Bijna 5500 datalekken gemeld bij Autoriteit Persoonsgegevens

Sinds de invoering van de meldplicht datalekken begin dit jaar zijn er bij de Autoriteit Persoonsgegevens zo'n 5500 datalekken gemeld. Boetes heeft de AP nog niet uitgedeeld, maar er lopen nog tientallen onderzoeken volgens de organisatie.

autoriteit persoonsgegevens In ruim vierduizend gevallen heeft de organisatie aanvullende vragen gesteld, wat resulteerde in ruim honderd waarschuwingen en de tientallen nog lopende onderzoeken. Van hoeveel mensen gegevens op straat kwamen te liggen door de datalekken meldt de AP niet. Wel zegt de organisatie dat het per datalek kan gaan om gegevens van één persoon, tot en met in enkele gevallen gegevens van honderdduizenden betrokkenen.

De gezondheidssector had met 29 procent de meeste meldingen van datalekken. Bedrijven uit de financiële dienstverlening, waaronder banken, volgen met 17 procent en openbaar bestuur komt met 15 procent op de derde plek. De Autoriteit Persoonsgegevens vat de nummers samen in een factsheet over het eerste jaar waarin de meldplicht datalekken van kracht was.

Over de lopende onderzoeken doet de AP geen verdere uitspraken. Als organisaties laks zijn geweest met de beveiliging van persoonsgegevens, kan de toezichthouder een boete uitdelen van maximaal 820.000 euro. Tot dusver heeft AP dat nog niet gedaan, maar mogelijk komt daar verandering in als de onderzoeken zijn afgerond.

Bij veel datalekken komen gegevens per ongeluk in verkeerde handen terecht. Dat kan gebeuren door een verkeerd bezorgde brief of een e-mail die verzonden is aan een verkeerde ontvanger. Ook komt het volgens de AP vaak voor dat usb-sticks met persoonsgegevens kwijtraken of dat een laptop wordt gestolen.

De toezichthouder denkt dat de bewustwording over het belang van beveiliging van persoonsgegevens bij mensen is gegroeid sinds de invoering van de meldplicht. De organisatie zegt regelmatig tips en signalen te ontvangen over mogelijk onvoldoende beveiliging van persoonsgegevens. Naar aanleiding van dergelijke tips heeft de AP ruim honderd organisaties waarschuwingen gegeven.

In mei sprak de vicevoorzitter van de Autoriteit Persoonsgegevens vermoedens uit dat niet alle datalekken worden gemeld. Na vijf maanden waren er zo'n 1600 meldingen binnengekomen bij de toezichthouder. Uit de getallen die de AP nu bekendmaakt, blijkt dat het aantal meldingen in de tweede helft van het jaar flink is gestegen. Het aantal van 5500 meldingen is echter lager dan verwachtingen die waren gesteld voor de invoering van de meldplicht. Aanvankelijk zouden er door het ministerie van Veiligheid en Justitie 60.000 meldingen zijn verwacht, al is dat later om onduidelijke redenen bijgesteld naar 6000 meldingen.

IT-banen

Reacties (116)

justVR 28 december 2016 16:13

Ik denk dat deze 5500 datalekken slechts een topje van de ijsberg zijn. Ik denk (aanname) dat minstens het dubbele aantal niet wordt gemeld.

ralphilosophy @justVR • 28 december 2016 22:28

Ik denk dat jouw aanname ook deels iets zou kunnen zeggen over het relatief grote percentage dat wordt ingevuld door de gezondheidszorg. Laten we eerlijk zijn 30% van de meldingen binnen de sector die over het algemeen als het summum van privé wordt beschouwd.

Wel denk ik dat er een "gezonde" cultuur is in de gezondheidszorg om veel te melden: men is dit in ziekenhuizen, huisartsenpraktijken en dergelijke ook al op andere vlakken gewend (incidenten met medicijnen, euthanasie, noem maar op). Hoewel hier ook zeker een onderrapportage zal zijn, heb ik het idee dat dit bij de nummers 2 (financieel) en 3 (openbaar bestuur) nog meer onder het tapijt geveegd wordt...

cbravo2 @ralphilosophy • 29 december 2016 09:39

Als ik in een ziekenhuis kom wordt de PC daar niet gelocked, zijn fysieke poorten niet afgeschermd en gebruiken ze een groepswachtwoord. Dus om dat nou het summum van privé te noemen... Het is daar juist zo lek als een mandje.

stijn12 @cbravo2 • 29 december 2016 09:48

In almere (Flevoziekenhuis) hebben ze meerdere keren last gehad van ransom dus de gebruikers in die sector zijn daar de grootste schakel!

BMercenary @justVR • 28 december 2016 16:19

Z'n gevoel heb ik ook.
Zeker omdat het personeel het moet melden bij de directie.
Maar uiteindelijk is de directie ervoor verantwoordelijk dat de bij het AP wordt gemeld.
Uit een directie oogpunt zou je kunnen denken dat het te veel geld zal kosten of schade kan toetrekken naar het bedrijf.

justVR @BMercenary • 28 december 2016 16:26

De vraag is inderdaad of jij en ik het wel zou melden. Ja, omdat het een plicht is. Nee, omdat het een enorme reputatieschade kan opleveren.

Anonymoussaurus

Datalek

@justVR • 28 december 2016 17:29

Aan de andere kant: als bedrijf laat je dan wel zien dat je je klanten niet wilt kwijtraken, omdat je het lek meldt aan de AP.

BMercenary @Anonymoussaurus • 28 december 2016 19:46

Klopt, keuzes maken

ATS @justVR • 28 december 2016 23:22

Niet melden kan je ook een enorme boete opleveren...

dutchgio @justVR • 28 december 2016 16:18

De vraag is dan of dat bewust niet wordt gemeld of dat het bewustzijn van een datalek dan wel de meldplicht er niet is.

GoT @dutchgio • 29 december 2016 11:37

Of creatief redeneren, zodat je het alsnog niet meldt:
nieuws: Ticketscript-database gaf toegang tot data kwart miljoen concertbezoe...

P.A.T.R.I.C.K 28 december 2016 17:08

Als je op naam van iemand een account kan aanmaken bij zijn huisartsenpraktijk en hiermee die persoon zijn terugkerende recepten kan inzien is dat ook een datalek of is dat een aanvaardbaar risico?

[Reactie gewijzigd door P.A.T.R.I.C.K op 26 juli 2024 08:24]

ralphilosophy @P.A.T.R.I.C.K • 28 december 2016 22:44

Dat is een datalek en te voorkomen.

Ik werk in de zorgsector en dit soort initiatieven is relatief nog in aanbouw (laten we wel zijn, de doelgroep is wat ouder en pas sinds kort meer aanwezig op internet).

Zorgnetwerken (huisarts, apotheek, ziekenhuis) zijn extreem streng beveiligd. Een account kan je alleen aanmaken als alle gegevens van het account corresponderen met de gegevens in de praktijk (o.a. NAW-gegevens, BSN, emailadres, enz). Ook moet je fysiek, vaak met een geldig identiteitsbewijs in de praktijk verschijnen (ook al kent je huisarts je al 20 jaar) om de koppeling te realiseren. Dit zijn procedures die onder meer wetten vallen dan die van het datalekken (o.a. Wet op de Geneeskundige Behandelovereenkomst).

Het systeem is uiteraard te manipuleren, maar erg moeilijk en anders zonder meer verwijtbaar. De gevolgen in dat soort gevallen zijn niet mals, ook al voor deze wetgeving over datalekken er was. Je krijgt ook meerdere procedures aan je broek: strafrechtelijk, civiel en tuchtrechtelijk en met een beetje pech mag je jezelf bij drie rechtsinstanties verantwoorden voor dezelfde delicten (schending privacywet, schending medisch beroepsgeheim, schending WGBO, schending beroepsrichtlijnen, etc).

Oh, uitzondering zijn zorgverzekeraars: die mogen van de Tweede Kamer zonder toestemming (van de patiënt/clIënt) vooraf alles inzien als ze verzekeringsfraude vermoeden (van zeide patiënt/cliënt of zorginstantie). Hopelijk gaat de Senaat dit nog torpederen...

P.A.T.R.I.C.K @ralphilosophy • 28 december 2016 23:39

voor de duidelijkheid ik heb het dus niet over een zorgnetwerk via LSP. Maar de online portal van mijn huisarts voor online afspraken maken, econsults en herhaalrecepten. De praktijk vraagt alleen een email, naam en geboortedatum

lekker he

ik heb bij de huisarts navraag gedaan, was een aanvaadbaar risico, haha.

2-staps verificatie voor inloggen gaat via dezelfde email.
doe dan helemaal geen 2staps verificatie, lmao, /facepalm.
ze konden ook kiezen voor 2staps verificatie via code via sms, maar de 30cent per login was te duur, haha

ik ben al een aantal keer van huisarts geswitched in mijn leven, en dan krijg je je heel dossier mee via een print van een assistent, ik heb me nog nooit hoeven te legitimeren en die huisartsen weten echt niet wie ik ben. Dezelfde shit bij apotheken. Ik kreeg ook zonder veel vragen de medische dossiers van mijn ouders, grootouders en zussen mee of medicatielijsten van familieleden. Ik ben iemand die altijd misselijk doet en dan de confrontatie aan probeert te gaan, maar dan kijken ze me alleen dom aan, geven mij een opmerking over vertrouwen en wensen me een fijne dag.

Niet dat ik veel verwacht van een land waar alle huisartsen homeopathische middelen adviseren en alle apotheken blij zijn om ze te verkopen. En dan heb je ook nog van die mensen die dat dan gaan kopen /facepalm

DidiD heeft ook geen waarde, ik heb de DigiD's van ongeveer 25 familieleden hier thuis liggen. Veel mensen hebben niet eens DigiD medium aanstaan en zijn content met login + ww. DigiD met hoog bestaat nog altijd niet in 2016, triest hoor

Er zijn ook zat (95%+) mensen die hun digiD gewoon aan iedereen afgeven, waarvan ze denken dat die persoon wel te vertrouwen is omdat die persoon hun belastingaangiftes invult (ook de hoger opgeleiden).

ralphilosophy @P.A.T.R.I.C.K • 29 december 2016 08:21

Het LSP noem ik in dit geval overigens ook niet, want eerlijkheidshalve ken ik de techniek daarachter maar te beperkt.

De situatie die je schetst rond huisartsen en apotheken is zorgelijk, want ik vermoed niet dat die situaties bij de AP zijn gemeld terwijl het major datalekken zijn.

Ten aanzien van homeopathie (al is dat wat off topic) werken sommige middelen net zo goed als reguliere medicatie? Waarom? Door het placebo effect dat al ongeveer 40% van het effect te weeg brengt. Zolang het om niet "zware" ziektelast gaat kan je dit vanuit professioneel oogpunt wellicht nog wel verantwoorden.
Zelf heb ik na mijn huisarts in kindertijd (want die koos ik niet zelf, haha) nooit een huisarts getroffen die homeopathie adviseerde (voor mezelf of gezin dan).

Maar bij homeopathie en de goedgelovigheid rond het delen van DigiD's geldt ook dat de gemiddelde mens zich graag laat besodemieteren. Iedere patiënt heeft net zoveel over zijn/haar behandeling te zeggen als de behandelaren (ongeacht welke). De meesten maken nooit gebruik van dat recht (of ze moeten ineens met ernstige ziekte, zoals kanker, geconfronteerd worden)...

P.A.T.R.I.C.K @ralphilosophy • 29 december 2016 09:57

Niks mis met offtopic

Die 30-40% moet ik toch effe een aanmerking maken dat dit zoals jij al zegt alleen bij sommige middelen is. En dat zijn er heel weining in de praktijk (dat ga je dus nergens terugvinden in die cijfers van die nep 30-40%). Dat placebo effect werkt in de praktijk dus maar voor minder dan 5% en ook nog eens met zeer kleine effect en dan wil je de negatieve reacties van veel van die middelen echt niet weten, zowel op de korte als zeer lange termijn. Huisartsen zouden de mensen dan gewoon moeten doorsturen voor psychosomatiek therapie of iets dergelijks (mix van fysiotherapeut en psycholoog) of meedoen met het sportprogramma van wakker nederland op de npo en voor klachten die een creme kan verhelpen gewoon iets van aromatherapie zalfje of een zalfje met alleen suikerwater en een bindmiddel , zonder troep.

Verwijderd @ralphilosophy • 29 december 2016 10:47

Denk jij dat het mogelijk is dat er geen boetes worden uitgedeeld omdat ze bij de AP weten dat er zo veel over iemand wordt afgeroepen als blijkt dat er fouten zijn gemaakt? En dat men daarom vooral eerst waarschuwt?

Het is nogal frappant dat gezien het aantal datalekken de AP het presteert om niet één boete uit te delen.

Ik weet niet of dat iets Nederlands is, maar ik heb het gevoel dat niemand, ook een waakhond niet, een ander nog verantwoordelijk houdt. En daarna doorzet met boetes.

Wel, ook in de EU blijft men lief voor corporaties. Rechtszaak hier en daar maar uiteindelijk is het allemaal een wassen neus.

kzin

@P.A.T.R.I.C.K • 28 december 2016 19:05

Ik denk dat het ook een vorm van datalek is. Dit soort informatie is zo vertrouwelijk dat zelfs opgeven van DigID + geboortedatum + naam huisarts + whatever niet voldoende zou moeten zijn om zo'n account aan te maken. Er zou minimaal een procedure moeten zijn waarbij er een brief naar het huisadres zoals bekend bij de praktijk wordt gestuurd, met een activatiecode.

regmaster 28 december 2016 22:02

Het is jammer dat de wet Meldplicht Datalekken zo'n beperkte focus heeft, eigenlijk is dat zelfs een blunder te noemen. Zo vragen legio bedrijven en instanties meer gegevens van hun klanten dan ze eigenlijk volgens de WBP mogen vast leggen of zelfs nodig hebben. Deze bedrijven/instanties kunnen vervolgens failliet gaan en hun databases met persoonsgegevens worden overgenomen door andere bedrijven die daarmee beschikking krijgen over gegevens zonder dat betrokkenen daar toestemming voor gegeven hebben of überhaupt van op de hoogte zijn. Ook kunnen gegevens gewoon verkocht of gedeeld worden zonder dat dit gemeld wordt bij de betrokkenen. Dit zijn, vanuit privacy oogpunt, veel ernstigere bedreigingen voor de privacy dan dat er een keer een laptopje of een telefoon verloren of gestolen wordt. Alleen de AP ziet het niet als een datalek terwijl de verloren telefoon dat wel is. Erg krom.
Als er serieus zou worden gekeken naar hoe de privacy van burgers beter gewaarborgd zou moeten worden zou je als overheid naar het gehele plaatje van gegevens verwerkingen moeten kijken en niet alleen naar een melding van een gestolen of verloren telefoon/laptop of een datadiefstal via een slecht beveiligde website. Dat is veel te beperkt en gaat het probleem niet oplossen. Momenteel dient de wet Meldplicht datalekken hooguit als een doekje voor het bloeden.

cbravo2 @regmaster • 29 december 2016 09:58

En wat dacht je van het feit dat bewerkers geen meldplicht hebben? Alleen de bestandseigenaar heeft dat.

Killjoy @cbravo2 • 29 december 2016 12:36

Dat klopt niet helemaal. Bewerkers hebben wel degelijk een meldplicht bij de AP voor datalekken voortkomend uit activiteiten die gerekend worden tot de 'eigen werkzaamheid' van de bewerker.

Voor activiteiten die door de Bewerker uitgevoerd worden voor een Verantwoordelijke( wat jij aanduidt als bestandseigenaar), dient de Verantwoordelijke een meldplicht van Bewerker aan Verantwoordelijke vast te hebben gelegd in de Bewerkersovereenkomst. De melding wordt vervolgens gedaan door Verantwoordelijke aan de AP.

Aandachtspunt daarbij is dat de gehele afhandeling van de melding dus ook binnen de termijn van 72 uur (oh nee, 3 werkdagen...) moet zijn gedaan.

cbravo2 @Killjoy • 29 december 2016 16:03

Ik zie in de meldplicht dat niet terug, wel in de aansprakelijkheid. Heb je een bron?

Killjoy @cbravo2 • 30 december 2016 17:14

Dit vloeit voort uit artikel 14 van de Wbp. De Verantwoordelijke is verantwoordelijk voor het doen en laten van de Bewerker.

Verwijderd 28 december 2016 15:51

Maar als er zoveel datalekken zijn dan betekent dat dat bij de bedrijven waar de beste stuurlui die op tweakers zo goed weten hoe het moet ongetwijfeld ook dingen fout gaan. Het zal wel heel toevallig zijn als deze lekken alleen bij bedrijven is waar geen tweakers werken.

Ojjorz @Verwijderd • 28 december 2016 16:16

Ik claim geen expert te zijn, maar ik ben wel tweaker. En toch ben ik schuldige van een datalek. Mijn zakelijke telefoon werd gestolen. Hoewel deze telefoon voorzien was van een wachtwoord én encryptie kon niet worden uitgesloten dat er privacygevoelige informatie te verkrijgen was door de dieven. Er is dus netjes melding gemaakt van een datalek.

gorgi_19 @Ojjorz • 28 december 2016 22:21

Je geeft aan dat je telefoon gestolen is, dus is er sprake van een beveiligingsincident. Echter, je hebt de telefoon voorzien van een wachtwoord en encryptie, dus is het redelijkerwijs te verwachten dat er geen gegevens gelekt zijn.

Voor de autoriteit peroonsgegevens gaat het niet om de garantie of uitsluiting dat er geen gegevens gelekt zijn. Het moet redelijkerwijs uit te sluiten zijn. Zie hiervoor ook het stroomschema in de richtsnoeren op bladzijde vier.
https://autoriteitpersoon...ldplicht_datalekken_0.pdf

Veelal zie je de defintities van beveiligingslek, beveiligingsincident en datalek door elkaar gehaald worden. Voor de meldplicht zijn dit verschillende zaken. Alleen als een probleem ook een datalek is, valt deze onder de meldplicht.

Seth_Chaos @Ojjorz • 28 december 2016 22:20

Zolang de data encrypt is hoef je het niet te melden tot aannemelijk is dat ze de encryptie kunnen kraken.

@cbravo2:
Dat is ons gemeld door de toezichthouder. Zolang de verkregen data niet in te decrypten is in de komende 30 jaar, hoeft het niet gemeld te worden. Wel moet het alsnog gemeld worden wanneer dit in de komende jaren wel mogelijk wordt. Het was nu een beveiligingsincident en geen datalek, want daarvoor hebben ze toegang tot de data nodig en dat hebben ze evengoed niet.

[Reactie gewijzigd door Seth_Chaos op 26 juli 2024 08:24]

cbravo2 @Seth_Chaos • 29 december 2016 10:01

Onduidelijk/slecht advies... Je moet het altijd melden bij het AP. Als je kan uitsluiten dat de vertrouwelijkheid van de gegevens is gecompromitteerd, dan hoef je het niet aan alle betrokkenen (degene wiens gegevens het betreft) te melden.

Iedere diefstal van persoonsgegevens is dus meldplichtig.

[Reactie gewijzigd door cbravo2 op 26 juli 2024 08:24]

Mr_Light @Verwijderd • 28 december 2016 21:19

Ik denk niet dat hier iemand beweerd dat er bug-vrije software van enig formaat gemaakt word.

Als je dan dus met gevoelige gegevens werkt zoals gezondheidsgegevens en je kan niet bewijzen dat er niet gebruik van is gemaakt dan heb je een data lek. Ik wantrouw dan ook elke organisatie met enige omvang die geen datalek te melden heeft. Als je regelmatig penetratie testen, code reviews, CVA's checked, patches, monitoring etc doet dan zal je gaten zijn tegengekomen. De partijen die de lekken nu melden hebben tenminste iets van een proces in place om hun beveiliging te verbeteren. Hoop bedrijven zullen dat niet of slecht geregeld hebben (wij ontdekken ook lekken in andere systemen waarmee wij bv koppelen en volgens mij hebben die nog nooit een datalek gemeld.) of zijn niet eens en ondanks de publiciteit nog steeds niet eens bewust van de meldplicht.

in het nieuws word er vooral over de gemelde datalekken gerept, terwijl juist de niet gemelde zijn waar je je zorgen over moet maken. - de gemelde lekken zijn immers gedicht. (het niet binnen redelijk termijn verhelpen van het lek maakt het weer tot een nieuw datalek.)

[Reactie gewijzigd door Mr_Light op 26 juli 2024 08:24]

phosporus @Verwijderd • 28 december 2016 16:00

Niet alles heeft hier met IT te maken. Het niet goed configureren dat een SQL injection toelaat is in dit even zwaar als iemand die een brief in het verkeerde envelopje douwt. In de woorden van Gimli: That still only counts as one!

ralphilosophy @phosporus • 28 december 2016 22:34

Nee, zo zie je vandaag ook weer een datalek ontstaan door papieren die uit een tas zijn ontvreemd. Sterker nog, ik denk dat een essentieel deel van datalekken veroorzaakt wordt doordat men niet met zijn vingers van andermans spullen afblijft.

Dat je geen laptop open, bloot en ontgrendeld achter moet laten op Amsterdam Centraal lijkt een open deur, maar soms is het niet zo zwart-wit. Wat als de aktetas van een jurist op de Zuid-as uit zijn handen wordt getrokken door een tasjesdief op scooter? Wat als je een brief inderdaad in de verkeerde envelop doet?

Gelet op alles wat er via social media de wereld in geslingerd wordt, moet men misschien vooral de keuze maken welke gegevens nu echt inbreuk zijn op de privacy c.q. gevoelig zijn voor misdrijven (identiteitsfraude). Daarnaast moeten burgers de keuze gaan maken wie de gegevens (in beperkte of volledige mate) kan/mag hebben. Ik denk dat hierbij twee grote kanshebbers zijn: het bedrijfsleven (van bedrijven als Apple tot je huisarts) of de overheid. Bij het laatste denk ik meteen aan 1984, bij het eerste aan The Circle... kiezen tussen twee kwaden?

aadje93 @Verwijderd • 28 december 2016 16:05

je kunt ook bij een bedrijf werken en hier op tweakers actief zijn, maar dan kan het company policy alsnog zo zijn dat jij er niets aan verandert...

Blokker_1999

Politiek en recht
Datalek
Privacy

@Verwijderd • 28 december 2016 16:09

Want elke tweaker is per definitie een security expert?

dakathefox @Verwijderd • 28 december 2016 16:11

Natuurlijk zitten daar ook Tweakers tussen. Het zijn dezelfde Tweakers die hard roepen dat 'de cloud' eng is en dat er een loopje wordt genomen met de privacy. Ondertussen richten ze wel de boel in met Admin / Welkom123, worden er updates niet geinstalleerd en blijven backups staan op publiek toegankelijke plekken.

Habana 28 december 2016 15:51

Dat er tot nu toe geen boetes zijn uitgedeeld is voor mij reden genoeg om aan te nemen dat bij AP en dergelijke instanties dat het omgaan met persoonlijke gegevens nog steeds niet serieus genomen word, eigenlijk belachelijk voor woorden.

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
Datalek
Politiek en recht

@Habana • 28 december 2016 22:22

Dat er tot nu toe geen boetes zijn uitgedeeld is voor mij reden genoeg om aan te nemen dat bij AP en dergelijke instanties dat het omgaan met persoonlijke gegevens nog steeds niet serieus genomen word, eigenlijk belachelijk voor woorden.

Ze zijn pas een jaar bezig, het is vrij gewoon dat bij het invoeren van nieuwe regels er een overgangsperiode is waarin er nog niet wordt gestraft maar alleen gewaarschuwd. De meeste organisaties die nu al melding hebben gedaan zijn van goede wil, de echte schoften melden het niet. Het zou een beetje sneu zijn om hen die vooraan staan om netjes mee te werken direct te straffen. Daarbij is het waarschijnlijk dat er vooral de gevallen gemeld waarin de melder volgens de regels niet strafbaar is. Een lek is op zich namelijk niet stafbaar. Pas als je zeer nalatig bent geweest kunnen ze je straffen.

Ten tweede werkt een waarschuwing in veel gevallen beter dan een boete. Bij een boete is de eerste reactie vaak ontkennen dat er iets mis is gegaan en de boete aanvechten. Dat kost een hoop geld en tijd, zowel voor de overtreder als de toezichthouder, dat beter besteed had kunnen worden.

Ten derde is de capaciteit van de AP beperkt. Ze zullen keuzes moeten maken in wat ze wel en niet doen. Ik denk dat het in deze fase productiever is om een hoop kleine onderzoekjes te doen en veel waarschuwingen te geven dan een paar grote onderzoeken die eindigen in een boete. Het is per slot van rekening niet makkelijk om te bewijzen dat iemand bewust en/of opzettelijk slordig met z'n gegevens is om gegaan.

Tot slot is die meldplicht er vooral om informatie te verzamelen. Als ze direct streng optreden dan krijgen ze nooit een goed beeld van het probleem. We weten dat het gigantisch is en dat er enorm veel werk op ons wacht. Beginnen met de makkelijke gevallen en de organisaties helpen die van goede wil zijn maakt de berg problemen al een stuk kleiner. Ik denk dat het nog wel een paar jaar duurt voor de achterstand is ingelopen en het laaghangende fruit is geplukt. Daarna blijft er (hopelijk) een veel kleinere harde kern van probleemgevallen over die niet kunnen of willen verbeteren. Die groep kan dan met boetes worden gedwongen om mee te werken.

Blokker_1999

Politiek en recht
Datalek
Privacy

@Habana • 28 december 2016 16:11

Hoe wil je die boetes gaan kwantificeren? Waar trek je welke grens? Ga je een openstaande ftp server waarop 10 000 klantgegevens inclusief kredietkaartnummers te vinden zijn minder zwaar bestraffen dan een zero-day waarmee er 100 000 zijn gestolen maar waarin wachtwoorden goed gehashed zijn en er amper bruikbare data te vinden is?

stresstak @Blokker_1999 • 28 december 2016 18:57

Hoe wil je die boetes gaan kwantificeren? Waar trek je welke grens?

Zeg het maar. Nu zijn er geen boetes, dus heeft Habana gelijk dat het voor kennisgeving wordt aangenomen.

Wel boetes ? Welke, hoe hoog, aan wie. laat men maar openheid van zaken geven.

dakathefox 28 december 2016 15:40

Dat is toch meer dan ik eigenlijk had verwacht... In de meeste gevallen heb ik toch de indruk dat mensen dit maar wat graag onder de pet willen houden.

MiNDiT @dakathefox • 28 december 2016 15:41

Het is verplicht om te melden dacht ik

dakathefox @MiNDiT • 28 december 2016 15:43

Ja... Dat is het ook. Maar dat wil niet zeggen dat ze dat ook doen natuurlijk.

gwillem @dakathefox • 28 december 2016 16:07

Of deze: http://gwillem.gitlab.io/...ne-stores-found-skimming/
Ik heb bij een aantal winkels een proefbestelling geplaatst (terwijl ze gehacked waren) om te zien of ik er later nog iets over hoorde. Nou, nee dus.

TouroLouco @gwillem • 28 december 2016 19:03

Men is niet verplicht om het iedereen persoonlijk te melden als er veel mensen bij betrokken zijn, een bericht in de media volstaat ook en daarbij is het niet eens duidelijk of het een eigen persbericht moet zijn...

Teijgetje @TouroLouco • 28 december 2016 20:54

Hier kreeg iedereen netjes een brief van de gemeente.
Zij konden er helaas niets aan doen. Foutje van de ICT leverancier waar een laptop met gegevens gestolen was (die beveiligd en versleuteld verzonden was aan GeoTax door de gemeente).

Gelukkig lag er amper wat op straat en is het netjes gemeld.....
quote;
is het mogelijk dat de laptop de volgende naar de inwoner herleidbare gegevens bevat zoals burgerservicenummer, achternaam en initialen, adres, geboortedatum, KVK en RSIN-nummers en gegevens over het onroerend goed.
en
Verder zijn geen financiële gegevens, telefoonnummers, e-mailadressen, gebruikersnamen, wachtwoorden en bankgegevens ter beschikking gesteld aan de leverancier. Het is dus uitgesloten dat de laatsgenoemde gegevens op de laptop stonden.

Dat stelt een burger, samen met het volgende advies, ontzettend gerust....

Wij adviseren onroerend goed bezitters alert te zijn op signalen van identiteitsmisbruik zoals afwijkende correspondentie van banken, bedrijven of overheidsinstanties. Bijvoorbeeld, een afwijzing voor een lening ondanks een vlekkeloos kredietverleden of als bij het aanvragen van een subsidie of uitkering blijkt dat die al uitgekeerd is of brieven van incassobureaus ontvangen, terwijl er geen sprake is van schulden.

Als inwoners identiteitsfraude vermoeden, adviseren we altijd aangifte bij de politie te doen.

En GeoTax zal vast een dikke foei te horen gekregen hebben van de AP.

[Reactie gewijzigd door Teijgetje op 26 juli 2024 08:24]

Verwijderd @gwillem • 28 december 2016 17:13

Of deze: http://gwillem.gitlab.io/...ne-stores-found-skimming/
Ik heb bij een aantal winkels een proefbestelling geplaatst (terwijl ze gehacked waren) om te zien of ik er later nog iets over hoorde. Nou, nee dus.

Nou dat is dus iets waar de autoriteit zeker wel van wil weten. Heb je contact met ze opgenomen?

Overigens slim dat je proef {?} bestellingen kon plaatsen bij shops waarvan je wist dat ze gehackt waren. Waren die dan nog online? Wisten ze niet dat ze gehackt waren? Zoveel vragen...

Noxious @dakathefox • 28 december 2016 15:49

Klopt, neem nou als voorbeeld deze:
nieuws: Ticketscript-database gaf toegang tot data kwart miljoen concertbezoe...

nieuwveen @Noxious • 28 december 2016 20:37

Ben benieuwd of ze hun gebruikers hebben geïnformeerd

Verwijderd @MiNDiT • 28 december 2016 15:45

Klopt, sinds 1 januari 2016 geldt deze meldplicht.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

ralphilosophy @MiNDiT • 28 december 2016 22:35

Het is ook verplicht om op de autoweg vanaf links in te halen en je te houden aan de geldende maximumsnelheid...

Nadeel met dit soort regels: controle en handhaving en daar gaat het ook mis bij deze meldplicht...

Digihans @ralphilosophy • 29 december 2016 13:49

Fout!

Handhaving wordt gedaan, en boetes worden opgeeist.
Bij herhaling loopt de boete op.
Boetes kunnen per overtreding oplopen tot over de 500K euro, afhankelijik van het type overtreding. Per gradatie is er ook een MINIMALE boete.

Niet melden is erg dom: als je naderhand geconfronteerd wordt doordat een slachtoffer het meldt, zit je veel zwaarder in de puree.
Een ziekenhuis "in het oosten" van ons land heeft reeds een boeten van enkele tonnen mogen verwelkomen.
Tenminste EEN bedrijf (meubelmakerij) is door de boete failliet gegaan.

Hoezo niet handhaven? Echt wel, en terecht!

ralphilosophy @Digihans • 29 december 2016 14:51

Ik twijfel aan niet één woord wat je schrijft, maar de AP brengt naar buiten dat ze GEEN boetes hebben opgelegd ondanks zo'n 6000 datalekken. Wat moeten we hier dan van denken?

Waren de datalekken niet ernstig genoeg? Heeft men het boetebedrag nog niet kunnen bepalen in die gevallen? En wat voor gevolgen heeft dit dan voor handhaving in 2017?

Het is onduidelijk hoe handhaving en afstraffing praktisch geregeld zijn, volgens mij ook bij de AP zelf. Het signaal dat nu naar buiten komen kan door Jan modaal worden opgevat als "het grootste deel verdwijnt in de doofpot" en "fouten worden niet afgestraft"... Het gros hier zal iets verder nadenken, maar de doorsneeburger ziet een bevestiging in de zinloosheid van dit soort maatregelen...

Overigens, in 2018 komt er vervangende, Europese wet- en regelgeving. Ben benieuwd hoe de heisa er dan uit gaat zien...

Dutch_CroniC @MiNDiT • 28 december 2016 15:48

nm. mind123 was me voor

oh ja gordel verplicht.
jij bent snel blokker

maar minnetje?
met mijn opmerking zeg ik precies hetzelfde als jij...

[Reactie gewijzigd door Dutch_CroniC op 26 juli 2024 08:24]

Blokker_1999

Politiek en recht
Datalek
Privacy

@Dutch_CroniC • 28 december 2016 15:50

En de meeste mensen dragen die dan ook. Er zullen altijd bedrijven zijn die het verzwijgen maar aan de andere kant zijn er ook voldoende meldingen van bedrijven wanneer het ook niet strikt noodzakelijk is.

Er zijn ook maar weinig bedrijven die het risico willen lopen van het niet te melden om dan alsnog tegen de lamp te lopen. Dat blijft namelijk ook niet ongestraft.

Dannydekr @dakathefox • 28 december 2016 15:52

Niet slim, aangezien je dan een fikse boete krijgt mocht het naar buiten komen.

bosskiss @dakathefox • 28 december 2016 16:08

Ik had veel meer verwacht eigenlijk.

Wanneer iemand op een foute link klikt in een e-mail bericht (Zelfs al wordt die tegen gehouden door chrome/mozilla) moeten wij het al melden. Ook als je iemand een verkeerd document verstuurt. Geef wel toe beter te veel dan te weinig.

jpsch @dakathefox • 28 december 2016 20:48

Bij een bedrijf met honderden medewerkers gaat er altijd wel wat mis. Misschien worden wel alleen de "kleinere" zaken zoals vermissing telefoon gemeld en de grote bewust niet.

mugenmarco 28 december 2016 15:46

Ok dus ze zijn verplicht om zo'n datalek te melden. Maar wat als ze dit bewust niet doen? Hoe groot is de kans dat ze er achter komen?

Weet zeker dat veel bedrijven zoiets bewust niet melden.

Chrotenise @mugenmarco • 28 december 2016 16:03

Je hebt:

1) medewerkers die het niet netjes vinden dat het wordt weggemoffeld.
2) medewerkers die ontevreden zijn met hun salaris en dit soort vuiligheid gebruiken voor een mooie exitbonus / opslag.
3) mensen die het lek misbruikt hebben
4) mensen die het lek tegenkomen en onafhankelijk een melding doen bij de autoriteiten nadat ze jou een mail sturen.

Dus de kans is redelijk aanwezig.

ralphilosophy @Chrotenise • 28 december 2016 22:38

En je hebt één medewerker die het lek bewust of onbewust kan verzwijgen, zonder dat iemand er verder erg in heeft. We denken namelijk nu al snel richting servers (waar ook schatten aan informatie ligt uiteraard), maar ook klein en offline is er vreselijk veel schade te berokkenen

Verwijderd @mugenmarco • 28 december 2016 15:50

Weet zeker dat veel bedrijven zoiets bewust niet melden.

Bron?

jetspiking Freelanceredacteur @Verwijderd • 29 december 2016 08:52

Kwestie van alle opties openhouden lijkt mij, stel:

Een bedrijf maakt een enorme blunder, STEL dit is bvb Apple.

Er is een datalek ontstaan bij Apple, miljoenen gegevens van klanten zijn blootgelegd inclusief adressen, persoonlijke gegevens etc.

Nu resten er twee opties voor Apple:
Melden bij AP, voorkomt een boete, voorkomt wantrouwen. Maar wel gigantische reputatie schade.

Verzwijgen:

Kans op een boete, geen reputatie schade, geen wantrouwen (totdat het wordt ontdekt.) en ze hopen door te kunnen gaan alsof er niets gebeurt is.

Welke optie kiezen zij, ze zijn bang om klanten te verliezen, wie weet neigen ze wel naar optie 2.

Je zult het niet zeker weten, maar het hangt gewoon af van de eerlijkheid van het bedrijf.

Edit: Typfouten verbeterd.

[Reactie gewijzigd door jetspiking op 26 juli 2024 08:24]

cbravo2 @jetspiking • 29 december 2016 10:10

Als het bestand wordt gestolen dan komt het uit. Altijd. De vraag is dan alleen hoe lang het duurt.

jetspiking Freelanceredacteur @cbravo2 • 29 december 2016 10:48

Ik heb gereageerd op deze reactie:

ReneWouters
@mugen4u • 28 december 2016 15:50
Weet zeker dat veel bedrijven zoiets bewust niet melden.
Bron?
Reageer

Hij vroeg naar een bron, dus vandaar deze uitleg voor hem.

[Reactie gewijzigd door jetspiking op 26 juli 2024 08:24]

jpsch @Verwijderd • 28 december 2016 20:53

Nou met dit soort juridische adviezen en artikels in Financieel Dagblad is de kans aanwezig.

https://fd.nl/economie-po...rime-is-vaak-verstandiger

mugenmarco @Verwijderd • 28 december 2016 15:59

[...]

Bron?

Aanvankelijk zouden er door het ministerie van Veiligheid en Justitie 60.000 meldingen zijn verwacht

Zoiets zijn ze niet uit hun duim aan het zuigen lijkt mij.

Blokker_1999

Politiek en recht
Datalek
Privacy

@mugenmarco • 28 december 2016 16:08

Om daarna bij te stellen naat 6000 waar je dus bijna aan komt. Voor hetzelfde geld stond in die eerste schatting een nul te veel.

Rataplan_ @Blokker_1999 • 28 december 2016 19:51

Welnee. Dit wordt bijgesteld zodat er over een paar maanden weer een stel pennenlikkers een vette bonus kan krjigen omdat hun 'targets' gehaald zijn.

Verder wel een goede zaak deze meldplicht zolang het maar niet overdreven wordt. Ik heb een bedrijf wat remote werkplekken levert aan een flink aantal klanten, we merken dat zoals altijd het grote probleem zit bij de gebruikers zelf die spullen naar huis mailen (ondanks dat ze vandaar ook gewoon remote kunnen inloggen) of iets op een USB stickje zetten, je kent het standaard verhaaltje wel. Wachtwoorden tegen beter weten in op een geeltje op de monitor geplakt, sja zo werk je eea wel in de hand.

kuurtjes @Verwijderd • 28 december 2016 16:02

Waarom achter een bron vragen? Heb jij zelfs een bron dat ze dat allemaal wel doen?

Verwijderd @kuurtjes • 28 december 2016 17:15

Waarom achter een bron vragen? Heb jij zelfs een bron dat ze dat allemaal wel doen?

Als iemand een stelling poneert is het redelijk om daarvan een bronvermelding te vragen. De vrager hoeft dan niet zijn vraag te onderbouwen met bewijs.

stresstak @Verwijderd • 28 december 2016 18:47

Als iemand een stelling poneert is het redelijk om daarvan een bronvermelding te vragen.

Dat is uiteindelijk net zo vermoeiend als nepnieuwsgedoe. Bij elke scheet een bron moeten vermelden remt de nieuwsgaring ook.

En dan ook de bron verifieren zeker ?

Teijgetje @Verwijderd • 28 december 2016 20:36

Als iemand een stelling poneert is het redelijk om daarvan een bronvermelding te vragen.

Heb je daar een linkje van?
Of kun je dat onderbouwen met bewijs?
Of is het je eigen mening dat dat redelijk is?

Of heb je wel een linkje dat zijn stelling tegenspreekt?

[Reactie gewijzigd door Teijgetje op 26 juli 2024 08:24]

jetspiking Freelanceredacteur @Verwijderd • 29 december 2016 10:49

Want? Dit is toch gewoon logisch nadenken?

Verwijderd 28 december 2016 15:47

Ok, en nu? Hoe is onze privacy nu beter gewaarborgd?

sylvester79 @Verwijderd • 28 december 2016 15:53

Door het melden en de kans op een boete zullen bedrijven meer nadenken over privacy. En je zou verwachten dat het dan minder fout gaat. Zonder meldingsplicht hadden we van niets geweten.

[Reactie gewijzigd door sylvester79 op 26 juli 2024 08:24]

Verwijderd @sylvester79 • 28 december 2016 16:10

Dat is de theorie. In de praktijk lijkt het erop dat minder dan 10% lekken meldt. (uitgaande dat het verwachte aantal lekken rond de 60k lag ergens op gebaseerd is)

ralphilosophy @Verwijderd • 28 december 2016 22:55

Een goede aanname denk ik...

In 2002/2003 deed ik onderzoek naar juridische achtergronden van euthanasie. Geraadpleegde artsen die daar vaak mee in aanraking kwamen, gaven aan dat zij vermoeden dat medio jaren 90 (toen de wet net in werking was getreden) zeker de helft van de gevallen niet als euthanasie is gemeld. Dan gaat het iet alleen over valsheid in geschrifte (want, valse akte van overlijden opgesteld) en wat tuchtrechtelijke dwalingen, maar in essentie ook om moord met voorbedachte rade (c.q. aanzetten en behulpzaam zijn bij zelfdoding).

Nog steeds vermoed ik dat er meer werkelijke euthanasiegevallen zijn dan er gemeld worden en een schatting zou neerkomen op een verschil kleiner dan 5%. Wat heeft de kentering gemaakt? De wetgeving is niet strenger geworden (wel duidelijker en verder uitgebreid) noch de strafmaat. Nee, de artsen die euthanasie uitvoeren hebben zelf een rustiger geweten (en waar nodig ondersteuning en begeleiding) bij het volgen van de procedures. Men redeneert dus niet meer vanuit angst voor straf, maar vanuit eigen "gewin" (sterk intrinsiek gemotiveerd: het is beter voor de patiënt, diens naasten én de arts).

Om een lang verhaal kort te maken: als je melden van datalekken wil aanmoedigen en tegelijk wil voorkomen zul je mensen ervan moeten doordringen dat het beter is om te melden, dan om het na te laten. Dit kan leiden tot de (intrinsieke) motivatie, maar ook kwaliteitsverbetering (en procesevaluatie) om het werk zodanig in te richten dat lekken nagenoeg onmogelijk wordt. Wat daar exact voor nodig is, kan ik ook niet zeggen, maar tijd lijkt me zeker een belangrijke factor...

Amasik @Verwijderd • 28 december 2016 16:27

Of 91% als je van 6000 uitgaat

Die 60000 en 6000 waren allebei verwachtingen dus in de praktijk weten we niet hoeveel er niet gemeld zijn. Wat we wel weten is dat er 5500 meldingen zijn gedaan die zonder deze wet misschien nooit publiekelijk bekend zouden zijn geworden.

aadje93 @sylvester79 • 28 december 2016 16:04

of meer nadenken over het onder de tafel schuiven van het incident, juist door die boete

sylvester79 @aadje93 • 28 december 2016 16:34

Het is lastig dit soort zaken, bij grootschalige incidenten, het goed onder de tafel te schuiven, je hebt altijd het risico op klokkenluiders.

Gezien de kans op een boete minimaal is is melden vaak beter. Of het aantal lekken van 60.000 reëel is vraag ik mij af.

Je zou dan wel verwachten dat er meldingen komen van klokkenluiders dat hun werkgever een situatie onder de tafel schuift.

Patrick-58 @Verwijderd • 28 december 2016 15:58

Ik vind je reactie persoonlijk wat kortzichtig. Hoogstwaarschijnlijk doel je op het feit dat vast niet alle lekken aangekaart zijn en het (tot nog toe) bij waarschuwingen gebleven is. Wellicht dat die waarschuwingen wat aan de lichte kant zijn, dat durf ik zelf - zonder de zaken individueel te bekijken - niet te stellen. Uiteindelijk is deze meldplicht nieuw en is het met de straffen hoogstwaarschijnlijk ook even aftasten wat wel/niet gepast is. Ik ga er in ieder geval vanuit dat het een kwestie van tijd is voordat dat op orde is (er is altijd verbetering mogelijk en al helemaal bij een nieuwe meldplicht, nietwaar?).

Hoe dat onze privacy beter gaat waarborgen? In principe net als iedere wet; overtreders worden bestraft en hopelijk schrikken die straffen hen voldoende af dat op den duur het goed bewaken van persoonsgegevens een algemene norm wordt. Uiteindelijk zou dat onze privacy beter moeten waarborgen.

Daarnaast is het door de meldplicht natuurlijk zo dat bedrijven ook publiekelijk aan de schandpaal geplaatst worden en wij als burgers toezicht op hen kunnen houden. Wanneer je je stoort aan de omgang van je persoonsgegevens bij een bedrijf X, kun je natuurlijk je contact met hen verbreken en overstappen naar partij Y waar het hopelijk beter geregeld is.

Verwijderd @Patrick-58 • 28 december 2016 16:15

Ik vind de opmerking helemaal niet kortzichtig. Net als bijv. bij het juridisch afdekken van verantwoordelijkheden. Je kan je prima indekken met voorwaarden, maar wat gaat er dan praktisch veranderen zodat problemen niet ontstaan? Helemaal NIETS.

Lekken (verplicht) melden verbetert onze privacy niet. Goed systeembeheer en applicatie ontwerp (als het om electronische datalekken gaat) wel.

Amasik @Verwijderd • 28 december 2016 16:23

Als er geen snelheidsboetes zouden zijn zul je op de weg veel meer hardrijders tegen gaan komen.

Zolang er geen straf is hebben systeembeheerders en directies geen reden om te investeren in betere infrastructuur die je privacy beter beschermd zodat je privacy niet per ongeluk op straat komt te liggen. Echter garanderen dat problemen nooit voorkomen kan niemand.

Het bewust verzamelen van privacy data kun je hiermee niet tegengaan, maar zolang de voorwaarden juist omschreven worden weet je in ieder geval hoe een bedrijf of instantie met jouw data omgaat.

De reactie van Zovty is wel wat kort. Dat was een wel heel generieke vraag waar diverse goede en foute antwoorden op mogelijk zijn.

RoestVrijStaal @Amasik • 28 december 2016 18:35

Toch mis ik in de factsheet van de AP bij welke overheden, bedrijven en instanties het lekte, waardoor het lek kwam en wie daarvoor verantwoordelijk mag worden gehouden.

Op zo'n manier voelt de datameldplicht voor mij aan als "Van de overheid en bedrijfswezen, voor de overheid en het bedrijfswezen". En de burger/consument is linksom of rechtsom de pineut.

