben er zeker van de betroffen mensen in mijn organisatie er wel weg mee weten. Ik zie hier veel spijker-op-laag-water-zoekers.

Gomez12 @Verwijderd • 21 september 2015 21:58

[...]
Makkelijk antwoord, nee. Pas als er duidelijk aanwijzingen zijn wel.

Ik vind overigens het document behoorlijk duidelijk en ben er zeker van de betroffen mensen in mijn organisatie er wel weg mee weten. Ik zie hier veel spijker-op-laag-water-zoekers.

Grappig, jij vind het behoorlijk duidelijk maar ik lees er toch iets totaal anders in : Je moet alles melden, behalve als je duidelijk kan uitsluiten dat het gebeurt is.

Mogelijkheid bestaan heeft valt onder : "Als u redelijkerwijs niet kunt uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid, dan moet u het datalek melden aan het CBP".
Pas als jij het kan uitsluiten hoef je het niet meer te melden.
En jij kan "een mogelijkheid bestaan heeft" nooit uitsluiten, want anders had de mogelijkheid niet bestaan.

FreezeXJ @Verwijderd • 21 september 2015 16:43

Dat verwacht ik niet, ik denk dat dit alleen aangetoonde lekken zijn. Als de organisatie dus wist dat er data gelekt is, moeten ze dat melden. Spelen ze een 'wir haben es nicht gewusst'-spelletje en blijkt later dat er iemand toch op de hoogte was, dan volgt die boete.

Wel vermoed ik dat er een regel is/komt die ze verplicht om datalekken na te gaan, zodat ze een zorgplicht krijgen. Hadden ze kunnen weten dat er lekken waren dan had dat goed onderzocht moeten worden. Doen ze dat niet, dan is dat nalatigheid, en kun je ze daarvoor ook pakken.

Zelf zeggen ze "Als u redelijkerwijs niet kunt uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid, dan moet u het datalek melden aan het CBP", lijkt me dus duidelijk. In twijfel: zoek het uit. Nog steeds twijfel: melden.

[Reactie gewijzigd door FreezeXJ op 24 juli 2024 17:21]

danielvn 21 september 2015 16:52

Gezien de hacks die onlangs in het nieuws zijn geweest, blijkt dat hackers soms al jaren of langer op bedrijfsnetwerken aanwezig zijn. Veel bedrijven hebben hun cybersecurity maatregelen niet op orde en zijn daardoor blind en doof. Veel is nu nog gericht op preventieve maatregelen terwijl de focus meer moet liggen op detective maatregelen. Het gevaar is dus aanwezig dat, als men eenmaal de detective maatregelen gaat implementeren, het kwaad zichtbaar wordt en men met de billen bloot moet. Vraag me wel eens af of dit bewustzijn en de impact die dit kan hebben op de organisatie (naast de boete, reputatie en imagoschade) bij de bedrijven aanwezig is.

gekkie @danielvn • 21 september 2015 17:36

Het gevaar is dus aanwezig dat, als men eenmaal de detective maatregelen gaat implementeren, het kwaad zichtbaar wordt en men met de billen bloot moet. Vraag me wel eens af of dit bewustzijn en de impact die dit kan hebben op de organisatie (naast de boete, reputatie en imagoschade) bij de bedrijven aanwezig is.

Met als gevolg dat bedrijven ook weer huiverig worden om het wel gewoon te melden.
Wat dat betreft moet je met dit soort zaken oppassen niet te licht maar ook zeker niet te hard te willen straffen. Als je de keuze hebt tussen failliet bij melden, en niet melden en dan hooguit failliet als het publiek wordt .. eenmaal raden wat er dan gekozen wordt.

Verwijderd @gekkie • 21 september 2015 19:48

Als je de keuze hebt tussen failliet bij melden, en niet melden en dan hooguit failliet als het publiek wordt .. eenmaal raden wat er dan gekozen wordt.

Zelfs de grootste lekken die bekend zijn hebben niet vaak tot faillissement geleid. Zelfs Ashley Madison is nog niet gesloten (ik zou er niet meer in investeren btw). De klanten en investeerders zien in dit soort lekken vaak geen erg groot probleem tot mijn verbazing. Zelfs hier op Tweakers zie je met regelmaat positieve reacties als een bedrijf snel openbaarheid van zaken geeft en oplossingen bied.

Ik zeg niet dat dit soort problemen goed zijn voor een bedrijf, maar met correcte marketing en PR lijken de gevolgen vaak mee te vallen. De praktijk lijkt dat in geval aan te tonen.

hardwareaddict @danielvn • 21 september 2015 18:50

Niet 1 bedrijf laat staan particulier weet hackers weg te houden. Ze vallen dan ook aan met militaire kennis over software, gaten, lekken terwijl het beveiligen van 1 computer tegen dat soort aanvallen al een ton kost.

Verwijderd @hardwareaddict • 21 september 2015 19:41

Niet 1 bedrijf laat staan particulier weet hackers weg te houden. Ze vallen dan ook aan met militaire kennis over software, gaten, lekken terwijl het beveiligen van 1 computer tegen dat soort aanvallen al een ton kost.

Ik zie dat we hier met een gedegen opgeleide veiligheidsexpert te maken hebben.

Als beveiliging per computer een ton kost en je beweerd dat het toch niets uitmaakt, mag ik dan voorstellen dat je netwerkbeheer overlaat aan anderen? Inderdaad is er geen absolute beveiliging mogelijk, net zoals elke bank overvallen kan worden en er in elk huis ingebroken kan worden. Maar dat doet er in het geheel niets toe.

Waar het hier over gaat is dat ALS het gebeurt de gevolgen duidelijk zijn voor de overheid en betroffenen zodat we maatregelen kunnen nemen. Het moet duidelijk zijn voor bedrijven dat het verzwijgen een slechte keuze is en dat ze bij een correcte melding een correcte afhandeling krijgen.

Caelestis @Verwijderd • 21 september 2015 21:20

Waar het hier over gaat is dat ALS het gebeurt de gevolgen duidelijk zijn voor de overheid en betroffenen zodat we maatregelen kunnen nemen. Het moet duidelijk zijn voor bedrijven dat het verzwijgen een slechte keuze is en dat ze bij een correcte melding een correcte afhandeling krijgen.

Tot zover zie ik alleen als maatregel het mogelijk geven van een boete. Een meld plicht is belangrijk maar dan komt de vraag "Melding gedaan en nu?"
Als men geen oplossingen kan bieden en alleen maar dreigementen kan uiten dan heeft het totaal geen zin voor grote bedrijven om zich eraan te houden ook al kunnen ze mogelijk een mini boete van 810k krijgen.

Het insteek van de meld plicht moet zijn hoe het probleem opgelost kan worden en niet hoe je een tik op de vingers kan krijgen als je wilt dat het enige vorm van bestaansrecht houdt.

hardwareaddict @Verwijderd • 21 september 2015 19:58

Het lijkt er sterk op dat je niet veel gevoelige data in je bedrijfje hebt liggen.

Dus verder praten over dit onderwerp met zo'n enorme expert is niet erg nuttig.

Echt 99.999% van de hacks komt nooit in het openbaar en data komt ook niet op straat komt te liggen. Die wordt verkocht en de koper heeft er weinig belang bij te vertellen dat hun overheid of bedrijf gebaseerd is op spionagedata.

Er is mij in het verleden wel eens data van concurrenten aangeboden tegen betaling. Bijna altijd 'partijen' uit het buitenland die zo iets aanbieden. Zelfs ermee naar de politie gaan compleet niets uit. Dat wordt dan een melding en er gebeurt niks.

Het gaat dan om data waar mensen fysiek ergens binnen moeten zijn geweest om die data te verkrijgen of op andere fysieke/hardwarematige methodes.

Maar natuurlijk 0 bewijzen daarvan.

Ga eens in een moslimgebied in India procederen - dat lukt je natuurlijk niet

Die gasten zijn al blij met 1000 dollar per maand - en dit zijn nog maar kleine jongens.

Je maakt met standaard hardware en software geen schijn van kans hiertegen - maar dan moet je ook interessante data op je computer hebben staan - ze komen niet langs voor wat kerstkaarten natuurlijk.

Meauses 21 september 2015 17:14

Dat is dan een keuze die ze maken, die ze later (hopelijk) nog duurder zal komen te staan. Niet alleen zal de boete hoger zijn, maar ook de reputatieschade.
Tevens zullen binnen een aantal sectoren (bijv financieel) dan de toezichthouders ook opspringen en de controle intensiveren op dat bedrijf net als het CBP dat dan zal doen.

Het bedrijf en het bestuur is eindverantwoordelijk voor het nemen van maatregelen tbv de bescherming van persoonsgegevens, niet het CBP. Er zijn al genoeg instanties dan wel bedrijven die een functie bekleden op het adviesvlak en dus voldoende mogelijkheden voor bedrijven om zich te wapenen.

hardwareaddict @Meauses • 21 september 2015 18:52

Je hebt geen idee ervan hoe professioneel men hacked he?

In 't nieuws komt nog niet 0.000001% van de hacks.

Meauses @hardwareaddict • 21 september 2015 20:30

Euhm ik werk in de IT beveiligingssector dus ben zeker goed op de hoogte, maar ik mis in je opmerking vooral de inhoudelijke reactie. Wat probeer je te zeggen met je reactie?

COW_Koetje 21 september 2015 21:26

Even een leuke hypothetische vraag:
Wat nu als deze instantie zelf gehacked word en alle meldingen worden inclusief gegevens die niet bedoeld waren voor publieke ogen ontvreemd. Waar gaan ze dit dan melden.
(wat natuurlijk in dezelfde strekking is of brein een medewerker zal aanklagen omdat hij illegale mp3's luistert op zijn werk)

Ik vind dit weer een mooi politiek verhaal waarbij een bedrijf zeer gemakkelijk kan zeggen dat ze of niet wisten dat er data was gelekt of gewoon de rekensom maken wat de kans is dat ze ooit betrapt gaan worden en wat de imago schade gaat kosten.
Mocht de imago schade hoger uitvallen dan de boete dan houd je gewoon je mond.
Veel bedrijven zullen nooit weten dat ze gehacked zijn totdat ze genoemd worden of gechanteerd worden. En dan nog zullen ze vaak nooit kunnen achterhalen wat er ontvreemd is.

Mooi initiatief maar in de praktijk weer zo lek als een mandje, net als de vele andere ict gerelateerde wetgeving.

Luno 21 september 2015 21:49

Ik heb een beetje de reacties doorgelezen en ik geloof dat er nog al wat mensen zijn die het niet begrijpen.

En lek/ datverlies moet je melden, Dat wil niet zeggen dan je een boete krijgt.
Meld je het niet (en het komt uit) dan kan de boete vrij hoog zijn (tot 810.000).

Dus allen die zeggen dan gaan bedrijven een lek niet melden hebben het niet helemaal begrepen.
Bij een Lek etc kan CBP gaan beoordelen of je wel je best hebt gedaan om de persoonsgegevens te beveiligen. Het je je dat naar beste weten gedaan dan wordt het een leermoment. Heb je niks gedaan (server staat open, wachtwoorden als plaintekst opgeslagen etc) dan heb je iets uit leggen.

Maar dit maakt dat alle bedrijven die met persoonsgegevens werken moeten nagaan of ze hun best wel doen. Zo nee, en er is een lek dan hang je.
M.a.w. ik juich dit toe. Is ook eens naar management toe een case van: lastig, maar als we het niet doet dan kan het meer kosten.
Overigens gaat het niet alleen om lekken. Maar de wet eist ook dat jij, als persoon, bij fouten in de registratie kan eisen dat de fout wordt rechtgezet, En dat kan wel eens belangrijker zijn dan het lekken,

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: