Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

De Europese meldplicht voor datalekken komt eraan. Bedrijven zullen volgens de nieuwe regelgeving datalekken moeten melden bij nationale overheden en krijgen een boete als ze datalekken onder de pet houden. Europese politici hebben overeenstemming bereikt over de regels.

De regelgeving staat in de komende richtlijn die als doel heeft een 'hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen' en ligt in lijn met de huidige Nederlandse wetgeving voor de meldplicht datalekken. De regels houden in dat beheerders van kritieke infrastructuur, zoals elektriciteitsnetwerken en gasmaatschappijen, gebonden zijn aan strengere regels dan aanbieders van minder belangrijke diensten.

Als een bedrijf een datalek onder de pet houdt, krijgen lidstaten de mogelijkheid om boetes op te leggen. Dat moet bedrijven ertoe aanzetten een lek te melden, ook als dat negatieve gevolgen heeft voor bijvoorbeeld het imago of de beurskoers. Door het tijdig melden van datalekken die de privacy van Europese burgers in het geding kunnen brengen, moet de impact van dergelijke lekken kleiner worden.

Lidstaten, de Europese Commissie en de verantwoordelijke commissie van het Europees Parlement hebben nu overeenstemming bereikt over de bewoordingen van het voorstel, dat al enkele jaren in behandeling is. Daarmee kan nu het gehele Parlement erover stemmen, waarna het kracht van wet kan krijgen. De richtlijn zal wel gelden voor bedrijven als Amazon, eBay en Google, maar niet voor sociale netwerken als Facebook, meldt Reuters.

Moderatie-faq Wijzig weergave

Reacties (41)

Het lijkt erop dat "vertrouwensdiensten" ook uitgezonderd zijn van de meldplicht (artikel 3). "vertrouwensdiensten" zijn organisaties zoals Certificate Authorities. Die uitzondering snap ik niet, het is voor CAs juíst belangrijk om open te zijn over dit soort zaken, kijk maar naar incidenten in het verleden zoals Comodo en DigiNotar.
Disclaimer: ik heb zelf de plank mis geslagen: mijn verhaal gaat over de data protection regulation, terwijl het artikel over een andere richtlijn gaat rond kritisch infrastructuur. Wat hieronder staat klopt dus niet mbt dit artikel! (maar ik laat het ter referentie staan). Knal die score maar omlaag... :)

Die uitzondering heb ik in de verordening nergens zien staan. Let op: het gaat ook om datalek van persoonsgegevens. Een CA kan best een lek hebben maar als dat niets met persoonsgegevens te maken heeft, valt dat niet onder deze verordening of de meldplicht.

tweakers.net: tis een verordening geen richtlijn. Zeer belangrijk verschil: richtlijn bevat doestellingen, die moeten lidstaten omzetten tot eigen wet (met eigen nuances), verordening geldt meteen binnen de hele unie en ook precies zoals die beschreven is.

Daarnaast geldt de verordening voor iedereen, dus ook voor Facebook. Geen idee waar dat vandaan komt dat het niet voor Facebook geldt. Iedereen die persoonsgegevens van Europese burgers verwerkt valt er onder, daar slaat Reuters de bal flink mis. If anything valt Facebook onder de zwaarste categorie vanwege de hoeveelheid persoonlijke data die ze verwerken en de aard er van.

Tot slot nog nuttig om mee te geven: datalekken moeten gemeld worden 'without undue delay', of er nog een concrete tijd op komt (bv 72 uur) is niet duidelijk. Pas op 15 december zijn de laatste gesprekken afgerond.

http://www.eppgroup.eu/news/Data-protection-reform-timetable

edit: without undue delay natuurlijk...
edit 2: zie disclaimer

[Reactie gewijzigd door Dasprive op 8 december 2015 10:13]

Het bericht op Tweakers is verwarrend, maar je haalt twee verordeningen door elkaar.

Deze verordening omvat een meldplicht voor ICT inbreuken van bedrijven die worden gerekend onder kritieke infrastructuur (hier hoeven dus niet perse persoonsgegevens bij betrokken zijn).

De nieuwe data protection verordening, waar nog over wordt onderhandeld, omvat een meldplicht voor alle bedrijven die te maken hebben met een datalek waarbij persoonsgegevens verloren gaan.
De meldplicht datalekken gaat per 1 jan 2016 in en betreft ook (juist) het lekken van persoonsgegevens. Daar valt Facebook dus beslist onder.
https://cbpweb.nl/nl/melden/meldplicht-datalekken
Dat klopt, maar in de discussie hier lopen verschillende meldplichten door elkaar heen en dat probeerde ik te verhelderen.

Nederland loopt met de eigen wetgeving voor op de Europese wetgeving en introduceert inderdaad al per 1 januari een meldplicht voor datalekken met persoonsgegevens.

In dit artikel gaat het echter om een meldplicht voor ICT inbreuken voor de vitale infrastructuur. Nederland loopt ook hier in voor en komt met een eigen voorstel, zie: https://wetgevingskalender.overheid.nl/Regeling/WGK003477.
hmm ik heb niet graag in welke richting dit gaat...

Wat moet een ICT beveiligings firma doen als ze een lek detecteren?

Normaal gezien moet je eerst betalen voor het audit rapport te krijgen (wat normaal is, want als ICT bedrijf heb je veel energie en geld gestoken in het onderzoek)

Maar deze wet kan je dan verplichten om het af te geven omdat je een lek gevonden hebt ????

kan iemand dat verduidelijken? of is er toch iets voorzien voor dit geval op te vangen?
Er is een duidelijk onderscheid tussen een risico en een daadwerkelijk lek. De meeste beveiligings audits identificeren risico's. Een risico is geen daadwerkelijk lek, en hoeft niet als zodanig gemeld te worden. Het is natuurlijk wel aan de auditee om deze risico's vervolgens daadwerkelijk te adresseren.

Maar, mocht een beveiligingsfirma een daadwerkelijk lek identificeren, dan is de beveiligingsfirma niet de bewerker en/of eigenaar van de gegevens, en hoeft deze volgens mij niet te melden. Als het lek bij de eigenaar gemeld wordt, is de eigenaar wel direct verantwoordelijk voor het melden hiervan.
Melden is iets anders dan publiceren. Als je als bedrijf in een dergelijke sector ontdekt dat je gehacked bent moet je snel contact opnemen met politie en justitie, die gaan je dan helpen. Het gaat niet om een plicht om meteen te publiceren dat je ergens gehacked bent, het gaat om de plicht om aan de verantwoordelijke autoriteit te melden dat je gehacked bent.
Even de laatste inspanningen van de politiek volgende. Die willen graag dat encryptie wordt opgeheven, zodat ze overal bij kunnen. Dat betekent dat in veel gevallen data onversleuteld over het net gaat.

Spreken we dan ook van een data-lek... ??
Niet bepaald onversleuteld, maar wel aantoonbaar systematisch verzwakt en dus potentieel onbeschermd. Met betrekking tot deze wetgevingen hoop ik zelf dat politici eindelijk wat meer gaan léren van de IT wereld, in plaats van zich als een bange paus op te stellen.
Dan zou ik nu willen stellen dat: de politici bij deze "zichzelf in de voet geschoten" hebben...
Ik zou het ook hoog tijd vinden dat een politicus zich weer écht in de voet kan schieten... bijna nooit dat een uitspraak vol complete onwaarheden daadwerkelijke repressailes noch een correctie of restitutie (op zijn minst) lijken bij deze mensen langzaamaan overbodig geworden... Terwijl ik zou durven stellen dat het gezien hun bestuurlijke macht, dit zeker niet zo zou mogen zijn.
edit; had waar- ipv onwaarheden geschreven

[Reactie gewijzigd door Annihlator op 8 december 2015 12:47]

Ik zou het ook hoog tijd vinden dat een politicus zich weer écht in de voet kan schieten...
Dat zou dan Mark Rutten moeten zijn, toch....
Die heeft al meermaals gezegd dat hij altijd een geladen pistool op zak heeft als hij naar een overleg gaat. :P
Dat betekent dat in veel gevallen data onversleuteld over het net gaat.
Natuurlijk niet!
Je wilt als overheid dat JIJ er wel bij kunt, maar die boze kwade 'terroristen' niet. Dus hele zware encryptie, met een CC-tje van de sleutel naar de overheid.
Encryptie opheffen zal sowieso niet gebeuren: daarvoor moeten men bijvoorbeeld ihkv deze verordening persoonsgegevens verplicht versleutelen dus dan wordt dat moelijk.

Backdoors daarentegen... maar ook daar hoop ik dat de bedrijven a la Google en Apple hun lobby eens een keer positief inzetten.
Waarschijnlijk is dat verhaal van Reuters gebaseerd op deze (oude) discussie:
http://www.pcworld.com/ar...tical-infrastructure.html
CA's hoeven niet aktief te melden (als het al in het document staat); stel nou dat er weer een certificaat a la Diginotar in omloop is, is het veel slimmer dat een CA dit eerst gaat oplossen en "dus" moeten we misschien duizenden sites en infrastructuren voorzien van een nieuw certificaat.

Pas als dat gedaan is, kan je als CA/melder pas open kaart spelen zonder ineens allerlei gatenkaas openbaar te maken waar elke grapjas nog even naar kan hacken/proben.
Lijkt mij juist dat het de bedoeling is het te melden aan het landelijk CERT. Die kunnen dan samen met betroffene beslissen wanneer het publiekelijk moet worden / hoe te handelen.
Het is veel slimmer dat degene die de melding krijgt deze simpelweg geheim houdt, maar er wel van op de hoogte is.

Als een bedrijf (zeker een CA) zelf mag bepalen of hij gebruik maakt van de meldplicht omdat een probleem in zijn ogen zogenaamd (nog) niet oplosbaar is dan schieten we natuurlijk niks op.
Je zou kunnen stellen dat ze inderdaad beter kunnen wachten met melden tot het beveiligingsprobleem is opgelost, anders weet iedereen dat je beveiliging lek is en zouden er misschien in de tussentijd nog meer mensen binnen dringen.
Waar staat dat precies in het document?
Waarom alleen bedrijven? Waarom mogen burgers en overheden wel data lekken zonder hier voor gestraft te worden?
Het artikel niet begrepen? Wanneer is de laatste keer geweest dat jij, als individu, een dusdanig data-lek thuis had waardoor 90% van de prive-gegevens van een willekeurig Europees land op straat kwam te liggen?
Het gaat hier slechts om een meldplicht, niet of een datalek al dan niet strafbaar is.
De meldplicht datalekken persoonsgegevens geld voor zowel bedrijven als overheden. Het is met name in het leven geroepen vanwege de grote affaire bij de NZa namelijk.

https://cbpweb.nl/nl/melden/meldplicht-datalekken

[Reactie gewijzigd door Nonode op 8 december 2015 13:22]

bijna elk bedrijf heeft te maken met persoons gegevens. denk aan medewerkers gegevens.
klant gegevens, IP adressen/ logs

als je het zo bekijkt is zelfs jan de timmerman met 5 man personeel meldplichtig bij een lek.

ben benieuwd hoe ze dit willen gaan handhaven
Geloof dat het er ook wel een beetje mee te maken heeft dat, om het maar zo te verwoorden, "Men het tijd vindt dat op zijn minst de bedrijven met resources om hier zelf op te controleren, die resources ook eens gaan toepassen." Ik heb zelf ook in verscheidene bedrijven gewerkt die IT meer als een noodzaak lijken te beschouwen, en tijd náást implementatie van nieuwe tools lijkt men amper beschikbaar te stellen (Ik zit wel in de MKB, dat scheelt gelukkig iets qua schaal.) Het beproeven van security-principes, voorlichting geven over juist omgang met gegevens en dergelijke moet ik dikwijls veel te veel tijd besteden aan mijn motivatie richting de baas alvoor aan dat soort punten tijd besteed kan worden.
Vreemd genoeg lijkt het preventief handhaven van IT-security daardoor een beetje beschouwd te worden als onnodig kostenplaatje, totdat het lek dáár is of een applicatie ineens niet werkt, dan had het 10 minuten geleden al opgelost moeten zijn... *zucht*
Zoals met alle wetten (die uiteindelijk worden gemaakt a.h.v. de richtlijnen) is het vooral bedoeld als middel om op te kunnen treden als er een overtreding wordt begaan. Nu kan een bedrijf (groot of klein) lekken zonder dat je daar iets aan kan doen. Als dat kleine bedrijf met 5 man personeel kritische informatie lekt kan je ze aanpakken op het moment dat er wetgeving is. Dat wil niet zeggen dat er geen datalekken meer zullen zijn.
De impact bij die timmerman is nogal beperkt, daar gaat dit verhaal specifiek niet over.

Waar het om gaat is dat er al langer plichten zijn voor telecomoperators om zich netjes te gedragen en om hacks te melden maar dit nog niet geldt voor andere kritische sectoren, daarom is deze regulering er gekomen. Een hack bij die timmerman heeft geen maatschapelijke impact, een hack bij NUON of de NS wel.
Waarom geldt de richtlijn niet voor Facebook?
"kritieke infrastructuur"
Ja want Google, Amazon en Ebay zijn wel bedrijven met een kritieke infrastructuur.. 8)7
Amazon AWS? Google (for business) Apps / Mail / Drive / DNS?

eBay snap ik inderdaad ook niet; anders dan dat het voor een flink aantal fysieke bedrijven ook een verlenging is naar het internet.
Maar dat is Facebook ook voor een hoop bedrijven.
Goede vraag. De richtlijn noemt in bijlage twee nu juist ook sociale netwerksites als relevante marktdeelnemers, op het eerste gezicht. Heb nu geen tijd er dieper in te duiken maar de stelling van reuters lijkt niet met de richtlijn te stroken.
Het verbaasde mij ook dat die zo genoemd werd, ik was in de veronderstelling dat het wel voor toko's als Facebook zou gelden. Het gaat immers om iedere lek waardoor privacy van mensen op grote schaal geraakt wordt, en dat geldt ook voor Facebook, lijkt me.

Het zou kunnen dat het komt doordat Facebook geen kritieke dienst is en er ook geen kritieke diensten van afhankelijk zijn en het geen bedrijf uit de financiële sector is ofzo
Voor de financiële sector bestaat dit al een tijd en kan me voorstellen dat het logisch is dit verder te trekken. Amazon en Ebay kan ik me voorstellen aangezien die bedrijven aardig wat klanteninfo hebben, privacy issues anyone?

,
Het is een interessant onderwerp aangezien er in Amerika een andere tendens gaande is. Mijn EDP auditor heeft mij in oktober ingelicht omtrent de nieuwe NL regelgeving.

1. Het afgekeuren door europees gerechtshof van het Safe Harbor akkoord(had volgens mij voornamelijk te maken met iets op facebook).
2. introductie van US Act S. 754 wat inhoudt dat bedrijven alle informatie met amerikaanse regering moeten delen.
3.En dus nieuwe regelgeving omtrent het opslaan en verwerken van persoonsgegevens in de EU.

Er moet tevens op gelet worden dat het lekken van data veel verder gaat dan een inbraak in een computer. Bijv verliesen van een USB of malware op je computer wordt al gezien als een lek. controleer maar eens wat al je gebruikers thuis installeren en bekijken op hun werk computer.

Daarnaast zijn persoonsgegevens ook wat ruimer dan men zou denken, email, naam en adres zijn niet meer de enige dingen waar op gelet moet worden. Ook IP adressen, religie, gezondheid etc.
Het is in essentie prettig dat er getracht wordt om een zorgvuldige bescherming van persoonsgegevens wat meer te forceren. Wat is helaas mis bij dit soort kwesties: de direct benadeelde partijen (de personen van wie de gegevens op straat liggen) worden nooit gecompenseerd voor het op straat liggen van hun gegevens (los van de praktische uitvoerbaarheid bij het compenseren van "1337haxor@throwaway.com").
Als 1337haxor@throwaway.com niet te traceren is naar een persoon kan je moeilijk beweren dat dat email adres een persoonsgegeven is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True