[Reactie gewijzigd door RoestVrijStaal op 26 juli 2024 08:24]

Amasik @RoestVrijStaal • 28 december 2016 19:33

Persoonlijke verantwoordelijkheid zou ik niet publiek maken. Iemand die net een maand in dienst is zou verantwoordelijk kunnen zijn voor een enorm lek terwijl die persoon nog niet de kans heeft gehad het op te lossen.

Publieke schandpalen zijn niet noodzakelijk om boetes effectief te laten zijn.

RoestVrijStaal @Amasik • 28 december 2016 22:08

Of persoonlijke verantwoordelijkheid publiek moet worden is afhankelijk van waardoor dat het lek kwam.

Als bijvoorbeeld duidelijk wordt dat door het beleid dat het management voert er weinig ruimte is om kritisch te kijken naar de veiligheid van systemen, dan mag de directie verantwoordelijk worden geacht en gewipt worden.

En als het even kan op een 10-jarige publieke blacklist dat ze nergens geen managementfuncties of vergelijkbaars mogen bekleden.

Mr_Light @RoestVrijStaal • 28 december 2016 21:27

Als het om persoonsinformatie gaat moeten personen die het betreft worden geïnformeerd. Het publiek maken van alle informatie over het lek kan in sommige gevallen slachtoffers mogelijk verdere schade toebrengen.

_Chris_ @Amasik • 28 december 2016 16:34

De grootste uitdaging hierin ligt niet bj de (systeem)beheerders, maar bij de bewustwording van de "gebruiker" hoe hij/zij met data omgaat....

DarkSide @_Chris_ • 28 december 2016 16:49

Eens. Datalekken is niet alleen bv je Webserver beveiligen. Of niet iedereen domain admin maken. Maar ook rekening houden dat mensen vaak per ongeluk of onbewust toegang verschaffen tot gevoelige informatie.

Nog even op vakantie werken aan dat ene document met gevoelige informatie door hem op je prive onedrive te plaatsen bv. En dan lekker op een open hotspot in te loggen bv.

Wij zijn nu erg bezig om mensen bewust te laten worden over dit soort zaken.
Maar mensen willen niet gauw AIP oid gebruiken bij het versturen van gevoelige documenten. Of willen niet hun (prive) telefoon aan een MDM verbinden zodat men iig enigszin veilig bij bedrijfsdata kan. Dmv conditional acces of MFA.

Amasik @_Chris_ • 28 december 2016 16:49

Gevolg van deze wet is dat dit gelijk zichtbaar is op directie niveau.
Wanneer je van onder naar boven dingen probeert te veranderen qua beveiliging werkt dat veel slechter dan wanneer er vanuit directie gezegd wordt dat iedereen er beter mee om moet gaan.
Bij sommige gebruikers is het inderdaad moeilijk uit te leggen en is de bewustwording zeer moeilijk, maar men snapt misschien een boete veel beter dan dat men kan inschatten wat het lekken van prive gegevens tot gevolg kan hebben.

Blijft soms toch al lastig uitleggen vanuit IT perspectief waarom sommige acties nodig zijn. ("hoezo XP vervangen, het werkt toch"...zucht)

Verwijderd @Amasik • 28 december 2016 16:52

Een systeembeheerder ontwikkelt geen software. Ik denk dat het dus meer aan de applicatie-kant ligt waar de lekken voorkomen. Aan diefstal van een laptop kan je sowieso weinig doen, maar een webformulier waar je SQL-injection op kunt uitvoeren, dat is niet zo best. Maar dat ligt buiten het werkterrein van een systeembeheerder.

Amasik @Verwijderd • 28 december 2016 17:04

Beveiliging doe je niet op een plek, dit zit op meerdere lagen in een organisatie. Infrastructureel, applicatief, functioneel en in de hoofden van mensen.
Een systeembeheerder moet bijvoorbeeld zorgen dat een netwerk beveiligd is.

Als een applicatie ontwikkelaar zijn applicatie helemaal dicht gezet heeft. Maar de systeembeheerder zet dan de backup van dat systeem publiekelijk openbaar kan daar ook data lekken.

En op USB sticks en laptops kun je encryptie afdwingen.
Als de AP al boetes zou gaan uitdelen denk ik dat de hoogte van de boete best zou kunnen afhangen of er op alle laptops en USB sticks encryptie standaard aan staat.

Dorank @Verwijderd • 28 december 2016 18:02

Een systeembeheerder ontwikkelt geen software. Ik denk dat het dus meer aan de applicatie-kant ligt waar de lekken voorkomen.

Een (goede) systeembeheerder ontwikkelt op z'n minst software om z'n taken te vergemakkelijken (aka scripten).

Aan diefstal van een laptop kan je sowieso weinig doen

Aan de diefstal zelf niet, maar wel om de gevolgen te beperken, bv door
Full Disk Encryption te implementeren/af te dwingen.

webformulier waar je SQL-injection op kunt uitvoeren, dat is niet zo best. Maar dat ligt buiten het werkterrein van een systeembeheerder.

Een systeem beheerder trekt daar dan ook de stekker uit (tenzij de persoon het zelf Q&D fixed). Security is een inter team effort, ook wel met het buzzword DevOps aangeduidt.

Verwijderd @Amasik • 28 december 2016 16:33

Dat investeren ligt niet bij systeembeheer, lijkt me zo.

Amasik @Verwijderd • 28 december 2016 16:44

Uiteraard ook wel.
Misschien niet in geld maar de IT moet kunnen adviseren hoe de beveiliging van een infrastructuur verbeterd kan worden.
- Als een bedrijf een Firewall van 10 jaar oud heeft,
- Een open WIFI netwerk waarmee iedereen alle servers kan benaderen,
- Waar dan een fileshare open staat waar everyone rechten op heeft,
- En daar een backup van de klantgegevens in een tekstbestand wordt bewaard
heb je als systeembeheer zeker ook acties uit te voeren.
Je investeerd in ieder geval tijd als IT/systeembeheer.

Verwijderd @Amasik • 28 december 2016 17:13

Een gedeelte van wat je aankaart is overigens netwerkbeheer. Een degelijk bedrijf maakt daar hopelijk verschil tussen. Dan nog ligt de verantwoordelijkheid daarvoor bij de manager van die afdelingen, die bepaalt immers in grote lijnen wie zijn tijd waar aan spendeert. Adviseren is 1 ding.

Anonymoussaurus

Datalek

@Verwijderd • 28 december 2016 17:33

Een gedeelte van wat je aankaart is overigens netwerkbeheer. Een degelijk bedrijf maakt daar hopelijk verschil tussen. Dan nog ligt de verantwoordelijkheid daarvoor bij de manager van die afdelingen, die bepaalt immers in grote lijnen wie zijn tijd waar aan spendeert. Adviseren is 1 ding.

Hoeft niet per se. Er zijn ook kleinere bedrijven die 1 systeembeheerder in dienst neemt, die ook over networking skills beschikt. Daarom kan het dus zomaar zijn dat een systeembeheerder ook netwerken aanlegt en werkt met switches, routers, en firewalls.

ralphilosophy @Verwijderd • 28 december 2016 22:48

Ben het in essentie met je eens: wat is het gevolg van regels opleggen als ze niet (of beperkt) gehandhaafd worden laat staan dat erop geanticipeerd wordt.

Zo mag je niet handsfree telefoneren in de auto: de boete is torenhoog, maar wat is de pakkans? En dus gebeurt het en masse... Zo vaak zelfs dat mijn baas mijn salaris mag houden als ik een euro krijg voor iedere medeweggebruiker (waarvan ik het zie) die deze wet overtreedt...

Verwijderd @Patrick-58 • 28 december 2016 16:54

"Hoogstwaarschijnlijk doel je op het feit dat vast niet alle lekken aangekaart zijn en het (tot nog toe) bij waarschuwingen gebleven is."

Ik denk dat hij bedoelt dat als ze het al melden, dat het dan wellicht alleen bij melden blijft, en er verder niets meer mee gedaan wordt. Zoiets: We drinken een glas, doen een plas en alles blijft zoals het was.

rik86 @Verwijderd • 29 december 2016 10:09

Er wordt nog veel bewuster omgegaan met het verwerken van data en het verstrekken van data dan voordat deze wet was ingevoerd. Veel mensen zijn zich nog veel bewuster van wat allemaal persoonsgegevens zijn én wat datalekken zijn.

grote_oever @Verwijderd • 28 december 2016 16:09

Deze veranderingen zijn allang en breed gaande. Daar krijg jij, en de rest, gelukkig in mindere mate wat van mee. Zelf werk ik ook in een organisatie die met de invoering van de meldplicht toch anders is gaan denken. Hiervoor zijn binnen de organisatie speciale functies gecreëerd, zoals een zo genoemde privacy officer. Deze personen hebben de denkwijze van onze organisatie wel dermate verandert dat er nu anders naar privacy gekeken wordt. Dit is maar één van de wijzigingen.

Marchel 28 december 2016 16:41

Is de lijst met de 5500 bedrijven toevallig ook gelekt? Wellicht interessant om te weten wie deze bedrijven zijn

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
Datalek
Politiek en recht

@Marchel • 28 december 2016 17:04

Is de lijst met de 5500 bedrijven toevallig ook gelekt? Wellicht interessant om te weten wie deze bedrijven zijn

Die lijst wordt geheim gehouden om te voorkomen dat bedrijven geen melding doen om hun reputatie te beschermen. Controleren of bedrijven dat ook echt doen is nu nog te moeilijk, de kans dat je gepakt wordt als je het niet meldt is heel erg klein. Daarom kunnen we voorlopig niet veel anders dan hopen dat bedrijven vrijwillig meewerken. Als iedere melding gepubliceerd zou worden zou niemand meewerken.
Waarschijnlijk zullen we er in de toekomst anders mee om gaan maar nu is dat nog niet realistisch.

stresstak @CAPSLOCK2000 • 28 december 2016 19:04

Als iedere melding gepubliceerd zou worden zou niemand meewerken.
Waarschijnlijk zullen we er in de toekomst anders mee om gaan maar nu is dat nog niet realistisch.

Dat mag ik hopen, want nu wordt die bedrijven dus de hand boven het hoofd gehouden en weet de burger niet waar zijn privacy in het geding is, en hoe ernstig.

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
Datalek
Politiek en recht

@stresstak • 28 december 2016 19:29

Je moet nog steeds je leden/gebruikers/... inlichten als ze mogelijk slachtoffer zijn geworden, maar dat mag je zelf doe, het is niet de overheid die het aan de grote klok gaat hangen.
De staat zou meer mogen doen om de digitale veiligheid te garanderen maar deze wet is een stap de goede kant op.

ralphilosophy @CAPSLOCK2000 • 28 december 2016 23:04

Sterker nog: je bent het in enkele gevallen niet verplicht, maar de Autoriteit kan het je wel opleggen (en als je het dan niet doet, heb je echt iets uit te leggen).

Stel dat iemands naam en adres op straat komt omdat een bedrijf (geen logo of naam op de lijst of de etiketten) deze verliest door diefstal. Dan hoeft het bedrijf deze mensen niet te informeren. Waarom? Identiteitsfraude is nagenoeg uitgesloten (geboortedatum en BSN ontbreken). Het bedrijf is niet bekend, dus ook niet of iemand bijvoorbeeld hele exclusieve spulletjes koopt. Het kan wel de lijst van een Ferrari-dealer zijn, maar dat zie je niet. Staat het Ferrari-logo er wel op, dan ga je nat want voor inbrekers is er vast wat te halen bij het klantenbestand van Ferrari...

Staat er wel een logo op, dan ligt het sterk aan het bedrijf. Is het een (doorsnee) bank, dan is er in principe nog niets aan de hand, want iedereen heeft wel een bank. Is het een huisarts, dan geldt hetzelfde: iedereen heeft een huisarts. Is het de Pabo of Christine Le Duc, dan spelen andere krachten...

Ik zeg overigens niet dat dit juist/wenselijk/goed is, maar zo redeneert de AP in elk geval wel...

[Reactie gewijzigd door ralphilosophy op 26 juli 2024 08:24]

Edgarz @stresstak • 28 december 2016 20:10

Zoals al eerder hier vermeld: publiekelijke schandpalen dragen niet bij aan het coöperatieve aspect. De bedrijven moeten dit zelf doen, mogelijk getroffenen informeren. En er wordt geen hand boven het hoofd gehouden van de betreffende bedrijven, daar is nu juist de sanctionering voor in het leven geroepen. Er zijn meer manieren van straffen dan de middeleeuwse pek en veren methode.

stresstak @Edgarz • 28 december 2016 20:16

Er zijn meer manieren van straffen dan de middeleeuwse pek en veren methode.

Dat is waar, maar om ze nou meteen te sluiten is ook zo wat.
Boetes, namen rugnummers. Dan kan ik bepalen waar ik niet moet zijn voor privacy.

Edgarz @stresstak • 28 december 2016 20:57

De intentie van wet/regelgeving is dat herhaling niet voor gaat komen. Het is geen kwestie van: boete betaald? Dan zetten we de poorten weer open. Dus je behoefte om dat als consument te willen beoordelen is niet zo nodig, aangezien de sancties bij herhaling strenger worden. Statistisch is de kans groter op een datalek (dat nog niet gelijk is aan een inbreuk op privacy) groter bij een bedrijf of instelling die nog geen datalek gehad heeft...

ralphilosophy @CAPSLOCK2000 • 28 december 2016 23:00

Als iedere melding ook openbaar werd, naast dat het verplicht is te melden (en we er hypothetisch vanuit zouden gaan dat dit ook gebeurd) loopt het systeem vast. Men zou meldingen onder het tapijt proberen te vegen (bij een goede pakkans volgen dan boete, naam door het slijk en pak maar in) en bedrijven die zouden melden verliezen klanten. Per saldo zou de economie hiervan heel veel schade ondervinden en daarmee ook weer de overheid, met bezuinigingen op allerlei vlakken die vermoedelijk nog meer datalekken kunnen veroorzaken (want je bezuinigt efficiënt op personeel, het slechte, lekkende personeel blijft) en zo is het sneeuwbaleffect niet te overzien.

107mb @Marchel • 29 december 2016 08:46

ja? Verlies van persoonsgegevens betreft ook het kwijtraken van een agenda met een telefoonnummer van een klant, of een map met gegevens over collega's. Lijkt mij niet bijster interessant om te weten bij welk bedrijf zoiets gebeurd is.

nullbyte 28 december 2016 19:59

Een laptop of stick gestolen, durf die schijven of mappen met gevoelige informaatie te encrypten lui we zitten bijna in 2017.

A2I @nullbyte • 29 december 2016 01:16

Ja, joh de drawbacks om maar naar encryptie gebruik te roepen zijn gelukkig 0 he?

Ga eerst anno het nieuwe aankomende 2017 eens na of het wel de juiste keuze is.

Je zal niet de eerste zijn die een hoop gegevens kwijtraakt doordat de informatie encrypted was.

Dus waar pas je encryptie toe zou je jezelf eerst eens in moeten gaan verdiepen en afvragen of het opweegt tegen de downsize ervan.

107mb @A2I • 29 december 2016 09:09

als jij je meld bij de autoriteit met een gestolen laptop, dan is een van de eerste vraag of de gestolen apparatuur beveiligd is d.m.v. wachtwoorden en encryptie. Zo niet, dan is de kans dat er een boete (tot 2% van de concernomzet!!) uitgedeeld wordt veel groter.

Gegevensverlies tgv encryptie lijkt mij eerder een backup-issue.

Op dit item kan niet meer gereageerd worden.

Bijna 5500 datalekken gemeld bij Autoriteit Persoonsgegevens

Lees meer

IT-banen

Reacties (116)

Sorteer op:

Weergave: