CBP publiceert definitieve beleidsregels meldplicht datalekken

Het CBP heeft de definitieve beleidsregels voor de meldplicht datalekken gepubliceerd. Aan de hand van deze regels kunnen organisaties vaststellen of er sprake is van een datalek en aan wie zij dit moeten melden. De meldplicht voor organisaties gaat in op 1 januari 2016.

De beleidsregels zijn gepubliceerd op de site van het College bescherming persoonsgegevens, dat vanaf 2016 'Autoriteit Persoonsgegevens' zal heten. Aan de hand van deze regels kunnen organisaties onder andere vaststellen of er sprake is van een datalek. Dit hoeft niet bij elk beveiligingsincident het geval te zijn. Het niet melden van een datalek kan een boete opleveren die kan oplopen tot 820.000 euro.

Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of als dit niet kan worden uitgesloten. Ook moet er sprake zijn van een 'een inbreuk op de beveiliging', waarbij het gaat om de beveiliging die voor verwerkers van persoonsgegevens wettelijk is verplicht. Een zwakke beveiliging levert dus niet meteen een datalek op.

Een datalek moet ook aan de betrokkene gemeld worden als er negatieve gevolgen zijn voor de persoonlijke levenssfeer. Met 'betrokkene' wordt de persoon bedoeld waarvan persoonsgegevens worden verwerkt. Ook hier speelt de aard van de gegevens weer een belangrijke rol. Zo zullen er bij gevoelige gegevens sneller negatieve gevolgen optreden.

De invoering van de meldplicht per 1 januari staat los van de ontwikkelingen op Europees niveau waarbij onlangs een akkoord is bereikt over een nieuwe Europese richtlijn. Deze bevat een meldplicht voor beveiligingsincidenten.

IT-banen

Reacties (47)

dretje 9 december 2015 11:31

Het is een goede zaak dat hier een definitieve richtlijn voor komt die beter aansluit op de huidige praktijk van vandaag de dag. Zorgorganisaties zullen hier nog heel wat werk moeten verrichten om dit goed in kaart te krijgen. Je kunt je namelijk afvragen of de voorzieningen wel aanwezig zijn om er uberhaupt achter te komen of er sprake is van een datalek of verlies van data. Zoals in het artikel al is geschreven leidt een zwakke beveiliging niet per definitie tot het lekken van data. Echter is en blijft de regel van kracht dat "wat je niet ziet, dat is er niet". Welke mechanismes heeft men dan ook om aan te nemen dat er sprake is van een datalek en het verlies van data?
De zorg heeft er op dit gebied al een tijdje een zorg bij en vanaf 1 januari zal dat voor veel instellingen een hoofdpijn dossier kunnen worden.

bbob

Privacy

@dretje • 9 december 2015 11:52

Het blijft idd vaag, want hoe weet je dat er een lek is. Moet je dagelijks alle log files doorlopen ? Lijkt me onbegonnen werk.

Neemt niet weg dat op het koment dat je het te horen krijgt of een vermoeden hebt dat je actie moet ondernemen.

Wat ook weer vaag is, is de melding wanneer is het echt belangrijk. Bewaarde je alleen naw gegevens en worden die gestolen moet je het dan melden.

Zitten er bijv geboortedata bij of bankgegevens wordt het weer iets anders..
De hoogte van de boete is leuk maar in de praktijk moet je het heel bont maken om die echt te krijgen.

djrobo1989 @bbob • 9 december 2015 13:06

Het stuk is daar volgens mij best wel duidelijk in. Je moet zelf zorgen voor goede middelen om lekken (tijdig) te kunnen herkennen en als hier dus uit blijkt dat je een lek hebt dien je binnen 72 te melden aan de autoriteit persoonsgegevens.

"De Wbp verplicht u om te zorgen voor voldoende beveiliging van de
persoonsgegevens die u verwerkt, ook als u bij de verwerking een bewerker
inschakelt. Adequate beveiliging door de bewerker is in meerdere opzichten van
belang voor de naleving van de meldplicht datalekken. Ten eerste levert een adequate
beveiliging een belangrijke bijdrage aan het voorkomen van datalekken. Ten tweede
stellen maatregelen zoals intrusion detection de bewerker in staat om (mogelijk)
ongeoorloofde toegang tot persoonsgegevens tijdig te onderkennen en u daarover tenb informeren. Meer informatie over de beveiliging van persoonsgegevens bij
verwerking door een bewerker treft u aan in de richtsnoeren Beveiliging van
persoonsgegevens van de Autoriteit Persoonsgegevens."

mbt. persoonsgegevens.
naast de gegevens zoals Ryckeck benoemt, zegt het stuk ook dat geencrypte/gehashte persoonsgegevens ook persoonsgegevens kunnen zijn als de sleutel, herhashen beschikbaar zijn. Denk hierbij aan databases die voor analyses gebruikt worden.

[Reactie gewijzigd door djrobo1989 op 23 juli 2024 04:06]

Verwijderd @djrobo1989 • 9 december 2015 13:48

Dus.. wat gebeurt er dan, als er gebruik is gemaakt van een onbekend beveiligingslek en dit al ruim voor die 72 uur is uitgevoerd?

Ik ben niet goed in expliciete voorbeelden te noemen, maar je hebt een 100% kans, dat dit gebeurt bij organisaties, die wel daadwerkelijk beveiliging hoog hebben staan.

Komt nu een beetje over, dat je heel erg de sjaak bent, als je wordt getroffen door een deskundige hacker, die vooralsnog onbekend methodes gebruikt.
"Ha, ik heb je data en ik heb een paar dagen gewacht. Geef mij geld, of geef hun nog meer geld".

Het is goed dat er richtlijnen worden opgezet, maar liever zou ik verplichte security audits en dergelijke in onder andere de zorg sector willen zien. Daar gaat dan ook met de absolute 100% misbruik van gemaakt worden, maar het is iets.

djrobo1989 @Verwijderd • 9 december 2015 13:56

Natuurlijk zijn dat situaties die voorkomen. 100% beveiliging bestaat immers niet.

Daarom staat er ook, je moet goede maatregelen nemen in kader van beveiliging en herkenning. Zodra je wel weet dat er een lek is, dan moet je binnen 72 uur melden. Als blijkt dat een hacker/cracker je gegevens al een tijd heeft en ze bv gepost heeft op reddit, dan moet je asap reageren als je dit te weten komt. Als blijkt dat je niks hebt gedaan terwijl je redelijkerwijs had kunnen weten dat er iets mis was en je hebt geen maatregelen genomen om het te voorkomen denk ik dat de autoriteit persoonsgegevens je niet lief gaat vinden en visa versa.

Verwijderd @djrobo1989 • 9 december 2015 14:06

Ja, maar.. ik vraag me af hoe dicht getimmerd dit zit.

Een multinational kan je van verwachten dat die een dedicated security iemand in dienst heeft.
Bij de MKB bedrijven.. hoe ver gaat precies de verantwoordelijkheid.
Ik zal zelf bepaalde lekken pas door hebben, na op bepaalde nieuwssites (ala Tweakers) gekeken te hebben, maar zeker met de kleinere bedrijven.. Vind/zie je het niet snel.

Misschien moet ik het stuk eens verder in gaan lezen om een oordeel te kunnen maken.
Neem in ieder geval aan, dat die hoge boetes.. doorgaans alleen gelden voor.. banken, zorgverzekeraars et cetera. (en dan is de boete van 8 ton te laag)

djrobo1989 @Verwijderd • 9 december 2015 14:20

Ja natuurlijk, mkb is lastiger, maar dat wil niet zeggen dat zodra je het weet je niet hoeft te melden omdat je mkb bent(gechargeerd gezegd).
In principe zegt het stuk dat je procesmatig weet wat je moet doen en hoe je moet melden. Alles met als doel dat als het mis gaat je leert van je fouten en dat de betrokkenen bv hun wachtwoorden wijzigen.

Mbt de boetes, 8 ton zal niet zomaar gegeven worden het moet wel in verhouding staan tot het lek en het bedrijf/instelling. Overigens volgens mij kan het ook 10% van de jaaromzet worden als 8 ton niet past bij het betreffende bedrijf.

Mocht je na het lezen vragen hebben, ik ben redelijk thuis in het stuk/wetten stuur dan ff pm😏

Tweekzor @Verwijderd • 9 december 2015 14:05

De regelgeving heeft betrekking op na de ontdekking. Uit meerdere onderzoeken komt naar voren dat een hack/aanval gemiddeld 8maanden onopgemerkt blijft binnen een bedrijf, Het is dan inderdaad niet te doen om de termijn 72uur na de aanval te stellen.

De termijn van 72uur (weekenden uitgezonderd!) is gekozen om bedrijven de tijd te geven het lek te onderzoeken en concrete informatie te verzamelen over welke gegevens wel en niet betrokken zijn bij de aanval.

Overigens lijkt de algemene indruk hier te zijn dat het "Melden van een datalek" betekent dat het publiek gemaakt wordt, echter gaat het hier om het melden aan het CBP. Deze bepaalt vervolgens of de betrokkenen ingelicht moeten worden aan de hand van de gelekte gegevens (denk aan medische gegevens, BSN, creditcard, ...). Het melden an sich brengt dus geen negatieve gevolgen met zich mee, het voorkomt enkel een boete.

Verwijderd @Tweekzor • 9 december 2015 14:08

Hm oke.. dan is in ieder geval die zorg bij mij weg.
Met mijn huidige aanstelling zou ik het in principe moeten merken, als er rare dingen gebeuren.. maar vrijwel overal anders.. was die 72 uur onhaalbaar geweest.

Ik moet het stuk beter gedetailleerd gaan lezen, als er uberhaupt nu al meer informatie over is.

Ryceck

@bbob • 9 december 2015 12:50

In principe alle gegevens welke betrekking hebben op personen of welke personen identificeren vallen onder de noemer persoonsgegevens.

Dus:
- Adres gegevens
- Bankgegevens
- Emailadressen
- Geboortedata
- Achternamen
- etc.

De hoogte van de boete is een maximum boete, alle bedragen daaronder tot aan 0 zijn ook te verkrijgen afhankelijk van de ernst van het lek

bbob

Privacy

@Ryceck • 9 december 2015 13:36

Vervolgens moet het lek aan het CBP gemeld worden als er 'aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens' bestaat. Hierbij moet rekening worden gehouden met de aard van de gegevens. Bij gevoelige gegevens, zoals bijzondere persoonsgegevens, gebruikersnamen, wachtwoorden en gegevens over de financiële situatie van de betrokkene, zal sneller melding gemaakt moeten worden.

De vraag is of je naam en adres onder een meldingsplicht valt. Zul je bij het lekken daarvan ernstig nadelige gevolgen ondervinden.

Als die gegeven bij bij een website over specifiek medische problemen staan misschien wel, bij bol.com of vergelijkbare webshop is het maar de vraag.

djrobo1989 @bbob • 9 december 2015 14:05

Volgens mij zul je ook naw lek moeten melden. Naw zijn namelijk ook persoonsgegevens in de zin van de wet bescherming persoonsgegevens. Maar ik ga er van uit dat autoriteit persoonsgegevens minder streng hierop zal reageren dan als er bijzondere/gevoelige persoonsgegevens bij het lek betrokken zijn.

[Reactie gewijzigd door djrobo1989 op 23 juli 2024 04:06]

Verwijderd @bbob • 9 december 2015 12:22

Het zou duidelijk zijn al zouden ze meer concrete verplichtingen stellen, bijvoorbeeld als zorginstellingen eens per anderhalf volledige IT screening door gecertificeerd bedrijf, en ook mogelijk hardere consequenties voor instellingen die slecht met hun wachtwoord/key policy omgaan.
Al weet ik dat het lastig is om te voorkomen en dat het in veel instellingen doodnormaal is om de loginkey van de arts of van iemand anders te gebruiken, is het nog steeds wel een belangrijk aandachtspunt.

CAPSLOCK2000

Privacy

@Verwijderd • 9 december 2015 13:55

Het zou duidelijk zijn al zouden ze meer concrete verplichtingen stellen, bijvoorbeeld als zorginstellingen eens per anderhalf volledige IT screening door gecertificeerd bedrijf, en ook mogelijk hardere consequenties voor instellingen die slecht met hun wachtwoord/key policy omgaan.

Dat zou ik ook graag willen. Ik zie ook nog wel iets in een verplichte verzekering tegen datalekken of IT-schade, net zoals de verplichte verzekeringen voor automobilisten. De verzekeraars kunnen dan korting geven als je een aantoonbaar goede beveiliging hebt. Zo staat computerveiligheid opeens op de kaart. In plaats van dat veiligheid alleen maar geld kost kun je geld besparen op je verzekering met een goede beveiliging.

Nu "sparen" bedrijven ook geld uit door niks aan beveiliging te doen. Ze nemen als het ware de gok dat het goed gaat. Als het fout gaat kunnen ze onmogelijk voor de kosten opdraaien en gaan ze failliet. De kosten komen dan bij de slachtoffers of bij de staat te liggen. Ik snap het wel, want voor het gemiddelde kleine bedrijf is goede beveiliging onbetaalbaar. Er zal een markt moeten ontstaan voor goedkope IT die wél veilig is. Dat zal dan wel ten koste gaan van de functionaliteit (het geld moet ergens vandaan komen) maar vroeg of laat zullen we moeten betalen. Ofwel met geld, ofwel met functionaliteit, ofwel door je data te verliezen (en een boete te krijgen

dnrb @bbob • 9 december 2015 13:22

Vrij simpel omdat ik als klant gespammed wordt op een emailadres dat ik alleen bij dat bedrijf gebruik.

Voorbeeld ik werd gespammed op Gsmweb@...... .nl
Dus probeer ik te melden dat zij een lek hebben... en werd van het kastje naar de muur gestuurd.
Hopelijk kan je dan ook een instantie inschakelen die zo'n bedrijf een vette boete geeft.

Wody 9 december 2015 11:56

Voortaan zijn er dus 0 (Nul) datalekken, en deze nooit gemeld zullen worden. Dit komt omdat er nooit persoonsgegevens verloren gaan, zelfs als deze door de cracker gewist worden (er zijn immers backups, staat zelfs in de toelichting in 3.2), en de andere voorwaarde, uitgaan van verwerken van persoonsgegevens, zal ook nooit gebeuren omdat bij het toegang krijgen van de gegevens, de procedures voor het verwerken van het bedrijf niet gevolgd zijn, en er dus geen toegang onder de noemer 'verwerken' is geweest.
Natuurlijk klopt dat niet volgens de toelichting in 3.3, maar er is genoeg wat er niet instaat waarom je eromheen kan praten om toch niet te melden.

Ryceck

@Wody • 9 december 2015 12:41

Erg kort door de bocht en jammer genoeg volledig incorrect wat je hier meldt:
- "Verloren gaan" is niet hetzelde als kwijtraken maar moet je lezen als "is in handen gevallen van een niet daarvoor bevoegd persoon"
- "Verwerken" of in deze context hier specifke benoemd "Onrechtmatige verwerking" houdt in dat een niet daartoe bevoegd persoon enige acties op de gegevens heeft uitgevoerd of een daar wel toe bevoegd persoon onjuiste acties op de gegevens heeft uitgevoerd.

Hier "omheen praten" is dan ook verre van zo gemakkelijk als jij nu denkt en schetst. Het proces is namelijk erg simpel en sluit het "niet melden" eigenlijk al uit:
- Persoonsgegevens zijn alle gegevens omtrent personen of waarmee personen geidentificeerd kunnen worden
- Als je persoonsgegevens in bezit hebt moet je deze beschermen
- Als deze bescherming onvoldoende blijkt en er gegevens onterecht in handen van derden terecht komen moet je daar melding van maken
- Afhankelijk van de ernst meld je dit aan de AP of direct aan de betrokkene

En het simpele feit dat er een boete van maximaal 820.000 euro aanhangt zorgt wel dat mensen het gaan melden. Immers het niet melden houdt in dat je het risico loopt dat je een boete een je broek krijgt waar je winstdeling op het einde van het jaar aardig van naar de knoppen gaat; ben benieuwd hoe je dit uitlegt aan je werknemers/aandeelhouders/directie.

Ik raad je in ieder geval aan het artikel nog eens te lezen (of de orginele wettekst eens door te bladeren) voordat je nog meer incorrecte aannames gaat maken.

[Reactie gewijzigd door Ryceck op 23 juli 2024 04:06]

letsa @Ryceck • 9 december 2015 17:02

Neen, dit is niet kort door de bocht. "Verloren gaan" is hetzelfde als kwijtraken. Ik citeer uit het beleidsdocument, pagina 22:

"Verlies houdt in dat u de persoonsgegevens niet meer heeft. Bij het
beveiligingsincident zijn de persoonsgegevens vernietigd of op een andere manier
verloren gegaan, en u beschikt niet over een complete en actuele reservekopie van de
gegevens. In deze situatie is er sprake van een datalek."

Wat jij bedoelt, met "verwerken" wordt inderdaad onder "verwerking" geschaard:

Onder onrechtmatige vormen van verwerking vallen de aantasting van de
persoonsgegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. Als
u redelijkerwijs niet kunt uitsluiten dat een inbreuk op de beveiliging tot een
onrechtmatige verwerking heeft geleid, dan moet u de inbreuk beschouwen als een
datalek.

Ook leuk, het document schetst een situatie waarin een database met persoonsgegevens door een menselijke fout van een systeembeheerder is vernietigd. Indien er een complete, actuele back-up beschikbaar is, is dit geen datalek. Anders wel:

De aard van het beveiligingsincident is niet relevant voor de vraag of er al dan niet
sprake is van een datalek. Anders dan de memorie van toelichting bij de
wetswijziging suggereert,13 is er ook sprake van een datalek als de persoonsgegevens
verloren zijn gegaan als gevolg van een calamiteit en er geen actuele reservekopie
beschikbaar is.

Betekent dit dat bedrijven die persoonsgegevens vernietigen (bijv. de zaak van Peter R tegen Facebook), dit nu steeds moeten melden? Of geldt hierbij de kanttekening dat je als organisatie het ook 'jammer' moet vinden dat de gegevens weg zijn?

[Reactie gewijzigd door letsa op 23 juli 2024 04:06]

Cerberus_tm

@Ryceck • 9 december 2015 15:45

Ik neem inderdaad aan dat dat is wat ze bedoelen met "verloren gaan", maar ik vind het heel raar geformuleerd. Eigenlijk gewoon incorrect gebruik van de uitdrukking. Maar ja, ik geloof wel dat de bedoeling goed is.

CAPSLOCK2000

Privacy

@Wody • 9 december 2015 13:47

Je krijgt ook een boete als je het niet meldt of niet goed meldt.
Bij het CBP zijn ze niet helemaal achterlijk, ze weten ook wel dat bedrijven gaan proberen om gaten in de regels te vinden. Het CBP heeft eerder met dat bijltje gehakt, ze doen haast niet anders. Er zit voldoende vrijheid in de regels dat als het CBP denkt er iets niet klopt dat ze het je heel moeilijk kunnen maken.

metalmania_666

@Wody • 9 december 2015 15:15

Houdt er rekening mee dat het CBP ook hoge boetes mag uitdelen, en dat oo zeker zal doen

FreezeXJ 9 december 2015 12:36

"Organisaties hebben tot 72 uur de tijd om een lek te melden." Holy blip, da's nauwelijks genoeg tijd om je manager op de hoogte te stellen, laat staan dat de officiele goedkeuring om iets te melden geregeld kan worden. Weet je wel hoeveel stempels je moet hebben voordat je het CPB mag bellen? En laat de persoon die toestemming kan geven nou net op vakantie zijn/ een vrije dag hebben/ niet lekker zijn. Tja.

Waarom is die termijn niet gewoon 3 maanden, zodat we in alle rust onze bureaucratie kunnen behouden?

Wat gebeurt er eigenlijk als het bedrijf niet op de hoogte is van het lek? Krijgen ze dan alsnog een boete? Zo nee, dan is geen enkel bedrijf meer geinteresseerd in dataveiligheid, want dat zou wel eens geld kunnen kosten.

JackBol @FreezeXJ • 9 december 2015 13:30

Ik mag toch aannemen dat een beetje normaal bedrijf een incident-proces heeft?
Of mag je ook drie weken de tijd nemen om de brandweer te bellen?

FreezeXJ @JackBol • 9 december 2015 15:10

Dat is omdat 'brand' iets is wat management begrijpt, en je niet vertelt om maar met een emmertje water te gaan spelen. Security is verrekte slecht uit te leggen, meestal kun je gewoon binnenwandelen, al dan niet met een waterpistooltje... Dan heb ik het nog niet eens over IT-security, wat de combinatie is van onbegrijpelijke dingen. Ja, er zijn bedrijven die het uitstekend op orde hebben, maar er zijn er teveel die er geen biet aan doen, gewoon omdat het geen prioriteit heeft.

Een boete van bijna 1 miljoen (at most) schrikt vermoedelijk net zo hard af als die boete voor 'illegaal' downloaden die Tim K. er nog net niet doorkrijgt.

JackBol @FreezeXJ • 9 december 2015 15:30

Dat is omdat 'brand' iets is wat management begrijpt, en je niet vertelt om maar met een emmertje water te gaan spelen. Security is verrekte slecht uit te leggen

Als je bedrijf data verwerkt, mag ik hopen dat je een CIO of CISO heeft die het bedrijfsproces begrijpt. "Management snapt het niet" is geen geldig excuus in Nederland....

We moeten niet doen alsof security zoveel moeilijker is dan HR, logistics of accounting. Daar neemt een bedrijf ook gewoon specialisten voor aan.

SirBlade @JackBol • 9 december 2015 16:35

Bijna ieder bedrijf verwerkt data. Ieder bedrijf heeft wel klanten of leveranciers. Dat afsprakenboek wat jouw kapper op de balie heeft liggen? Vol met persoonsgegevens (je naam en je locatie op een bepaald tijdstip). En nul security.

djrobo1989 @FreezeXJ • 9 december 2015 13:03

Naar mijn idee is dit muv van weekend meer dan genoeg tijd als je de procedures op orde hebt.
Als ik bv mijn wachtwoord niet meer weet kan die ook binnen 72 uur gereset worden;)

Volgens mij zegt het stuk dus dat je maar moet zorgen dat je binnen 72 uur kan melden.
Let wel, als je nog niet alles weet over het lek kan je ook een melding doen en die later wijzigen naar aanleiding van je onderzoek.

Het is een beetje simpel om te zeggen dat mede doordat het bedrijf bureaucratisch is, je niet op tijd (lees termijn van 3 maanden zoals je voorstelt) hoeft te melden en dat je klanten/medewerkers etc. pas na 3 maanden weten dat hun gegevens verloren/in andere handen zijn gekomen.

Daarnaast, als je nog niet op de hoogte bent van een lek zegt volgens mij het stuk dat je dus ook nog geen lek hebt. Maar je moet wel maatregelen nemen zoals Intrusion detection etc om er achter te komen.

Zelfde geldt ook voor de bewerkers waarmee je werkt. bv clouddiensten en hosting providers.

CAPSLOCK2000

Privacy

@FreezeXJ • 9 december 2015 17:03

"Organisaties hebben tot 72 uur de tijd om een lek te melden." Holy blip, da's nauwelijks genoeg tijd om je manager op de hoogte te stellen, laat staan dat de officiele goedkeuring om iets te melden geregeld kan worden. Weet je wel hoeveel stempels je moet hebben voordat je het CPB mag bellen? En laat de persoon die toestemming kan geven nou net op vakantie zijn/ een vrije dag hebben/ niet lekker zijn. Tja.

Dan zul je het bedrijfsproces daar op aan moeten passen. Als de tent in brand staat lukt het ook om de brandweer binnnen 72 uur te laten verschijnen.

Waarom is die termijn niet gewoon 3 maanden, zodat we in alle rust onze bureaucratie kunnen behouden?

Omdat het kwaad dan al is geschied. Als je onmiddellijk optreedt is er misschien nog iets te redden en kunnen de potentieele slachtoffers maatregelen nemen.

Wat gebeurt er eigenlijk als het bedrijf niet op de hoogte is van het lek? Krijgen ze dan alsnog een boete? Zo nee, dan is geen enkel bedrijf meer geinteresseerd in dataveiligheid, want dat zou wel eens geld kunnen kosten.

Dat staat ook in de regels. Je moet het melden als je het ontdekt. Maar je moet wel zorgen dat je een goede kans hebt om het tijdelijk te ontdekken. Als je hier nalatig in bent krijg je ook een boete. Opzettelijk niks aan beveiliging doen zodat je niet weet dat er een probleem is wordt dus niet geaccepteerd. Daarvoor wordt je nog strenger gestraft dan voor het lek zelf.

Soldaatje 9 december 2015 13:11

Interessant, ik zoek zelf nog een goede manier om bestanden met persoonsgegevens encrypted te kunnen versturen naar anderen, nu doe ik het gewoon in e-mail plaintext en wetransfer als het wat groter is.
Het probleem waar ik tegenaan loop is, encryptie is leuk maar hoe wissel je de sleutel dan uit?
Een tweede email, een whatsapp, een telefoontje, sms, brief of face2face?

djrobo1989 @Soldaatje • 9 december 2015 13:16

Waar stuur je ze heen? Zijn dit bewerkers met bewerkersovereenkomst of intern.
Als dit geen van beide is moet je, je afvragen of dit uberhaubt mag (lees dit is een lek).

En ben met je eens dat het sturen van databases online best lastig is. Het gaat hier denk ik vooral om goed te bepalen of het rest risico aanvaardbaar is/zou zijn bij een eventueel lek (heb je alles gedaan om een lek te voorkomen en heb je encryptie/hashing gebruikt die volgens ENISA toekomst vast zijn voor 10-50 jaar)

Bilel @Soldaatje • 9 december 2015 13:28

Je hebt zelf een sleutel waarmee je kunt:
- Versleutelen
- Ontcijferen

Naar de zender stuur je alleen de deelsleutel om te:
- Verslutelen

Voordeel is dat je nooit de ontcijferingssleutels hoeft te versturen, dus de cracker zou alleen maar versleutelde berichten naar je kunnen versturen. Hij/Zij kan wel de ontcijferssleutels zoeken, maar dit wordt tegengegaan door het trapdoor principe (een getal kan in meerdere getallen ontleedt worden, welke zijn de juiste?) en het feit dat er gigantische priemgetallen gebruikt worden voor de versleuteling (Dus veel rekenkracht nodig).

Text uitleg:

http://sergematovic.tripod.com/rsa1.html

Soldaatje @Bilel • 9 december 2015 13:39

Dank, ik denk ongeveer te snappen wat je zegt, alleen denk ik dat degene die mij het spul aanleveren er geen hout van zullen snappen, hoe ze moeten versleutelen.
Ik moet wat dat betreft iets simpels hebben, cross-platform, en verder doen wat jij zegt.
Is dan GnuPG het beste?

djrobo1989 @Soldaatje • 9 december 2015 14:01

Zie Enisa site, zoals ik aangaf. Daar staat waar je encryptie aan moet voldoen volgens de wetgeving. Lijkt mij dat je partner daar aan kan voldoen. En leg alles vast in bewerkersovereenkomst.

FreezeXJ @Soldaatje • 9 december 2015 15:14

Een PGP-programma werkt netjes, gebruikt onderhuids RSA, en zou voldoende moeten zijn om de meeste problemen buiten te houden. Zorg wel voor netjes uitwisselen van keys (loop eens langs

), maar in de meeste gevallen is het genoeg om het langs een andere weg (SMS of post) te versturen.

BelJoost @Soldaatje • 9 december 2015 14:12

Ik moet wat dat betreft iets simpels hebben, cross-platform, en verder doen wat jij zegt.

Zip-file met aes wachtwoord van 14+ willekeurige karakters. Wachtwoord via sms.

Neocortex-re 9 december 2015 12:34

Het is een vaag stuk, maar ik denk dat het bijna niet anders kan. De realiteit die ik om me heen zie is dat onderzoeksdata via Google mail wordt verzonden en back ups in dropbox worden geplaatst. Er is op veel plaatsen een stuitend gebrek aan zorgvuldigheid in de omgang met gevoelige data.
Van de andere kant: veel daarvan gaat dit stuk niet oplossen. De webwinkelier hobbelt voort met zijn brakke Wordpress + webshop plugin. Als je niet op je server kijkt weet je ook niet of het lekt.
Wat de patiëntenvereniging moet doen, met weinig middelen en met tonnen gevoelige data, geen idee. Hopen dat het allemaal niet zo'n vaart loopt, vrees ik. Het wordt nog minder aantrekkelijk om van zo'n organisatie bestuurder te worden.
Overheids- en semi-overheidsorganisaties gaan veel geld uitgeven om dit naar de letter van de wet te implementeren. Het gehuil over 'wat kost die ICT allemaal' en 'ik kan zo'n formulier in een half uur bouwen' zal niet van de lucht zijn.

Waterbeesje 9 december 2015 16:04

Een hoop mooie en zinnige reacties hier... Sommige zijn oprecht kritisch over de inhoud.
Waar ik dan weer benieuwd naar ben, is of er nog mensen van de overheid zelf naar dit soort reacties kijkt alvorens er iets definitief wordt gemaakt. Met een soort van publieke opinie zal er best een aantal puntjes kunnen worden getackeld lijkt me.

Freeze-Oh 9 december 2015 16:12

' Het niet melden van een datalek kan een boete opleveren die kan oplopen tot 820.000 euro.'

Dit is niet helemaal waar...
Het zit ongeveer zo in elkaar:

-Eerst zal een last worden opgelegd waarin je gevraagd wordt om gevolgen vande problemen die je gemeldt hebt te beperken.

- Daarnaast kan een boete worden opgelegd.
Maar de boete kan cumulatief zijn bij het herhaaldelijk niet nakomen van de meldplicht.
De boete kan dus oplopen tot meervouden van het boetebedrag (dus X maal 820.000 euro OF 10% van de omzet in het allerslechtste geval).
Luister je dan nog steeds niet, kan het escaleren tot een Economisch Delict (met heel veel nare gevolgen van dien).

En als je ook nog een kantoortje in bijvoorbeeld Frankrijk hebt en je dus ook nog eens onder de Franse wet valt, kan dat bedrag nog eens verdubbelen...

In ieder geval meer dan genoeg om je bedrijf failliet te krijgen in het ergste geval.

Freeze-Oh @Verwijderd • 9 december 2015 13:27

Als ik het goed begrepen heb zijn de meldingen alleen intern bij het CBP beschikbaar.

Ik verwacht dat CBP wel een paar fikse boetes zal uitdelen in het begin om te laten zien dat het menes is, en een paar grote bedrijven (en om te laten zien dat ze echt naar iedereen kijken ook een paar kleinere bedrijven) zullen het bokje zijn.

Vervolgens verwacht ik een aantal rechtzaken naar aanleiding van de meldingen, want echt duidelijk is het allemaal niet. Er wordt op geen enkele manier concreet aangegeven wat er verwacht wordt.

Voor zover ik kan zien zijn op dit moment alleen de IT security bedrijven en de Deloites van deze wereld blij met deze regelgeving, omdat het ze een enorme bak extra werk kan opleveren.

Het zou mooi zijn als men met een SOx-achtige standaard zou komen zodat je weet wanneer en of je iets moet doen. Naar mijn mening is deze regelgeving veel te wollig en zal er alleen naar aanleiding van een aantal hoger beroepszaken wat meer duidelijkheid komen...

[Reactie gewijzigd door Freeze-Oh op 23 juli 2024 04:06]

Tweekzor @Freeze-Oh • 9 december 2015 14:17

Voor zover ik kan zien zijn op dit moment alleen de IT security bedrijven en de Deloites van deze wereld blij met deze regelgeving, omdat het ze een enorme bak extra werk kan opleveren.

Als consument ben ik blij met deze regelgeving! Dit heeft meerdere redenen: ten eerste werkt de boete afschrikkend voor bedrijven, hierdoor krijgen zij een hogere mate van bewustwording met betrekking tot veiligheid. Dit resulteert, is de insteek, in minder datalekken in het algemeen. Ten tweede is er op deze manier onafhankelijk toezicht op datalekken waardoor een bedrijf het moeilijk in de doofpot kan stoppen wanneer een hacker (al dan niet whitehat) gegevens kan benaderen. Dit is vooral belangrijk wanneer bedrijven bijvoorbeeld (gebeurt nog altijd) wachtwoorden unencrypted op slaan. Als laatste kan dit er voor zorgen dat bedrijven kritischer kijken naar welke gegevens ze opslaan. Geen persoonsgegevens betekent immers geen risico voor deze wetgeving.

Freeze-Oh @Tweekzor • 9 december 2015 16:00

Oh, maar ik ben ook niet tegen het concept van dit idee hoor!
ik vind het ook een goede zaak. Jouw data is van jezelf, en als iemand dat compromitteerd wil ik dat natuurlijk ook weten.

Het probleem is alleen dat doordat er geen concrete eisen in deze regelgeving staan.
Men gaat ervan uit dat je jezelf al houd aan dit richtsnoer van het CBP
en daar is deze 'disclosure' maatregel nu bovenop gekomen.

Alleen staat in zowel het richtsnoer als in de huidige maatregel geen hoofdstukje over waar je dan precies aan moet voldoen, op welk moment je nalatig bent, en wat afdoende maatregelen zijn.

Met andere woorden: hoe graag een bedrijf ook veilig met je gegevens om wil gaan, ze hebben geen idee of ze het wel goed doen volgens het CBP....
en dat kan voor een consument ook geen goede zaak zijn (want ergens komen toch kosten naar boven...)

Daarom is mijn verwachting dan ook dat het alleen maar mogelijk is om met een setje van rechtzaken hier duidelijkheid in te krijgen.

Tweekzor @Freeze-Oh • 9 december 2015 16:38

Ik snap je punt en ik weet niet precies je achtergrond in de IT, maar het is heel lastig om eisen te stellen aan beveiliging. Wat voor het ene bedrijf dé oplossing is kan voor het andere bedrijf het gehele werkproces opbreken. Dit heeft tal van oorzaken waaronder de bedrijfsgrootte, bedrijfscultuur, werkwijze, gebruikte software, IT-kennis van gebruikers en ga zo maar door. In bedrijf X kunnen medewerkers best technisch genoeg zijn om te werken met mail encryptie en noem maar op maar bedrijf Y kan misschien geen enkele medewerker dit. Ook de grootte van een bedrijf speelt mee, waar bij een bedrijf van 2.000 medewerkers een investering in beveiligingssoftware van €10.000 nog te verantwoorden valt is dit in een bedrijf met 5 medewerkers niet te doen.

Over nalatigheid in geval van een datalek zal niet snel gesproken worden. Een aantal voorbeelden wanneer je echt nalatig bent is als jouw organisatie bijvoorbeeld geen firewall of anti-malware heeft. Een ander voorbeeld is wanneer je gewaarschuwd bent voor beveiligingslekken maar hier niks mee hebt gedaan. Dit kan door een security-expert zijn na een zelf aangevraagd consult maar ook door een medewerker of een whitehat dit iets rapporteert.

fevenhuis @Freeze-Oh • 9 december 2015 20:30

Het zal niet alleen gaan om "maatregelen" tegen het slachtoffer, maar gewoon om het opsporen van de data en het proberen voorkomen van de verspreiding ervan en het beperken van de risicos. Maar dat zal het CPB dus weer niet doen.

[Reactie gewijzigd door fevenhuis op 23 juli 2024 04:06]

Consequator

9 december 2015 13:09

De bewoording is inderdaad heel erg ongelukkig gekozen, alle emails waar ik op het moment mee doodgegooid wordt voor audits omtrent dit zijn even ongelukkig. De termen worden continu door elkaar gegooid.

Het is niet duidelijk of het gaat over een data lek, waarin gegevens worden gekopieerd of over data verlies waarin gegevens worden gewist.

Groot verschil.

Uiteindelijk bedoelen ze volgens mij of er gegevens worden gekopieerd alla de meest voorkomende hack.

Op dit item kan niet meer gereageerd worden.

CBP publiceert definitieve beleidsregels meldplicht datalekken

Lees meer

IT-banen

Reacties (47)

Sorteer op:

Weergave: