Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties

De Autoriteit Persoonsgegevens vermoedt dat niet alle datalekken gemeld worden, hoewel dit sinds begin dit jaar wettelijk is verplicht. Dit leidt de toezichthouder af uit het lage aantal meldingen dat tot nu toe is binnengekomen.

Vicevoorzitter van de Autoriteit Persoonsgegevens, Wilbert Tomesen, zegt tegenover de NOS dat er sinds 1 januari ruim 1600 datalekken zijn gemeld. Hij voegt daaraan toe dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken, waardoor het niet anders zou kunnen dan dat er datalekken niet worden gemeld. Tomesen wil geen informatie prijsgeven over de aard van de wel gemelde lekken, hij duidt alleen aan dat deze vaak het resultaat zijn van slordigheid.

Voordat de meldplicht datalekken werd ingevoerd was de verwachting dat er 60.000 meldingen per jaar gedaan zouden worden, dat aantal lijkt bij het zien van de huidige statistieken echter niet reëel. Destijds vreesde het toenmalige CBP voor een personeelstekort om de gemelde lekken te onderzoeken. Volgens de toezichthouder is dat nog steeds het geval. Hoogleraar informatiebeveiliging Bart Jacobs stelt tegenover de NOS dat niet alle lekken volgens de meldplicht een melding opleveren. Dus het daadwerkelijke aantal incidenten kan nog een stuk hoger liggen.

De Autoriteit Persoonsgegevens onderzoekt slechts een klein deel van de binnengekomen meldingen. Zo stelt Tomesen dat er maar in vijf procent van alle gevallen aanvullende vragen zijn gesteld, bijvoorbeeld over de precieze toedracht of de versleuteling van de verloren gegevens. Ook zegt de toezichthouder zelf in de gaten te houden of datalekken gemeld worden, door naar de media te kijken en met mensen te praten. Het niet melden van een datalek kan voor een hoge boete zorgen, die kan oplopen tot 800.000 euro.

Moderatie-faq Wijzig weergave

Reacties (65)

De AP is een lachertje en doet niets met lekken of problemen die consumenten aandragen.

Het enige waar ze mee bezig zijn, is zichzelf in stand proberen te houden. Door enkele grote vissen te beboeten houden ze zich financieel drijvend en met dit soort nieuwsberichten wekken ze een schijn van relevantie.

Als je als consument zwaar benadeelt wordt, heb je niets aan de AP. Bedrijven mogen ongehinderd misbruik maken van je gegevens. De AP ligt ze geen strobreed in de weg en onderneemt geen actie na meldingen. Tenzij het media aandacht (of geld) oplevert.
Dat kan ik wel beamen. Ik heb een aantal datalekken gemeld, over het hoger onderwijs, maar na 2 maanden is er nog niks gebeurd met de datalekken. Er zijn zelfs extra vragen over gesteld door de AP, maar daar heb ik nooit meer wat van gehoord (maar dat schijnt niet te hoeven).
In de tussentijd staan allerlei gegevens nog steeds in dat datalek. Ik kan ze elke dag controleren of ze er nog zijn. Behoorlijk irritant, als je gedupeerde bent.
Ik heb daarom ook 10 andere (kleinere) datalekken verzuimd te melden. Het kost gewoon teveel moeite en er gebeurd daarna niks.
Dat zou dan mooi passen in het plaatje van HuHu. Dit levert natuurlijk mooi geld op. Je verzint een tijdrovende aanmeldprocedure, waarvan ook nog duidelijk is dat het waarschijnlijk zinloos is. Dus de motivatie om iets aan te melden wordt (terecht) ongeveer 0. Maar je legt wel boetes op als een lek niet wordt aangemeld.
Ze kunnen daarmee weer mooie statistieken maken en richting de burger laten zien dat ze wat doen. De politie doet dit ook met de aangiftes via internet, er wordt niet veel op gerechercheerd maar ze maken elk jaar weer mooie persberichten dat de criminaliteit gedaald of gestegen is.
Dat je niets hoort kan een logische reden hebben.
Tenzij je zelf werkt bij het bedrijf waar de data is gelekt ťn je bent de verantwoordelijke persoon, CISO o.i.d. zul je denk ik ook niets horen.

Bedrijven krijgen over het algemeen eerst een waarschuwing om de zaken in orde te brengen. Mogelijk zijn ze daar al mee bezig.
Als het gaat om een melding t.a.v. een issue bij een ander bedrijf lijkt het me dat je het probleem eerst bij hun moet melden en niet direct bij de AP.

Als het issues bij je eigen bedrijf zijn en je meld deze niet (meer)... en dat schrijf je hier op een openbaar forum lijkt me dat ook niet een echt handig zet.
De afhandeling van de meldingen lijkt inderdaad vergelijkbaar met een aangifte bij de politie: in veel gevallen alleen bedoeld om tonen dat je een recht/plicht hebt. Alleen als het heel bijzonder is gaat men er achteraan.

Ik neem even aan dat je de datalekken aangemeld hebt zonder zelf verantwoordelijk te zijn voor het lek: heb je het aangekaart bij het hoger onderwijs en wat hebben die ermee gedaan?
Je snapt dat, naar ik laatst vernam, ze maar 75 man personeel hebben? En als ik in een ander bericht lees dat het de EU 7 jaar kost om google een boete op te leggen, waar ze dan ook nog in beroep tegen kunnen gaan, dan snap je het probleem.

Ik schrijf al jaren dat ik wil dat wat eerst het College Bescherming Persoonsgegevens genoemd werd een vel hoger budget krijgt en heel veel meer personeel zodat ze effectiever kunnen optreden in veel meer gevallen.

Verder wil ik dat er een afdeling komt voor 'kleine' zaken, dus voor burgers zoals ik die wel eens te maken krijgen met simpele zaken als organisaties die gegevens die niet nodig zijn willen opschrijven of kopiŽren. Er zou dan een snel reactieteam moeten zijn dat per onmiddellijk die organisatie belt of een persoon langs stuurt voor een heropevoedcursus en een tik op de vingers.

Want de kritiek die mensen hebben is terecht, men gaat alleen achter de grote en ingrijpende gevallen aan en geven de burger het gevoel dat ze ten prooi vallen aan grote bedrijven die de schouders ophalen en denken 'fuck you buddy'en 'voor jouw tien andere klanten mocht je moeite hebben met wat we doen.'

Kijk lieverds, als we met ons allen zo veel ICT willen - en dat willen 'we' toch? - dan moet daar ook een controle apparaat op staan om misbruik, achteloosheid en bewuste criminaliteit aan te pakken.

Ik stel voor dat we die 3 miljard euro boete van google onmiddellijk innen en geven aan de verschillende Europese privacy waakhonden met een verdeelsleutel: degene die de meeste zaken oplost krijgt een hoger budget, dat afgetopt wordt via een Bell-curve, zodat niet een waakhond letterlijk alle budget opeten kan.

Aan de andere kant wil ik ook dat ALLE datalekken gemeld worden, ook als dat zinloos lijkt, zoals de heer schaap opmerkt. Blijf ze spammen, want elke melding wordt statistiek. En bureaucraten nemen actie op basis van statistiek. De politiek gaat alleen aan de slag als blijkt dat er sprake is van een top van een ijsberg.

Laat iedereen dus ook zelf bijdragen aan de betere wereld en tenminste nog die moeite nemen i.p.v. het om te rekenen naar hoeveel tijd en geld het kost om meldingen te doen. Ik wil dan ook graag dat die meldingen makkelijk worden om te doen, waarbij er een systeem komt dat als er eenmaal een melding is gedaan, je die melding kunt opvragen en herhalen, via een knop op de betreffende webpagina, zodat er naarmate een lek blijft bestaan, er een visuele counter komt op een scherm bij de Autoriteit, dat het probleem urgenter wordt.

Wat dat aangaat, er zou software gebouwd moeten worden die visueel grafieken toont aan de leiding van de Autoriteit zodat ze per dag, net als de koers op een beurs, kunnen zien waar onmiddellijk ingegrepen moet worden.

Helaas zien we gebrek aan geld en middelen terug bij elke waakhond. :( En dus zeg ik wederom, we nemen onszelf niet serieus genoeg! Het is toch onbestaanbaar dat we zo naÔef zijn met ICT, met veiligheid van (chemische) bedrijventerreinen, in de voedselindustrie etc?

Ik weet waarom dat is: dat is omdat we veel geld willen verdienen en alles controleren kost geld en middelen en dus besparen we op controle in de hoop dat bedrijven moreel handelen. En dat doen ze niet automatisch helaas.
Lees eerst de beleidsregels eens voor je een reactie vanuit je onderbuik schrijft, een mail ontvangen die eigenlijk voor iemand anders bedoeld was is niet automatisch een lek.

https://autoriteitpersoon...meldplicht_datalekken.pdf

Samenvatting:
Je hoeft niet ieder datalek te melden aan de Autoriteit Persoonsgegevens. Volgens de wet moet je een melding doen aan de Autoriteit persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Bij persoonsgegevens van gevoelige aard moet je denken aan:
• Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp
Het gaat hierbij om persoonsgegevens over iemands godsdienst of
levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven,
lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
• Gegevens over de financiŽle of economische situatie van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salarisen betalingsgegevens.
• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen.
• Gebruikersnamen, wachtwoorden en andere inloggegevens
De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.
• Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Het gaat hierbij onder meer om biometrische gegevens, kopieŽn van
identiteitsbewijzen en om het Burgerservicenummer (bsn).
En dan moet je ook nog bedenken dat gegevens die zijn gestolen, maar dusdanige sterke encryptie hebben dat de gegevens niet zijn te leze0n zonder absurde investering (die een gemiddelde laptopdief niet zou maken), niet tot een datalek leiden dat je moet melden (volgens de beleidsregels). Een en ander wel mits je een backup van de gegevens hebt.

Als de Autoriteit Persoonsgegevens zo graag meldingen wil hebben (dat is kennelijk het doel?) dan hadden ze gewoon moeten opnemen dat Šltijd een melding wordt gedaan en niet pas bij een datalek conform de beleidsregels. Maar ja, de normen zijn zo vaag, dat ze zelf waarschijnlijk ook niet weten wanneer een melding moet volgen :)
Als je de normen vaag vindt zegt dat wat over je zelf.
Hoe specifieker, hoe meer mazen er zullen zijn, wat je ook niet wilt als overheid (en burger).
Als organisatie kan je niet beroepen op 'vaag' als half Nederland begrijpt dat je fout zat.
Als morgen vertrouwelijke informatie 'x' of het gebruik of de verspreiding er van als iets normaal's wordt gezien valt dit er automatisch onder zonder dat de wet of het beleid er op aangepast moet worden.

[Reactie gewijzigd door Withaar DH op 14 mei 2016 13:34]

Dat klopt, maar bij diefstal hoeft niet automatisch een melding bij de autoriteit persoonsgegevens gedaan te worden en ook niet automatisch een melding bij de betrokkenen. Maar de Autoriteit klaagt nu dat er te weinig meldingen komen, terwijl eerst nog helemaal niet vaststond dat er zoveel zeer specifiek in de beleidsregels opgenomen omstandigheden zouden voordoen. Als de schatting op basis van beveiligingsincidenten en/of alle datalekken (ook die lekken waarbij wel uitgesloten kan worden dat persoonsgegevens mogelijkerwijs onrechtmatig zijn verwerkt), dan is dat uitgangspunt onjuist voor wat betreft de gevolgen van de ingevoerde regelgeving.
Voor deze wet waren en zijn er andere wetten zoals de Wet Bescherming Persoonsgegevens uit 2001 waarin e.e.a. geregeld wordt.
Zoals artikel 13 Wbp Passende technische en organisatorische maatregelen tegen verlies en onrechtmatige verwerking.
Je hier niet aan houden kon altijd al leiden tot een Geldboete van de zesde categorie (tot § 810.000,-).
De nieuwe wet per 1-1-2016 betekend in die zin een groter boeterisico bij schending van de privacyregels.
Handhaving van de oude regels was lastig, maar nu geldt er een meldingsplicht (in bepaalde gevallen).
Het lage aantal meldingen kan ook betekenen dat bedrijven al een voorzichtiger zijn geworden. En dat lijkt me winst voor de burger.
Open normen betekenen alleen dat in de rechtspraak die daarop gaat volgen het aan de rechter zal zijn om te bepalen in welke mate is voldaan aan de verplichtingen. Beveilinging van ICT naar de "stand van zaken" met "voldoende waarborgen" betekent alleen maar dat de rechter moet gaan bepalen wanneer daar ongeveer sprake van is. Ja, de autoriteit geeft wel (niet bindende) voorschriften, maar om nou te zeggen dat open normen "mijn probleem" met het begrijpen daarvan zijn, is pertinente onzin. Misschien kun jij concreet aangeven wanneer je aan artikel 13 Wbp hebt voldaan als ik een kleine organisatie ben, die een ledenadministratie heeft op papier en daar scans van maakt en op een interne online omgeving zet? Moet ik dan alles AES-128 encrypten? Of volstaat een simplere vorm? En als ik dan die lijsten per e-mail stuur, moet ik dan die e-mail PGP-encrypten om te voldoen aan de normen? We weten namelijk dat e-mail per definitie onveilig is.

Dit alles moet gewoon nog uitgemaakt worden en dat is een probleem voor de rechtszekerheid. Immers, nu is het aan de Autoriteit om te bepalen of ik in overtreding ben, en er zijn te weinig handvatten om daar tegen in te gaan, omdat niet duidelijk is wat men precies verwacht. Dat kan men wel nader invullen en de open norm houden voor toekomstige ontwikkelingen, maar het is nu voor veel mensen blind vliegen terwijl wel boetes van 8 ton 1-2-3 opgelegd kunnen worden.
Helaas kunnen zo ongeveer alle gegevens misbruikt worden voor ((identiteits)fraude. Vooral als NAW, email en telefoonnummer.

Een schoonmaker die op je scherm kan kijken terwijl hij de vuilnisbak leegt? Datalek.
Een kind dat de smartphone van zijn moeder pakt om een spel te spelen en daarbij mogelijk een sms/email gezien kan hebben? Datalek.
Een werknemer die bedrijfsmail doorstuurt naar gmail? Datalek.

Iedere organisatie heeft dagelijks te maken met vele datalekken. De huidige wet maakt van iedereen een crimineel.
Als ongeautoriseerden daar bij kunnen komen? Ja.
Ik heb nog oude papieren telefoonboeken -en heb dus van legio mensen en instellingen NAW en telefoonnummer-, ben ik nu in overtreding?
Die hebben er zelf voor gekozen om die zaken te publiceren. Ik doelde op interne adresbestanden van instellingen, waar de adresgegevens van hun klanten in staan.
Reactie ingetrokken, ik zag later dat er een reactie was op dit bericht maar had zelf al geconstateerd dat er fouten in stonden.

[Reactie gewijzigd door Withaar DH op 14 mei 2016 15:04]

Dat is onjuist. Onder verwerking wordt ook verstaan het kennis kunnen nemen (bijvoorbeeld lezen) van een persoonsgegeven (een gegeven dat herleidbaar is tot een persoon), zonder dat deze data op enige wijze is vermeervoudigd of verplaatst.

Een beveiligingslek leidt niet altijd tot een beveiligingsincident leidt niet altijd tot een datalek. Stel dat ik een interne pagina heb die openbaar bezocht kan worden en daar staan persoonsgegevens op. Dat is een lek. Als iemand dan deze website bezoekt is dat een beveiligingsincident. Als de persoonsgegevens dan geŽncrypt zijn, en dus ontoegankelijk, en de gegevens zijn enkel verwerkt maar niet verwijderd, is er geen datalek in de zin van de beleidsregels. Als het gewoon plaintext is, dan is dat wťl een datalek. Vervolgens is dan de vraag of je dat datalek inderdaad moet melden aan de Autoriteit afhankelijk van welke persoonsgegevens het betreft (NAW gegevens vindt de Autoriteit in beginsel minder belangrijk - tenzij de context dat anders maakt).

Het is vrij complexe materie met veel open normen. De beleidsregels zijn te lezen op:
https://autoriteitpersoon...meldplicht_datalekken.pdf .
Echt? Dat ze t niet melden? Wauw. Wie had dat gedacht.

Als ik mijn datalek onder de pet zou kunnen houden, zou ik dat ook zeker doen. Dan moet je wel heel zeker zijn van je zaak, maar melden leidt alleen tot zichtbare schade.
(Ik hoor niet bij de 130.000 bedrijven die persoonsgegevens verwerken)
Klopt.

Een organisatie waarbij data persoonsdata gestolen wordt heeft er zelf helemaal niets aan om dat te melden. Je krijgt er hooguit wat negatieve publiciteit mee, en je bedient organisaties die ervan bestaan jouw sores in statistieken te gooien, je dan voor de voeten te lopen met allerlei vragen, en die je tenslotte met een santekraam aan regels je werk lastig komen maken.

Het voorkomen van een mogelijke boete is nog het enige wat je eraan hebt. Maar met die boete loopt het ook wel los als niemand het naar buiten brengt.

Bekijk het eens zo: in welke gevallen kan je (als organisatie) echt zeker weten dat er persoonsdata data van je gelekt is? Tsja ... als je routerlog het copieren een dataset naar een extern IP adres in beeld brengt en je serverlogs laten zien dat het een bestand met persoonsgegevens was, dan wordt het lastig. Maar als je nou eens geen logs bewaart? Dat ben je toch niet verplicht, is het wel? En wat als je ze per "beleid" maar 24 of 72 uur bewaart? Het bewijs wordt al dunner, nietwaar?

En als je er nou eens op toeziet dat je IT afdeling niets meer doet dan ze moeten, en je er toevallig geen prioriteit aan gegeven hebt om allerlei security audits in je systemen aan te zetten? Probeer dan maar eens aan te tonen dat jij het was waar deze of gene data vandaan komen. Een datalek wordt dan al lastig te onderkennen, en je eigen verzuim om het te melden wordt plausibel ontkenbaar (je kan dan immers heel geloofwaardig zeggen dat je het niet wist).

En de logs van je Internet provider dan? Die geven alleen weer dat er een verbinding was, niet wat daaroverheen liep.

Naarmate je groter bent, betere logging hebt, en met meer persoonsgegevens werkt wordt het lastiger en gevaarlijker on een datalek te verzwijgen. Maar er is zeker een grijs gebied. Tenzij je er je hobby van maakt om eventuele datalekken te gaan zitten detecteren en te melden natuurlijk. Maar waarom zou je?
Melden sluit uit ook de kans op een boete van 8 ton uit. Toch niet misselijk. Een datalek hoeft echt niet altijd reputatieschade op te leveren, niet alles is te voorkomen.
8 ton is dus voor de meeste bedrijven die serieus op schaal persoonsgegevens verwerken veel te laag om voldoende drijf op te leveren voor het rapporteren. Dat is voor velen het marketingbudget van een paar weken. Maar reputatieschade van een datalek is voor hun echt veel kostbaarder. Als je niet rapporteert, is er kans dat het lek nooit naar buiten komen (aardig grote kans zelfs) dus een korte cost-benefit analyse brengt je tot de conclusie dat meldingen een slecht idee zijn.
8 ton is voor zeg 95% vd bedrijven gewoon flink geld. Zeker voor iets waar helemaal niet zoveel nadelige gevolgen aan zitten als hier beweerd wordt.
Misschien heb je gelijk, de gemiddelde Nederlander geeft natuurlijk geen fuck om zijn privegegevens, dus wellicht dat de reputatieschade hier beperkt blijft.
Zoek je zelf maar eens op in Google...
Een data lek zal niet echt veel meer toe voegen dan er al bekend is.
Onzin. Ik werk bij een bedrijf met vele miljarden omzet en een nettowinst van een paar miljard per jaar. Maar als er onverwachts 8 ton moet worden betaald (of dat nu een boete is, of een project wat uit de hand loopt etc) dan wordt er toch echt een grondig onderzoek ingesteld.
Maar als het uitkomt dat je het niet gemeld hebt, ben je nog veel verder van huis. De schade is dan veel groter. Wil je dat risico lopen?

In bepaalde situaties kan het juist positief uitpakken als je het netjes meldt. Je kunt dan uitsluitsel geven over hoe erg het is, en de situatie onder controle krijgen. Als je het niet meldt, dan springt de media erop, blazen ze het 10x op, en ben je de grote boeman. Dat nog even los van het feit dat ethisch gezien gewoon je verantwoording is om te melden als je andersmans gegevens kwijt bent geraakt.
Tsja nogal wiedes eigenlijk. Hoewel het wettelijk geregeld is zullen er zat bedrijfjes zijn die denken eerst de boel dicht te timmeren. Lukt dat dan lekker niet melden.
ach, je hoeft alleen maar te kijken naar bv alle sportverenigingen. Kleine lokale organisaties waarbij de IT geregeld wordt door 'de buurjongen die iets met computers doet'.

Volgens de AP is een datalek al het verkeerd adresseren van een e-mail met persoonlijke data. Als je toevallig een jan Janssen en jan Jansen in je bestand hebt en door een handmatige actie de e-mailadressen omgewisseld hebt, wordt dat al als een datalek gezien. Tsja, no way dat dit allemaal gemeld wordt.

[Reactie gewijzigd door RobbieB op 13 mei 2016 19:15]

Maar daar maak je wel een punt.

Hoeveel van die organisaties weten Łberhaupt dat ze onder deze wetgeving vallen. Vermoed zelf dat veel kleine organisaties van mening zijn dat ze buiten de wetgeving vallen omdat het bijvoorbeeld een stichting of vereniging is met geen winstoogmerk. Een andere insteek kan het idee zijn dat er geen commerciŽle activiteiten plaatsvinden waardoor men van mening is dat de wetgeving niet van toepassing is.
Vermoed zelf dat veel kleine organisaties van mening zijn dat ze buiten de wetgeving vallen omdat het bijvoorbeeld een stichting of vereniging is met geen winstoogmerk.
Of wat dacht je van kleine organisaties die Łberhaupt niet van de wet afweten of zich er gewoon niet mee bezig houden (veel stress).
Maar dat is geen excuus. Als je 100km per jaar auto rijdt moet je nog steeds net zo veel van de verkeersregels weten als een beroepschauffeur die 100.000 km per jaar rijdt.

Of je nu groot of klein bent, binnen je activiteiten moet je weten wat je doet en wat mag en wat niet mag.
Helemaal mee eens. Was ook meer om aan te geven dat die situaties zich ook voordoen.
Onzin. Dat is alleen het geval als je bijvoorbeeld Jan Jansen mailt dat hij zijn aidsmedicijnen heeft laten liggen, terijl dat Jan Janssen had moeten zijn. Als het alleen maar om de bardienst oid gaat is het echt geen datalek.
En dat "de buurjongen iets met computers doet" wil niet zeggen dat hij maar wat aan kan prutsen en niet daarvoor verantwoordelijk zou moeten worden gehouden. Als hij zich niet aan de wet houd zal ook hij de gevolgen daarvan moeten dragen.
En zelfs als de apotheker de mail naar de verkeerde Jans(s)en stuurt is het maar beperkt. Je weet immers niet voor wie het wel bedoeld was.
Het gaat om het melden van gelekte data, niet om het feit dat er data kŠn lekken. Dat laatste is bij elk bedrijf wat mensen in dienst heeft of software gebruikt het geval ;)

[Reactie gewijzigd door Aikon op 13 mei 2016 18:22]

Het verkeerd adresseren van een e-mail (wat heel vaak gebeurt) valt daar ook onder maar dat wordt echt niet gemeld. Ik kreeg vandaag een mail van Apple na een gesprek met Apple Care:

Beste Mike Bos,

...

Ik ken heel die vent nie. Maar honmaar dat dat gemeld wordt.
Is het jouw bedoeling dat wij het gaan melden of ga je dat zelf doen?
Ik hoef dat niet te melden. Die meldplicht geldt voor bedrijven niet voor consumenten.

Daarnaast weet ik zeker dat bedrijven dit soort dingen Łberhaupt al niet door hebben.
Ik zie niet waarom moet dit gemeld zou moeten worden. De meldplicht geldt voor datalekken met mogelijk ernstige gevolgen, gevoelige persoonsinformatie.
Je bedoelt zoiets als een minister K. die een Gmail account gebruikt die gehackt is?
Veel. Ik weet nu dus dat deze meneer 1 of meerdere Apple producten heeft. Mocht hier nou een grootschalig probleem met de mail server achter zitten dan zou ik dat kunnen misbruiken om een gerichte phishing aanval op te zetten om zo icloud gegevens te bemachtigen ŗ la the fappening.
Het is immers, om met een welbekend politicus te spreken, veel praktischer om het niet te melden.....
Nee en zelfs als dat dan boven tafel komt is het alsnog praktischer om gewoon door te blijven gaan.
Hij voegt daaraan toe dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken [...] was de verwachting dat er 60.000 meldingen per jaar gedaan zouden worden
De fuck? Ze verwachten dat elk jaar bijna de helft van de organisaties die persoonsgegevens verwerken die lekken?
Hoeft niet, kan ook 1 bedrijf zijn met 60K aan lekken O-) .
Als alle 60K ontvangers informatie hebben gekregen die niet voor hun bedoeld waren en schade kan aanrichten zoals in de beleidsregels beschreven dan lijkt met 8 ton boete nog een vrij milde straf.
En daar blijft het denk ik ook niet bij.

Vermoedelijk gaan er ook nog wel wat privť aangiften gedaan worden tegen dat bedrijf.
En je staat (erg) sterk als er (ook al) een veroordeling is door de Autoriteit Persoonsgegevens, in het geval dat er sprake was van bij geen melding bij hun van het voorval.

[Reactie gewijzigd door Withaar DH op 14 mei 2016 12:59]

Het verbaast niet. Mensen vinden het nog steeds niet echt belangrijk, dus zijn ze niet op de hoogte van de regels. Er is ook niemand, geen instantie of pressiegroep, die echt een vuisten of wil maken. Ook De Autoriteit Persoonsgegevens wacht veel af....
Als ministers privť mail mogen gebruiken om officiŽle gegevens te verwerken, dan mag de rest van het land dat toch ook?

Verder denk ik dat je voor melden wel de juiste verhoudingen moet zien, immers, een mail met iemand op de To die op de BCC had gemoeten is al een lek, maar dat melden kost ook tijd en geld (eerst intern bij de verantwoordelijke, dan extern bij de autoriteit). Ik denk dat intern al vaak niet gebeurt, en dan nog de afweging of je het dan extern wil en kan doen, het personeel dat dat moet doen moet wel betaald worden.
Ik ben er zelf bijna bij een betrokken geweest. Ik vermoedde dat er sprake was van een datalek (na een tip van een klant) en ik heb dat vervolgens gemeld bij mijn leidinggevende. Ik moet zeggen dat daar in mijn organisatie goed op werd gereageerd. Ons juridische team is er op gezet en heeft samen met de ict afdeling een diepgravend onderzoek gestart, is tot de conclusie gekomen dat het geen lek was maar een fout die niet gemeld hoefde te worden en heeft dat ook teruggekoppeld aan de klant.

Wat ik hiermee wil zeggen is dat het aantal meldingen geen leidraad hoeft te zijn van het succes van de nieuwe regelgeving. Ik zie bovenstaand verhaal ook als een succes omdat dit in het verleden wellicht direct afgedaan zou worden als een fout maar nu direct onderzocht is. Het zou zomaar kunnen dat dit bij meer organisaties speelt en als dat zo is dan zou ik dat zeker als pluspunt zien.
Gelukkig is de wetgeving niet geschreven op bewerkers van persoonsgegevens. Die kunnen zo lek zijn als een mandje...
Dat is echt onzin. Er is sprake van ketenaansprakelijkheid. Ook als de Verantwoordelijke de verwerking van persoonsgegevens uitbesteedt aan een Bewerker moet deze Bewerker aantonen dat zij technische en organisatorische maatregelen hebben getroffen om de gegevens te beschermen. Dit wordt (verplicht) vastgelegd in een Bewerkersovereenkomst.
Maar dan nog blijft de verantwoordelijkheid van de vertrouwelijkheid van de gegevens bij de eigenaar van de gegevens.

Je kunt daarna proberen de boete te verleggen naar de bewerker, maar de verantwoordelijke krijgt de boete.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True