CBP-voorzitter Kohnstamm vreest voor tekort bij behandelen datalekken

CBP-voorzitter Jacob Kohnstamm stelt dat de Autoriteit Persoonsgegevens vanaf 1 januari personeel tekort komt om zijn nieuwe taken uit te voeren. Hierdoor zou de toezichthouder niet alle datalekken die bedrijven melden kunnen onderzoeken.

Het CBP, dat vanaf 1 januari Autoriteit Persoonsgegevens zal gaan heten, krijgt er vanaf dat moment bevoegdheden bij. Ook is er nieuwe Europese regelgeving in aantocht. Kohnstamm spreekt in een interview met BNR de vrees uit dat het tekort aan personeel gevolgen heeft voor het behandelen van meldingen van datalekken. Volgens hem zou er in eerste instantie door het ministerie van Veiligheid en Justitie een schatting van 60.000 meldingen per jaar zijn gemaakt. Deze zou op een later tijdstip zonder duidelijke reden zijn bijgesteld naar 6000 meldingen.

Volgens Kohnstamm zou er het vijfvoudige aan personeel nodig zijn om de nieuwe taken uit te voeren. Toch ziet hij het niet als reëel dat de Autoriteit Persoonsgegevens overspoeld zal worden met meldingen. Er zou een softwarepakket ontwikkeld zijn waarmee alle meldingen in een 'trechter' terechtkomen. Hierdoor zou onderscheid kunnen worden gemaakt tussen ernstige en minder ernstige meldingen. Aan de hand daarvan besluit de toezichthouder of er verder onderzoek nodig is.

Michiel Steltman, directeur van belangenvereniging Dutch Hosting Provider Association, vreest eveneens voor een tekort. Dit zou volgens hem leiden tot willekeur bij het behandelen van meldingen. Nu de Autoriteit hoge boetes kan opleggen voor onder andere het niet melden van datalekken zouden volgens hem alleen die meldingen onderzocht worden 'die er voor de bühne spannend uitzien'. Verder zou de definitie van een datalek veel te breed zijn, waardoor 'elk stukje verlies van data' gemeld zou moeten worden, aldus Steltman.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 30-12-2015 10:4544

30-12-2015 • 10:45

44 Linkedin

Lees meer

Autoriteit Persoonsgegevens krijgt jaarlijks 7 miljoen euro extra Nieuws van 19 september 2017
'Privacyregels EU eisen verdrievoudiging personeel Autoriteit Persoonsgegevens' Nieuws van 2 juni 2017
Autoriteit Persoonsgegevens vermoedt dat organisaties datalekken niet melden Nieuws van 13 mei 2016
Webwinkel ReplaceDirect en zustersite Twindis melden datalek - update Nieuws van 27 april 2016
Nederlandse politie stopt met opvragen hotelovernachtingen zonder grondslag Nieuws van 5 februari 2016
'Gezichtsdetectie mag alleen ingezet worden voor gerechtvaardigd doel' Nieuws van 28 januari 2016
'Datalek ziekenhuizen gaf toegang tot gegevens 200.000 patiënten' - update Nieuws van 25 januari 2016
Advertentiebedrijf ontloopt handhaving na privacyschendingen - update Nieuws van 19 januari 2016
Autoriteit Persoonsgegevens: twintig datalekken gemeld in eerste week Nieuws van 8 januari 2016
Gebruikersgegevens Bankingtools waren door lek voor iedereen beschikbaar Nieuws van 31 december 2015
CBP publiceert definitieve beleidsregels meldplicht datalekken Nieuws van 9 december 2015
CBP publiceert conceptrichtlijnen voor melden datalekken Nieuws van 21 september 2015
Nederlandse overheid: meldplicht datalekken geldt vanaf volgend jaar Nieuws van 10 juli 2015
Eerste Kamer steunt meldplicht datalekken Nieuws van 27 mei 2015
Meer producten en artikelen
Privacy Politiek en recht Cbp

Reacties (44)

-Moderatie-faq
44
44
38
1
0
4
Wijzig sortering
m24
30 december 2015 10:58
Veel bedrijven wachten nog af. Ik denk dat als ze de eerste boetes gaan uitdelen dat het een mooie tijd wordt voor IT security bedrijven. :)
Jism
@m2430 december 2015 11:02
Sorry, IT security zijn er enorm veel van en de meeste zijn belachelijk duur.

Men moet bij ontwikkeling en design al rekening met security houden. En bij het testen desnoods een hacker inhuren om hun systeem te testen. Dit is het eerste wat in mij opkomt dat als ik iets wil laten maken er iemand met verstand mee bezig gaat, en dat de meest basis dingen zoals sql injectie of andere vormen van exploits gewoon niet mogelijk moeten zijn.

Waar gewerkt wordt met data moet security gewoon je eerste prio zijn, anders zit je niet op de juiste plek. Stel desnoods een dozijn mensen samen met ieder verantwoordelijk voor z'n eigen afdeling en taak.
blorf
@Jism30 december 2015 11:16
Zakelijk gezien zijn er weinig principes. Als een boete van het CPB + het economische effect van de negatieve publiciteit die het lekken veroorzaakt samen lager uitvallen dan de kosten die nodig geweest zouden zijn om dat te voorkomen is de keus denk ik niet zo moeilijk.

Overigens draait het aan de kant van de overheid ook meer om geld dan om het werkelijk beschermen van data. Volgens mij moet je deze uitspraak van het CPB genuanceerder zien en min of meer vertalen in "we gaan niet te strak handhaven, het moet wel wat opbrengen". Ongeveer hetzelfde als het flitsbeleid.
stijnos1991
@blorf30 december 2015 11:32
Helemaal waar. Ik spreek uit ervaring, er wordt simpelweg een afweging gemaakt van kosten bij bedrijven. Boete minder dan kosten van security? Dan liever de boete.
freedragon
@blorf30 december 2015 12:46
In het verleden was de boete € 4500, dan is die afweging inderdaad makkelijk gemaakt. Vanaf 1 januari is de maximale boete echter verhoogd tot € 810.000 of, als dat geen passende bestraffing is, zelfs 10% van de jaaromzet. Ik denk dat veel bedrijven zich nog wel eens achter de oren zullen gaan krabben over (het ontbreken van) een beveiligingsbeleid.

Je opmerking over dat handhaven en dat het de overheid alleen om geld te doen is vind ik nogal een knee-jerk reactie. Niet alles wat de overheid bedenkt is alleen maar bedoeld om geld uit de maatschappij te trekken. En ik zou er ook niet zomaar van uitgaan dat de AP niet strak zal gaan handhaven. Het was voorheen een tandeloze hond, maar het gebit is nu behoorlijk scherp geslepen.

Edit: typo.

[Reactie gewijzigd door freedragon op 30 december 2015 12:58]

djrobo1989
@blorf30 december 2015 13:14
Een risico gebaseerde aanpak is wel voor te stellen. Alleen denk ik dat zelfs bij mkb de risico's snel groter zijn dan beveiliging in kader van bv de meldplicht datalekken.
Stel je krijgt 1 keer een boete a zeg €40000. Daarvoor had je leuke apparatuur kunnen kopen(variabelen als schade aan je "merk" niet meegenomen). Accepteer je het risico bewust wel, dan vastleggen en hopen dat het nooit gebeurd(boetes waarschijnlijk hoger met evt faillissement als gevolg?).

Het is dus een businessplan risico geworden als je persoonsgegevens verwerkt.
Cergorach
@Jism30 december 2015 11:27
Sorry, IT security zijn er enorm veel van en de meeste zijn belachelijk duur.
Jep, en dat is de reden waarom ze niet gebruikt worden. Veel bedrijven hebben, willen of kunnen niet het budget uitgeven om dergelijke beveiliging in te schakelen. We hebben het dan ook niet over de grote bedrijven, maar voornamelijk over de MKB...
hackerhater
@Cergorach30 december 2015 13:16
Tjah als je dat buget niet hebt moet je niks met digitale klantgegevens doen, sorry dat ik het zeg.
Er zijn genoeg IT-bedrijven die het hele onderhoud voor je over willen nemen voor een bedrag per maand.
Cergorach
@hackerhater30 december 2015 16:01
Er zijn genoeg IT-bedrijven die het hele onderhoud voor je over willen nemen voor een bedrag per maand.
Natuurlijk, maar ook daar zit een verschil in het niveau van beveiliging. Een gemiddeld MKB bedrijf kan het niveau van beveiliging niet betalen wat bv. de ABN AMRO heeft. Beveiliging is namelijk niet aan of uit, het is niets, iets, meer, meer, meer, etc. En de enige manier dat ik zeker weet dat servers niet gehacked kunnen worden, is door ze uit te zetten.
hackerhater
@Cergorach30 december 2015 16:49
Klopt, maar groot verschil tussen bestand tegen de scriptkiddies en lower hackers of zo lek als een mandje (wat de boel nu meestal is).

Natuurlijk is het niveau van een bank niet te betalen voor het MKB, maar niveau redelijk wel.
MSalters
@Cergorach1 januari 2016 18:23
Het gemiddelde MKB bedrijf heeft ook veel minder kans om doelbewust gehackt te worden dan ABN AMRO. Er zijn simpelweg veel minder interessante gegevens noodzakelijk op publiek toegankelijke servers. Een webserver zonder persoonsgegevens die gehackt wordt hoef je niet te melden.
Lampie
@Jism30 december 2015 11:12
De meeste bedrijven hebben inderdaad de expertise niet in huis omdat het een duur een specialistisch gebied is, dus daarom zal die hacker en eventueel een architect ingehuurd moeten worden.
Dus ja, ik denk dat m24 gelijk heeft dat het wachten is op een aantal incidenten met bijbehorende boetes en dan worden de IT Security experts overal vandaan gehaald. Met het bijbehorende kostenplaatje.
Anoniem: 382732
@Jism30 december 2015 14:12
Maar om bij ontwikkeling en design al rekening te houden met security aspecten zullen heel veel bedrijven toch externe expertise bij IT security bedrijven moeten inhuren.
Amasik
@Jism30 december 2015 14:34
leuk voor een multinational met met 100+ IT'ers in dienst. Maar niet voor een MKB bedrijf met 1 of enkele IT medewerkers in dienst.
Reken maar dat die MKB bedrijven gewoon niet de expertise in huis kunnen halen dus moeten ze het wel bij de IT security bedrijven gaan zoeken.

5000 Euro per jaar aan consultancy voor een security specialist is voor een klein bedrijf nog altijd goedkoper dan een eigen IT expert in dienst te nemen. Dan neem je nog niet eens mee dat een IT expert bij een bedrijf nooit dezelfde ervaring kan opdoen dan zijn college die bij een IT security bedrijf werkt en in die functie elke week weer nieuwe klanten en producten leert kennen.

edit: woordje vergeten, tekst verduidelijkt

[Reactie gewijzigd door Amasik op 30 december 2015 14:34]

CAPSLOCK2000
@Jism30 december 2015 15:28
Sorry, IT security zijn er enorm veel van en de meeste zijn belachelijk duur.

Men moet bij ontwikkeling en design al rekening met security houden.
Helaas wordt de meeste software nog altijd niet zo opgezet. Beveilging achteraf toevoegen is schreeuwend duur en dat wordt dan maar overgeslagen want de klanten kopen de software anders niet meer.
Mijn hoop is dat door deze maatregel de markt voor goede beveiling groter wordt en dat daardoor de kwaliteit omhoog gaat en de prijzen omlaag omdat er meer schouders zijn om de lasten over te verdelen.
Een flink deel van de kosten zit ook in het vervangen van oude systemen. Dat is moeilijk en duur maar wel noodzakelijk. Een enkele ongepatchte Windows XP machine kan alle andere beveiliging zinloos maken. Hopelijk komt er nu meer geld beschikbaar om onze erfenis aan problemen op te lossen.
Daarnaast zullen bedrijven die een hoge boete krijgen gaan proberen om die te verhalen op de leverancier van de slechte software, daardoor gaan die meer hun best doen.
SuperDre
@m2430 december 2015 13:30
Helaas zitten er heel veel beunhazen bij die IT security bedrijven..
eheijnen
@m2430 december 2015 16:43
Het lijkt er ook op dat het CBP zich met deze uitspraak wat ruimte maakt binnen de afspraken. Als er geen personeel bijkomt dan kan men zich altijd beroepen op ondercapaciteit of bepaalde zaken onder deze noemer schuiven.
Odious Trident
@m2430 december 2015 21:33
Maar ook voor werkeloze juristen die zich tijdens de studie extra hebben verdiept in het recht op privacy, de wet bewaarplicht dataverkeergegevens , etc. waar ondergetekende er een van is. :D
Antrax
30 december 2015 10:52
Ben ik te stellig als ik zeg dat bedrijven wat beter met hun beveiliging te werk moeten? Er zijn veel bedrijven die denken het goed te doen maar ondertussen veel datalekken hebben of hadden. Is het niet handiger voor de Authoriteit Persoonsgegevens om sommige grote bedrijven te screenen en te certificeren? Denk hierbij aan een soort van risiconiveau.
Baris
@Antrax30 december 2015 10:59
Er is een ISO standaard voor informatiebeveiliging: ISO 27001. Wellicht zijn er meer standaarden.
Anoniem: 388320
@Baris30 december 2015 11:31
Zo heb je onder andere de NEN7510 voor de zorg en de COBIT5.

De ISO27001 is een goede standaard voor informatiebeveiliging maar bied zeker geen garantie dat er geen incidenten meer voor komen.

Om gecertificeerd te worden voor de ISO dien je onderandere een risico analyse uit te voeren, als je alle risico's accepteert (en documenteerd dat je ze accepteert) kan je alsnog je certificaat krijgen zonder dat het extra veiligheid oplevert.
RobbieB
@Anoniem: 38832030 december 2015 11:50
Het belangrijkste (imo) dat bedrijven moeten beseffen is dat 'shit happens'. En je procedures in place moet hebben als dat gebeurt. Wordt er gedetecteerd wanneer een aanval plaatsvindt? En welke acties worden dan ondernomen? Encryptie van data is leuk, maar als er credentials van je gebruikers achterhaald worden heb je er nog niks aan, dus hoe detecteer je 'verdacht' gedrag?

Dit soort vragen zijn nog veel te weinig ingeburgerd bij bedrijven. In plaats van Security by Design, is het vaker Security when we have time...
CAPSLOCK2000
@Anoniem: 38832030 december 2015 15:32
als je alle risico's accepteert (en documenteerd dat je ze accepteert) kan je alsnog je certificaat krijgen zonder dat het extra veiligheid oplevert.
Wij vragen onze klanten/gebruikers wel eens wat de bedoeling is: moet het écht veilig zijn of gaat het om verantwoordelijkheid bij lekken. In de meeste gevallen is het dat laatste en maakt het de opdrachtgever niks uit wat er met de gegevens van z'n klanten gebeurt zolang z'n zaak er maar geen last van heeft.
Cergorach
@Antrax30 december 2015 11:22
De boetes op het niet correct omgaan met persoonsgegevens en de daaruit gevolgde datalekken kunnen heel significant zijn. Ik hoop dat het AP hier redelijk mee gaat meppen.
Anoniem: 399807
@Cergorach30 december 2015 14:31
Ik vraag me iets af. Als ik iets jat dan wordt ik daarvoor verantwoordelijk gehouden als ze me pakken. Dat geld voor elke overtreding. Ook gevolg-schade kan op mij verhaald worden.

Een datalek kan gevolgen hebben voor de slachtoffers. Die schade dient vergoed te worden.

Ik ben bang dat er een onderscheid ontstaat tussen de gevolgen van datalekken en andere overtredingen. In principe moet elke overtreding behandeld worden door politie en justitie. Hoewel het soms een wassen neus is; je fiets zie je nooit meer terug en kleine diefstallen en dat soort overtredingen daar hoor je doorgaans weinig meer van.

Als er te weinig capaciteit is om ' kleine datalekken' te behandelen, dan betekent dat volgens mij dat mensenrechtenschendingen of aantastingen, al dan niet direct of indirect verwijtbaar aan de organisatie waar het lek plaats vond, als onbelangrijk worden afgedaan.

Dat is vreemd, want als een individu onrecht wordt aangedaan, bijvoorbeeld bij een sollicitatie procedure waar iemand op ras of sekse wordt beoordeeld, dan kun je daarmee naar de rechter. De rechter zal dat onderzoeken in alle gevallen.

Maar als het gaat over internet-gerelateerde misstanden, dan lijkt het of het er niet zo veel toe doet.
Cergorach
@Anoniem: 39980730 december 2015 16:11
Maar als het gaat over internet-gerelateerde misstanden, dan lijkt het of het er niet zo veel toe doet.
Het is een nieuwe discipline, de politie op straat kan al helemaal niets met Internet gerelateerde incidenten, de recherche heeft niet voldoende kennis in huis. Ze zijn de laatste jaren al flink aan de weg aan het spijkeren door een 'cyber' centrum neer te zetten, maar het is nog lang niet zo ver dat allemaal soepeltjes loopt. Ik kijk dan voornamelijk naar het bedrijfsleven die er met de pet naar gooit, de consument die aan alles en iedereen zijn gegevens geeft en de regering die er achteraan slentert. Een regering die trouwens niet is gekozen op zijn strenge optreden tegen data lekken bij bedrijven...

Ik zie het een beetje als het zwart werken van nu, hoe lang heeft het geduurd voordat de staat dat redelijk heeft kunnen uitbannen? Ze zijn nu bezig om verandering te brengen in de slechte mentaliteit bij bedrijven/mensen, ze hebben al een tijdje geleden de wetgeving aangepast en zijn nu bezig om dat te forceren. Dat de staat niet voldoende geld heeft om daar voldoende personeel voor aan te nemen in de eerste instantie verbaasd me niets, zeker niet gezien hoe lang de politie al omgaat met aangiftes van diefstal en oplichting.
MSalters
@Anoniem: 3998071 januari 2016 18:29
Ik vraag me iets af. Als ik iets jat dan wordt ik daarvoor verantwoordelijk gehouden als ze me pakken. Dat geld voor elke overtreding. Ook gevolg-schade kan op mij verhaald worden.

Een datalek kan gevolgen hebben voor de slachtoffers. Die schade dient vergoed te worden.

Ik ben bang dat er een onderscheid ontstaat tussen de gevolgen van datalekken en andere overtredingen. In principe moet elke overtreding behandeld worden door politie en justitie.
Je haalt hier strafrecht (politie) en civielrecht (schadeverhaal) door elkaar. Om praktische redenen wordt dat in kleine zaken vaak gecombineerd: het slchtoffer moet toch als getuige naar de rechtbank komen, dan kan de schadeafhandeling meteen worden meegenomen. Dat houdt de proceskosten laag. Formeel zijn het echter gescheiden soorten recht.

Je gaat ook op een tweede punt juridisch van de rails. De politie behandelt geen overtredingen maar aangiftes. Ze moeten van elke aangifte proces-verbaal maken. Soms wil de politie wel adviseren om de aangifte maar te laten zitten, omdat ze toch denken dat er te weinig bewijs is, maar aangifte doen is een recht. Ze móeten proces-verbaal opmaken als jij er op staat.

Vervolgens kun jij dat PV gebruiken in een civiele zaak, óók als de politie er niet op inging.
Anoniem: 399807
@MSalters3 januari 2016 12:13
Dat is wat ik bedoelde. Volgens mij moet de politie elke zaak onderzoeken, in principe. Er moet een afweging gemaakt worden.

Helaas is dat een zaak van politieke keuzes, ofwel de capaciteit.

Het verschil is straf- en civiel recht maakt niet uit hier. Als er sprake is van een misdrijf, dus als men de wet overtreed, dan kan civielrechtelijk schade verhaald worden, maar dat kan ook als er geen sprake is van het opzettelijk overtreden van de wet. Het gaat om de verwijtbaarheid, heeft een bedrijf geen adequate maatregelen getroffen rond gegevensbescherming en/of geen melding gemaakt van een datalek waardoor schade ontstond bij derden.
DonkerG
30 december 2015 11:05
Ze zouden moeten vrezen voor misbruik van het melden van datalekken. Stel je ontdekt een lek kan je je wenden tot de organisatie die dat lek heeft om het te melden. Echter je kan ook het datalek misbruiken en de data zelf houden. Vervolgens kan je de het bedrijf afpersen voor een bedrag minder dan de boete van het niet melden van een datalek als ze niet snel genoeg acteren.

Stel je hebt een beursgenoteerd bedrijf, dan wil je niet dat een datalek bekend wordt aangezien je daar aandeel technisch op afgerekend zal worden. Dus gaat men waarschijnlijk onderhandelen met degene die de datalekken meldt. Op het moment dat je aan het onderhandelen gaat met zo iemand ben je eigenlijk al te laat. De "hacker"' kan je aangeven bij de CBP, maar kan je ook afpersen voor een minder bedrag dan de boete van het CBP.
Cergorach
@DonkerG30 december 2015 11:29
Onzin, een dergelijke situatie komt in veel gevallen boven water, zeker als bepaalde hackers er een business van maken. Dan wordt je bestraft niet alleen voor het datalek, maar ook voor het niet melden ervan en ik vermoed dat je dan een heel stuk zwaarder bestraft zal worden.
dnrb
@Cergorach30 december 2015 11:57
Waarvoor zou dat boven water komen? Als de prijs betaald en het lek dicht.
Trouwens vermoed ik dat je als hacker nog wel iets meer kan vragen dan de boete. Zeker grote bedrijven willen niet dat bekend wordt dat ze terecht zijn aangemeld voor een data lek.
Dat kost je namelijk ook in je aandelen koers en reputatie.
Cergorach
@dnrb30 december 2015 12:28
Omdat de hacker vroeg of laat tegen iemand aan loopt met principes, het incident wordt gemeld bij de politie, het 'losgeld' wordt betaald en wordt getraceerd. Hacker opgepakt, rekeningen worden doorgelicht en betalingen worden terug getraceerd, politie aan de deur bij de betreffende bedrijven. Of als hacker in het buitenland zit, remote terug gehacked, rekeningen worden ingekeken, zelfde verhaal.

Als vervolgens de betreffende personen worden opgepakt binnen het bedrijf en een maximale straf krijgen van twee jaar en €20.000 boete, plus het bedrijf zelf nog eens een enorme boete...

Daar komt bij dat bij een dergelijke hack er veel te veel mensen vanaf weten om zeker te zijn dat niemand ooit hierover praat. Zeker niet dat je als IT medewerker, het risico wil lopen om hier voor te zitten en een fikse boete voor te moeten betalen. Zou jij meewerken?
dnrb
@Cergorach30 december 2015 15:18
Weleens van Bitcoins en TOR netwerk gehoord? De hacker traceren is niet zo makkelijk als je het doet voorkomen.
Cergorach
@dnrb30 december 2015 16:15
Erm, Bitcoins zijn bijzonder goed te traceren, elke transactie is immers zichtbaar voor iedereen. Die BTC moeten een keer worden uitgegeven en dat is het punt waar je gaat traceren.

TOR is niet zo veilig als je denkt...
dnrb
@Cergorach30 december 2015 17:20
LOL!

voor een simpele afpersing ech wel!
Ja, niet als je een contract neerzet om Barrack Obama te vermoorden.
Kijk eens naar de Documentaire over het donkere web volgens mij uitgezonden door de VPRO via Tegenlicht of Zembla maar in ieder geval "the dark web" van de BBC.
Er zijn zoveel opvolgers van silk road, en zoveel geheime bitcoin transactie servers waar je alleen via TOR op invitatie (van de hacker) een transactie kan doen. Nee een prof hacker achterhaal je niet zomaar.
Eminus
30 december 2015 11:52
misschien moet iedereen hier eerst even de richtsnoeren lezen van het CPB voordat mensen bepaalde zaken aannemen. Het licht een ietsje gecompliceerder...

https://cbpweb.nl/sites/d...meldplicht_datalekken.pdf

ISO / Cobit5 / PCI DSS / NIST etc dekken nou eenmaal geen verlies van usb sticks.. en dat hoort toch echt tot de gewraakte 'persoonsgegevens verlies' ..

Iedereen is er van overtuigd dat er iets moet gebeuren. Alleen de vraag of dit de manier is.
kftnl
@Eminus30 december 2015 21:55
ISO 27002 gaat wel degelijk in op media zoals USB sticks en andere data-dragers. Het is niet voor niets dat veel bedrijven USB apparaten standaard uitzetten op bedrijfsmachines.

De overige standaarden zijn meer frameworks waarin je dit onderwerp wel of niet kunt plaatsen.

Mijn mening is dat unencrypted gevoelige data normaal gesproken niet thuis hoort op een USB stick. Er zijn natuurlijk situaties denkbaar waarin dat wel de handigste oplossing is, maar zo veel is het nou ook weer niet gevraagd om daar in dat geval voorzichtig mee om te gaan.
Kuusje
30 december 2015 11:12
De intrinsieke motivatie bij bedrijven/instellingen laat vaak genoeg te wensen over. Een goede stok achter de deur is dan het AP (/CBP).
Het is dan ook 'niet handig' om op deze manier te bezuinigen op deze privacy waakhond. Hoe kan iemand redelijkerwijs verwachten dat een instelling zo veel werk kan verzetten met nul groei?
The internet of things, big data, cloud diensten, Idensys - dit zijn slechts een paar voorbeelden van ontwikkelen waarbij gebruikersdata op straat kan komen te liggen. Dit lijkt me juist het moment om te investeren in privacy(!). Op die manier zou het AP ook met de tijd mee gaan en niet achter de feiten aanlopen m.b.t. ontwikkelingen die gaan over privacy. Het zou pijnlijk zijn als er grote datalekken blijven liggen (ongestraft blijven) door onkunde en/of capaciteit tekort.

Het CBP/AP zoekt personeel en geld (vacatures zat daar), zij realiseren zich wat 2015+ vraagt van een privacy toezichthouder. Nu politiek Den Haag nog...

[Reactie gewijzigd door Kuusje op 30 december 2015 11:26]

Artpromo
30 december 2015 13:20
Voor de afpers-optie moet je al een paar stappen verder zijn.
De boete krijg je niet voor het datalek op zich, wel voor het niet melden en/of je niet kunt aantonen dat je al het "redelijke" hebt gedaan om datalekken te voorkomen.
ArtGod
30 december 2015 11:03
Als ze geen capaciteit hebben om de ernst van een lek te onderzoeken vind ik dat ze ook geen boetes mogen uitdelen. Laat ze in ieder geval onderzoeken rangschikken naar aantal gedupeerde gebruikers.

Wat ze niet moeten doen is standaard automatisch zonder enig onderzoek een boete moet gaan uitschrijven. Dat zal gezien worden als geld klopperij en het beleid ondermijnen.

[Reactie gewijzigd door ArtGod op 30 december 2015 15:50]

Cergorach
@ArtGod30 december 2015 11:24
Nee, dat wordt niet gezegd, ze hebben niet de capaciteit om alle datalekken te onderzoeken, ze filteren op basis van data welke de meest kritieke datalekken zijn en onderzoeken die grondig. Juist de mogelijkheid om flink met boetes te kunnen meppen zou er voor moeten zorgen dat uiteindelijk hun werkdruk een heel stuk minder wordt.
ArtGod
@Cergorach30 december 2015 15:52
Ben ik niet zo zeker van. Zou mij niet verbazen dat als je een lek meld dat je een 'standaard boete' krijgt van een paar duizend euro. Als het ernstig is en ze het verder moeten onderzoeken kan de boete nog veel hoger oplopen, tot 10% van de jaar omzet.
Arnoud Engelfriet
@ArtGod30 december 2015 18:00
Dat is niet wat de toezichthouder zelf in de richtsnoeren zegt. Er is geen concept van een standaardboete. Dat kan ook niet, want een boete krijg je in twee gevallen:
1) Je meldt niet terwijl dat wel had gemoeten
2) Het datalek had redelijkerwijs voorkomen kunnen worden (dus niet: ten koste van alles, maar eerder: met redelijke inspanningen en tegen een reële investering - art. 13 Wbp).

Standaard mensen die melden een boete opleggen gaat dus fout, omdat je dan niet de afweging bij 2 maakt of het datalek voorkomen had kunnen worden. En sowieso kun je ze niet onder 1 beboeten want ze hébben gemeld.
Eminus
@Arnoud Engelfriet31 december 2015 13:27
Leuk je ook hier te zien Arnoud naast op security.nl

ik heb nog wel een vraag: wat is een definitie van 'rederlijkerwijs' waar vaak over wordt gesproken in de richtsnoeren?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee