AP: boetes geven voor datalekken is tot nu toe niet nodig geweest

Volgens de Autoriteit Persoonsgegevens is het tot nu toe niet nodig geweest om boetes uit te delen voor datalekken. De toezichthouder stelt dat waarschuwen genoeg effect heeft gehad om het doel van de meldplicht te bereiken.

Tegenover Trouw zegt de Autoriteit Persoonsgegevens dat boetes niet het doel zijn, maar een 'ultiem middel'. Het doel van de meldplicht is dat bedrijven persoonsgegevens beter beveiligen en met de uitspraak stelt de Autoriteit Persoonsgegevens dat bedrijven dat ook daadwerkelijk doen.

Sinds het invoeren van de meldplicht voor datalekken begin 2016 heeft de Autoriteit Persoonsgegevens nog geen boetes gegeven aan bedrijven voor een datalek. In theorie kan de toezichthouder een boete van maximaal 820.000 euro opleggen.

De toezichthouder krijgt steeds meer meldingen van datalekken. In de eerste drie kwartalen van 2017 kwamen er 7436 meldingen binnen, in dezelfde periode een jaar eerder waren dat er 3948. Ondanks de stijging van het aantal meldingen zijn er waarschijnlijk ook nog veel datalekken die bewust niet worden gemeld.

Volgens de Autoriteit Persoonsgegevens is het niet duidelijk of het aantal datalekken is toegenomen, of dat alleen het aantal meldingen ervan is gestegen. In een reactie na het artikel in Trouw zegt de toezichthouder tegenover ANP: "Er zijn ook lekken die niet gemeld worden. Dat is veel ernstiger, maar we weten niet hoeveel dat er zijn. We gaan er meer aandacht aan besteden dat mensen echt moeten melden. Het kan niet zo zijn dat organisaties die een lek wel melden een zondebok worden en organisaties die het niet melden ermee wegkomen".

Datalekken 2017
Statistieken: Trouw

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 28-12-2017 13:45
100 • submitter: Ron020

28-12-2017 • 13:45

100

Submitter: Ron020

Lees meer

Autoriteit Persoonsgegevens ontvangt 21.000 meldingen van datalekken in 2018
Autoriteit Persoonsgegevens ontvangt 21.000 meldingen van datalekken in 2018 Nieuws van 29 januari 2019
Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek - update
Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek - update Nieuws van 27 november 2018
Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken
Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken Nieuws van 29 maart 2018
Onderwijsorganisaties beperken toegang tot gegevens leerlingen na actie AP
Onderwijsorganisaties beperken toegang tot gegevens leerlingen na actie AP Nieuws van 12 maart 2018
Privégegevens bekende Nederlanders stonden jarenlang openbaar op site fotografen
Privégegevens bekende Nederlanders stonden jarenlang openbaar op site fotografen Nieuws van 8 februari 2018
'Privacytoezichthouder moet toezicht houden op delen klantgegevens door banken'
'Privacytoezichthouder moet toezicht houden op delen klantgegevens door banken' Nieuws van 12 januari 2018
Hacker maakte bij Uber vorig jaar gegevens van 174.000 Nederlanders buit
Hacker maakte bij Uber vorig jaar gegevens van 174.000 Nederlanders buit Nieuws van 12 december 2017
Toezichthouders EU onderzoeken datalek Uber onder leiding van Nederlandse AP
Toezichthouders EU onderzoeken datalek Uber onder leiding van Nederlandse AP Nieuws van 29 november 2017
Organisaties hoeven geen melding meer te doen als ze persoonsgegevens verwerken
Organisaties hoeven geen melding meer te doen als ze persoonsgegevens verwerken Nieuws van 6 november 2017
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Datalek

Reacties (100)

-Moderatie-faq
100
100
60
5
0
34
Wijzig sortering
Henrikop 28 december 2017 13:55
In 2009 ergens werd spam versturen verboden en meteen toen dit gebeurde werden er boetes uitgedeeld. Dat was behoorlijk effectief.

AP heeft nog niet één boete uitgedeeld. In mijn ogen is dit een verkeerd signaal. Veel bedrijven zullen niet zo'n haast maken om AVG compliant te zijn per 25 mei 2018. En zeker als er dan nog steeds geen boetes komen denk ik echt dat dit een gemiste kans is.

Ik heb gehoord (weet niet zeker) dat de Spaanse AP zijn eigen broek moet ophouden en dus geen overheidsgeld krijgt. Nu weet ik niet of dit de juiste prikkel is, maar je zult daar zien dat er vaker boetes gegeven zullen worden.

Zelf ben ik wel voorstander van de GDPR, maar ik hoop niet dat het een gevalletje IPv6 wordt.
batjes @Henrikop28 december 2017 14:37
Of omdat bedrijven wel doorhebben dat onze overheid serieus is met dit soort maatregelen, dat ze bij voorbaat eieren voor hun geld kiezen en gewoon instemmen. De meeste bedrijven hebben totaal geen zin in trammelant met de overheid.

Misschien wat ook helpt is dat de overheid nu al heel wat jaartjes vrij proactief bezig is bedrijven te informeren, over te halen. o.a. met waarschuwingen, dat bedrijven ook ruimschoots de tijd krijgen dit rustig te implementeren en in orde te maken.

De Spaanse aanpak is imo niet echt de juiste aanpak. We zijn nog in aanloop naar 25 mei 2018 toe. Als veruit de meeste bedrijven gewoon netjes meewerken om het allemaal al in orde te hebben of zorgen dat dit in mei volgend jaar wel het geval is. Is er geen reden om een aggresieve aanpak te gebruiken. Dit kan altijd nog per 26 mei 2018. Om dan met fikse boetes rond te strooien, kansen zat gehad, medewerking genoeg van de overheid.
Cergorach @batjes28 december 2017 15:11
Of omdat bedrijven wel doorhebben dat onze overheid serieus is met dit soort maatregelen, dat ze bij voorbaat eieren voor hun geld kiezen en gewoon instemmen. De meeste bedrijven hebben totaal geen zin in trammelant met de overheid.
Wellicht, maar dat gebeurd alleen maar als het niets mag kosten, zodra je de kosten voorschotelt haken er echt nog veel te veel bedrijven af.
batjes @Cergorach28 december 2017 15:16
Zal me niets verbazen als er vanaf 26 mei gewoon boetes uitgedeelt gaan worden. En het dus niet volgen van de richtlijnen meer zal gaan kosten als het wel opvolgen.

De overheid is in dit geval ook vrij proactief bezig geweest naar bedrijven toe, dat rommelde er in het verleden bij bepaalde maatregelen ook wel aan en niet gewoon een "Per X datum zus en zo" de wereld in slingerde. Dat zal allicht ook wel mee spelen in de passieve aanpak.
ChAiNsAwII @batjes29 december 2017 22:34
Ja erg effectief, zoals de uwv die gewoon geheime doorverkoopt aan buitenlandse bedrijfen...laat me niet lachen.
EvH 28 december 2017 13:48
Eigenlijk best wel schrikbarende cijfers als je het zo bekijkt... :X
feep @EvH28 december 2017 13:52
Idd. Vooral het aantal keer dat het BSN is gelekt is erg hoog in mijn optiek. Er zijn maar een beperkt aantal instanties die dat verwerken.

Ik zou ook wel eens willen weten wat de omvang ongeveer is per datalek.
tinus73 @feep28 december 2017 13:56
Een BSN is ook niet een probleem, maw je kan niet een daadwerkelijk persoonaanduiden. Met extra info is dat natuurlijk wel mogelijk. Daarbij is alleen een postcode en huisnummer wel identificerend tot een specifieke groep (en dat dus wel weer een probleem = boete)

edit: persoon etc

[Reactie gewijzigd door tinus73 op 30 juli 2024 22:24]

Munters @tinus7328 december 2017 14:01
Het BSN geldt als "bijzonder persoonsgegeven".
Het nummer zelf zegt niet zoveel, maar mocht er later iets uitlekken, dan is het ideaal om mee te koppelen, want het is uniek en het is niet aanpasbaar. Het verwerken is daarom aan strikte regels gebonden.
tinus73 @Munters28 december 2017 14:07
Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven. Maar er komen waarschijnlijk wel speciale regels voor.

De Europese lidstaten mogen onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Welke voorwaarden Nederland stelt, staat nu nog niet vast. Dat komt omdat de zogeheten Uitvoeringswet AVG nog niet definitief is.
https://autoriteitpersoon...g/algemene-informatie-avg
Echter mág men het BSN niet gebruiken als het niet in een wet is vastgelegd tbv het doel
WillySis
@tinus7329 december 2017 00:13
Je vergeet dat zzp-ers jun BSN nummer juist moeten gebruiken voor hun bedrijf en dan mag (moet zelfs) het wel overal opgeslagen worden.
De hele privacy wet is hier krom. Het BSN nummer wordt gewoon opgeslagen en verhandeld, ook voor particulieren. De AP controleert alleen of er melding is gedaan van datalekken, maar controleert nergens of men geen gegevens opslaat die niet mogen. Handhaving is er al helemaal niet bij.

Het aantal datalekken vind ik overigens schrikbarend hoog. Het lijkt er sterk op dat beveiliging van privacygegevens nog steeds een ondergeschoven kindje is en dat een "adequate beveiliging" (die de wet ook vereist) nog steeds niet normaal is. Ook hier geen controle en handhaving.
Houtenklaas @tinus7328 december 2017 14:31
Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven
Bizar, het is een uniek nummer die bij één specifiek persoon hoort. Dat heeft de WBP dan beter begrepen.

Leuk stukje om te lezen: https://www.pmpartners.nl/bsn/ waar dit inderdaad instaat wat @tinus73 meldt. Geen bijzonder gegeven en tegelijk een verbod op het verwerken ervan buiten enkele gestelde doelen. Klink mij in de oren als: Je mag hier 160 rijden, maar boven de 120 is dat verboden. Als er een jurist is die kan uitleggen hoe dit nu exact in elkaar zit, be my guest.

[Reactie gewijzigd door Houtenklaas op 30 juli 2024 22:24]

Arnoud Engelfriet @Houtenklaas28 december 2017 17:11
Het is dan ook een persoonsgegeven, maar geen pg uit de categorie 'bijzonder' zoals gegevens over gezondheid of seksualiteit (waar extra strenge regels voor gelden). Dit omdat die categorie nu Europees wordt gedefinieerd en Nederland daar dus niets aan mag toevoegen. Maar in de Uitvoeringswet, zeg maar het configuratiescript bij de AVG, komt te staan dat je niets mag met het BSN tenzij in een wet staat van wel. Dat mag omdat de AVG zegt dat je voor identificatienummers aparte regels mag stellen (artikel 85).
Munters @Houtenklaas28 december 2017 14:52
Momenteel is het een bijzonder persoonsgegeven. Straks met de AVG niet meer.
Het is dan echter wel weer bijzonder in de zin dat er speciale regels voor gaan gelden.

De AVG is europees. Het BSN uitsluitend NL. Waarschijnlijk is dat de reden dat het buiten de standaardboot valt en er aanvullende regels nodig zijn.
Anoniem: 972849 @tinus7328 december 2017 19:45
In de Uitvoeringswet AVG zal het BSN waarschijnlijk wel als bijzonder persoonsgegeven worden bestempeld...
Dorank @tinus7328 december 2017 14:14
Ik kan je niet volgen, een postcode+huisnummer, waar via de GBA meerdere mensen geregistreerd kunnen zijn, is wel iets waarmee personen kunnen worden geidentificeerd. Maar een BSN wat een uniek nummer is voor 1 persoon met een Nederlandse nationaliteit (wellicht ook voor personen met een verblijfsvergunning) is geen persoonsgegeven?
tinus73 @Dorank28 december 2017 14:27
Zie ook reactie op Munters.
Wat betreft Postcode en huisnr, moet je eigenlijk je beredenring omdraaien... er kan ook 1 persoon wonen. Daarbij is een gezin ook redelijk te profileren; er zijn beperkt aantal leden in een huis waar middels statistieken een goed profiel is op te stellen.
Dorank @tinus7328 december 2017 14:42
Die reactie kan ik niet plaatsen:

https://autoriteitpersoon...e/burgerservicenummer-bsn
Bijzonder persoonsgegeven

Het BSN is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven. Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels.
...

Identificatienummer

Een nummer dat bij wet is voorgeschreven om een persoon te identificeren, mag alleen mag worden gebruikt voor de uitvoering van die wet. Of voor doeleinden die in de wet staan. Dat staat in artikel 24 van de Wet bescherming persoonsgegevens.

Het BSN is zo’n identificatienummer. Organisaties kunnen het verbod om het BSN te gebruiken niet doorbreken door toestemming aan mensen te vragen voor het gebruik van hun BSN.
Houtenklaas @tinus7328 december 2017 14:29
Pardon? Een BSN is by design uniek per persoon. Dat er niet direct een naam aan hangt is wat anders, maar net als telefoonnummers, adressen wordt dit gezien als unieke persoonsgegevens die worden beschermd door de Wet Bescherming Persoonsgegevens, net als naam en geboortedatum.
Finraziel @tinus7328 december 2017 17:23
(en dat dus wel weer een probleem = boete)
Eh, nee? Boetes zijn er dus niet om uit te delen alleen omdat er iets gelekt is, boetes kun je krijgen als je het lek niet (op tijd) meldt.
garriej @feep28 december 2017 14:00
Een klein aantal instanties en elke werkgever in Nederland.
Kwistnix @garriej28 december 2017 14:20
En iedere zelfstandig ondernemer is verplicht om het op iedere factuur te vermelden als zijnde het BTW nummer (met een B## postfix). Dus ja. Ach. Wanneer je aan de grillen en brakke systemen van de belastingdienst bent overgeleverd is jouw BSN sowieso al wereldkundig. Een datalek by design. Of incompetentie. Een van die.
hackerhater @Kwistnix29 december 2017 09:05
Je bedoeld iedereen met een eenmanszaak ;)
Lang niet iedere zelfstandige heeft een eenmanszaak.
L0we @feep28 december 2017 13:58
Vooral dat is wel zorgwekkend. Ik vraag me ook af of bij het melden van een dergelijk datalek ook wordt getoetst of de betreffende organisatie gerechtigd is het BSN nummer te vragen & op te slaan

Dat is namelijk bij wet geregeld:
https://www.rijksoverheid...rvicenummer-bsn-gebruiken
Anoniem: 470811 @L0we28 december 2017 15:45
Ja, elke werkgever dient het BSN-nummer van zijn personeel te hebben. Behoudens (naar ik schat) verenigingen en liefdadigheidsinstellingen e.d., zijn BSN-nummers bekend bij elk bedrijf, instantie, organisatie, instelling etc, die mensen in dienst hebben en loon uitbetalen.

Uiteraard zijn er niet veel instellingen/organisaties die alle BSN-nummers hebben (of in de getale zoals een Gemeente Amsterdam). Maar een BSN-datalek bij een paar grote bedrijven levert al een hele mooie set op.

BSN mag daarom ook niet als authenticatie-middel gebruikt worden. Identificatie-middel is BSN prima, maar je hebt meer nodig om de identiteit vast te stellen (authenticatie).
Anoniem: 455617 @feep28 december 2017 16:24
Vooral het aantal keer dat het BSN is gelekt is erg hoog in mijn optiek. Er zijn maar een beperkt aantal instanties die dat verwerken.
Het is een misconceptie dat slecht enkele instanties het BSN verwerken.

Ieder bedrijf in Nederland verwekt BSN nummers. Dat is namenlijk verplicht voor salarisadministratie ivm heffing loonbelasting.

De misconceptie komt ongetwijfeld vanwege het feit dat het BSN enkel en alleen gebruikt mag worden voor specifiek omschreven doelen (zoals dus de salarisadministratie).
Anoniem: 972849 @Anoniem: 45561728 december 2017 19:49
BSN mag volgens mij verwerkt worden als er een wettelijke grondslag aanwezig is. Bijvoorbeeld in communicatie met UWV m.b.t. ziekmeldingen, Ziektewet aanvragen e.d.
pr0mo @feep28 december 2017 14:38
Is het je wel eens opgevallen dat bij alle eenmanszaak het bsn een deel is van het BTW nummer. 8)7
90710 @pr0mo28 december 2017 16:03
Heel logisch, natuurlijk.
Anoniem: 470811 @feep28 december 2017 15:41
Beperkt aantal instanties? Wat dacht van je elke werkgever? :) BSN is werkelijk overal te vinden.
jpsch @feep28 december 2017 17:54
BSN Zit gewoon in elke loonadministratie en is verwerkt in elk BTW-nummer van een ZZP'r.
Denk dat er haast geen bedrijf is waar geen potentieel lek van BSN is.
Gr4mpyC3t @feep28 december 2017 20:23
Een datalek is natuurlijk niet per definitie een lek waarbij gegevens zijn afgenomen. Een datalek is ook bv. een aanval van ransomware waarbij er ongeautoriseerde toegang is geweest. De kans dat er data is meegenomen, is klein, maar wel aanwezig.

Bij ons op het werk melden we het liever altijd, ondanks dat het misschien maar om een handjevol postcodes gaat. Ook het verliezen van een (versleutelde) smartphone of laptop is al een datalek. Better safe then sorry!
rodie83 @feep28 december 2017 20:36
Elke salarisadministratie bedoel je?
axg @feep29 december 2017 09:06
Iedere werkgever heeft toch het BSN van zijn werknemers beschikbaar? Ik werk in de (pensioen)consultancy en daarin maken wij soms gebruik van BSNs om werknemers (en ex-werknemers) te koppelen tussen verschillende systemen. BSNs zijn hierin vaak het enige unieke kenmerk dat gevonden kan worden. Deze BSNs worden door de werkgever gedeeld.
CAPSLOCK2000
@EvH28 december 2017 14:15
Dan zijn dit alleen nog de gevallen die wél gemeld zijn. Dit is het topje van de ijsberg.
- De meeste lekken hoef je niet te melden.
- De meeste lekken worden nooit gevonden.
- De meeste bedrijven zijn niet echt met het onderwerp bezig.
Het werkelijke aantal gevallen zal honderd keer hoger liggen, gelukkig hebben de meeste lekken geen gevolgen.
pr0mo @CAPSLOCK200028 december 2017 14:45
Hoe kom je erbij dat je de meeste lekken niet hoeft te melden?
Het klopt dat wanneer je in jouw ogen voldoende maatregelen hebt genomen om de gegevens te beschermen en de kans zeer klein is dat de gegevens "gelekt" zijn een incident hoeft te melden maar dan is het toch ook geen lek?
CAPSLOCK2000
@pr0mo28 december 2017 15:09
Hoe kom je erbij dat je de meeste lekken niet hoeft te melden?
Het klopt dat wanneer (knip) de kans zeer klein is dat de gegevens "gelekt" zijn een incident hoeft te melden maar dan is het toch ook geen lek?
Dat is een kwestie van definities, de Autoriteit Persoonsgegevens heeft een handige FAQ die al je vragen beantwoord. Zie https://autoriteitpersoon...ing/meldplicht-datalekken

Q: "Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens".
A: "Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt."

Eigenlijk is het niks bijzonders. Als er 10.000 liter benzine op de weg lekt moet je dat melden, als er bij het tanken 1 druppel benzine op de grond valt dan niet.
bbob
@CAPSLOCK200028 december 2017 16:55
Leuke link naar naar AP.

De handleiding: https://autoriteitpersoon...ldplicht_datalekken_0.pdf

is echter nog vaag. Het komt er eigenlijk op neer: Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens?

Als je die vraag met nee beantwoord geen melding dus.

Vraag me dan voor een webshop af die naam adres, tel en email heeft. Stel dat dat gelekt is, moet je dat melden, volgens bovenstaande link denk ik niet.
CAPSLOCK2000
@bbob28 december 2017 20:00
Dat ligt er dus aan hoe het gelekt is. Als er uur lang een bestand op de webserver heeft gestaan met alleen het e-mail-adres van 1 klant dan is er inderdaad weinig kans op "ernstige nadelige gevolgen".*

Als er wekenlang een bestand heeft gestaan met alle gegevens van miljoenen klanten dan is de kans op "ernstige nadelige gevolgen" een stuk groter.
Dit soort dingen worden met opzet een beetje vaag geformuleerd. Het is veel te moeilijk om een keiharde lijn te trekken tussen "goed" en "fout". Uiteindelijk hebben we rechters om te beslissen of een bepaalde situatie door de beugel kan of niet. Als je het te strak vast probeert te leggen dan is er altijd wel een slimmerik die een gat in de wet ziet en daar lekker misbruik van gaat maken. Als je het een beetje vaag houdt, zoals met "ernstige nadelige gevolgen" dan kan de rechter van geval tot geval rekening houden met de omstandigheden.

* Ook dan zijn er gevallen denkbaar dat één uur al te veel is voor die ene klant.
Als het om een geslachtsveranderingskliniek, of een bijeenkomst van neo-nazi's gaat dan kan die ene persoon al "ernstige nadelige gevolgen" ondervinden.

[Reactie gewijzigd door CAPSLOCK2000 op 30 juli 2024 22:24]

bbob
@CAPSLOCK200029 december 2017 09:01
Het is dus idd lekker vaag geformuleerd.

De vraag is dan als jij tot de conclusie komt niet te melden omdat je denkt de regels zo gelezen te hebben en achteraf blijkt het anders te zijn is het lullig als je dan toch een dikke boete krijgt.
CAPSLOCK2000
@bbob29 december 2017 14:54
Bij twijfel gewoon melden dus. Het is niet alsof je per keer moet afrekenen.
Ik zou me er nog niet te veel zorgen over maken. De AP geeft zelf al aan dat ze nog geen boetes hebben uitgedeeld. Als je je zaakjes een beetje op orde hebt hoef je geen boetes te vrezen.
Anoniem: 310408 @CAPSLOCK200028 december 2017 15:14
Het werkelijke aantal gevallen zal honderd keer hoger liggen, gelukkig hebben de meeste lekken geen gevolgen.
Behalve je onderbuik, heb je nog enige onderbouwing dat maar 1% van de bestaande lekken bekend zijn?
CAPSLOCK2000
@Anoniem: 31040828 december 2017 15:45
Laat ik vooropstellen dat die "100" gewoon uit de lucht is getrokken, of het in werkelijkheid 50x of 500x meer is verandert weinig aan het punt.
Harde gegevens heb ik niet, maar ik ga het toch proberen.

Ten eerste de wet, veruit de meeste lekken hoef je gewoon niet te melden. Als aannemelijk is dat er geen misbruik van is gemaakt dan ben je al snel veilig. Op grond van wat ik zo links en rechts zie gebeuren worden de meeste incidenten niet gemeld*.

Ten tweede de cijfers. Het aantal meldingen is dit jaar verdubbeld ten opzichte van vorig jaar. Het is aannemelijk dat het aantal meldingen verder zal stijgen. Ik ga er even van uit dat het verschil vooral zit in bekendheid met de wet en dus niet dat het aantal lekken opeens is gestegen.

Ten derde is er onderzoek gedaan zoals https://www.consultancy.n...-datalekken-schiet-tekort
"Op basis van ons onderzoek zou er in 2016 sprake moeten zijn van ruim 24.000 meldingen van datalekken."

Als we die 24.000 voor 2016 even geloven en we weten dat de meeste lekken niet gemeld hoeven worden, dan denk dat we uit mogen gaan van honderdduizenden lekken.
Daarmee komen we aan de orde van grote (100x) waar ik het over had.

(Poeh, daar kom ik goed weg met m'n onderbuikgevoelens ;) )

* Het is ook maar de vraag hoe ver je wil gaan. Ik installeer bijna dagelijks securitypatches op de honderden servers die onder mijn beheer staan. Iedere security bug is een potentieel datalek. Als ik die allemaal zou melden dan zou ik in m'n eentje de score voor dit jaar verdubbelen. Dit soort lekjes die tijdig gepatched worden wil ik niet eens meerekenen. Het wordt wat lastiger bij systemen die maar eens in het jaar onderhoud krijgen maar ook dan is het nog niet automatisch verplicht om het te melden.
Anoniem: 972849 @CAPSLOCK200028 december 2017 19:51
De verwerkingsverantwoordelijke maakt de afweging of deze een datalek meldt. Een reden kan zijn dat er ernstige nadelige gevolgen zijn voor de betrokkene(n). De AP maakt vervolgens de afweging of een melding ernstig genoeg is voor een onderzoek.
[Yellow] @EvH28 december 2017 14:01
Schrikbarend inderdaad. Als je alleen de hacks telt (6% van 7436) kom je altijd nog op 1,3 hacks per week waarbij persoonsgegevens lekken.
garriej @[Yellow]28 december 2017 14:28
Een datalek is niet alleen een hack. Als je een usbstick vergeet in de bus met persoonsgegevens erop is het een datalek. Als je perrongelijk gegevens verstuurd naar een verkeerd e-mail adres is dit ook een datalek.
hackerhater @garriej29 december 2017 09:08
Een verloren USB-stick zou nooit effect mogen hebben.
Ik hanteer zelf de regel dat op verplaatsbare apparaten de data alleen zwaar versleutelt op mag staan.
Ja dan hebben ze een USB-stick of laptop, care. De inhoud kunnen ze toch niet lezen.
timberleek @hackerhater29 december 2017 11:06
Die regel hanteer jij misschien, maar hele grote delen van de Nederlanders niet. Die weten net hoe een usb stick in de computer moet.

Helaas werken er nog steeds een hoop mensen met gevoelige data terwijl ze geen flauw idee hebben van hun handelen en bijbehorende risico's.
hackerhater @timberleek29 december 2017 11:07
Het gros weet het inderdaad niet, daarom moet zoiets ook gewoon afgedwongen worden.
Sticks die niet versleuteld zijn weigeren door het OS, laptops die uitgedeeld worden aan het personeel de full-disk-encryptie, etc.
timberleek @hackerhater29 december 2017 11:13
Klopt, maar helaas is dergelijke taal allemaal "ingewikkeld en overdreven" in de ogen van de bedrijfsleiders/managers. "We letten toch goed op" en dergelijke kreten zijn ook niet zeldzaam.

Zat lui bij mij op het werk die niet snappen dat ze geen admin rechten hebben en dat ze de usb poorten niet kunnen gebruiken. Maar als je ze vraagt wat ze willen installeren of waarvoor ze de poorten nodig hebben... dan is het maar goed dat het allemaal niet kan.
hackerhater @timberleek29 december 2017 11:17
Helaas wel ja.
Van mij mag het AP dikke boetes uitdelen als de bedrijven al gewaarschuwd waren door de IT'ers.
Bij een oud bedrijf hadden we een server kast waar ook de offsite-backup disk in zat.

Eerst moest je over een tereinhek, inbreken (hallo alarm), naar de kantoorruimte komen en de kast open maken zonder je nek te breken wegens gebrek aan licht.
En als je dat al lukte, waren alle schijven versleuteld en kon je er niks meer mee (tot de IT'ers het handmatig unlockten) als je maar 1 seconde de stroom eraf haalde.

En ow ja als je de automatische VPN-tunnels tussen de locaties verbrak ging er ook direct een automatisch alarm bij de IT-afdeling af...

[Reactie gewijzigd door hackerhater op 30 juli 2024 22:24]

Aeternum @EvH28 december 2017 14:20
Als je er vanuit gaat dat iedereen meldt wat die moet melden. Dan kom je al snel op zaken zoals factuur van klant a gaat naar klant b door een simpele vergissing.Dat is feitelijk een datalek, wanneer iedereen dat netjes meldt, dan gaat het snel.
Anoniem: 972849 @Aeternum28 december 2017 19:53
Er hoeft volgens mij alleen gemeld te worden als er persoonsgegevens gelekt zijn. In een factuur staan niet altijd persoonsgegevens.
Aeternum @Anoniem: 97284929 december 2017 07:51
Dat klopt, maar facturen bevatten vaak nog wel wat data buiten het publieke adres om. Dus in 9 van de 10 gevallen zal het er officieel 1 zijn. Het is overigens niet iets waar ze een boete voor zullen opleggen.
Noresponse @EvH28 december 2017 18:06
Erg laks om geen boetes uit te delen. Dit maakt de sector ook laks en gaan bedrijven minder serieus om met security. Bedrijven die niks melden grote boetes geven. De overheid zou hierop ook meer moeten inzetten.
timberleek @Noresponse29 december 2017 11:15
Dat zou inderdaad moeten.

Als je netjes een lek meldt en je bent niet grof nalatig, dan krijg je er (dit keer) geen boete voor. Bij nalatigheid of herhaling ligt het imo anders
Als je niet meldt terwijl je het wel weet moet je gewoon een dikke boete krijgen
axg @EvH29 december 2017 09:03
Helemaal mee eens! En toch zie ik het op mijn werk vrij 'makkelijk' gebeuren. Er wordt standaard gewerkt met data die bestaat uit 4 van de 5 'datalekken per soort'. Uiteraard staan die gegevens ergens online, maar staan ze ook af en toe wel eens lokaal opgeslagen (omdat het makkelijker is, of omdat je onderweg bent en het interent is traag, verzin een 'goede reden'). De laptop waarop dit allemaal gebeurt wordt wel eens meegenomen en vergeten naar een diner/borrel of iets van die aard, maar wordt ook wel gestolen, bijvoorbeeld uit de auto. En natuurlijk is er een policy dat je de laptop niet in de auto mag laten liggen, maar even naar de supermarkt kan toch wel?! In al deze situaties is er sprake van een datalek en moet er melding gemaakt worden bij de Autoriteits Persoonsgegevens. De omvang van de datalek is daarbij vaak niet eens bekend, dit hangt ook af van of de laptop uit was (meer beveiliging) dan enkel in slaapstand etc).
WitchHunter @EvH30 december 2017 19:35
Het is niet zo heel erg als je denkt, de term datalek die de AP oppert betekent namelijk niet "het lekken van gegevens".
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Als er bijvoorbeeld een bedrijfslaptop is waar persoonsgegevens in zijn opgeslagen en men het wachtwoord hiervoor vergeet, is dit dus ook een datalek. Zelfs als het systeem nooit op het internet is geweest en het nooit in de handen van iemand anders is gekomen is dit volgens de Autoriteit Persoonsgegevens een "datalek".
Anoniem: 85014 28 december 2017 14:40
Eigenlijk is dit toch te gek voor woorden. Heeft men bij de Nederlandse overheid dan niet door dat enkel een stok om mee te slaan de bedrijven zal doen inzien dat ze moeten investeren in gegevensbeveiliging?

Hoe naïef is men bij de AP te denken dat de zachte hand ervoor zal zorgen dat deze cijfers gaan verbeteren?

Alleen slaan, hard slaan, met een stok, zal een bedrijfsleider ertoe aanzetten om mensen en middelen in te zetten om persoonsgegevens veilig te stellen. Zelfs monsterboetes zijn onvoldoende. Effectief uit te zitten gevangenisstraffen (voor kader en zaakvoerder) en eventueel het afnemen van aandelen en hun titel 'zaakvoerder' zal voor inzicht zorgen.

Een bedrijf heeft maar één enkel doel: winst maken. Het beveiligen van de gegevens van wat zij denken "die mottige klanten waar we hun geld van willen hebben, en verder niets" is géén doel. Dat doel moet dus gecreëerd worden onder dwang door de overheid. Die dwang bestaat er uit om zeer zware effectieve straffen te geven die voor angst en slapeloze nachten bij de zaakvoerders zorgt. Aansprakelijkheid, boetes en schadevergoedingen kei hard in de wet gieten. Mét minimumstraffen die de rechters verplicht moeten opleggen. M.a.w. net zoals hoe men autobestuurders leert autorijden, moet men de zaakvoerders en Europese bedrijven leren, door middel van angst voor de rechtbank, om wel te investeren in gegevensbeveiliging.

Al de rest is eigenlijk gewoon nul, niets en onzin zoals praatjes van de zoveelste die ons eens komt vertellen "jaja het komt wel goed met het beveiligen van gegevens. Wacht maar af". Neen het komt niet goed. Het is al niet goed. Het zal slechter worden. Het is de spuigaten aan het uitlopen. De markt herstelt zicht niet. Dat ruwe kapitalisme is al ongeschikt gebleken om één en ander uit zichzelf te herstellen. De overheid moet m.a.w. met de stok aan de slag.

[Reactie gewijzigd door Anoniem: 85014 op 30 juli 2024 22:24]

Anoniem: 310408 @Anoniem: 8501428 december 2017 15:22
Alleen slaan, hard slaan, met een stok, zal een bedrijfsleider ertoe aanzetten om mensen en middelen in te zetten om persoonsgegevens veilig te stellen.
Sociologie geeft je geen gelijk en het feit dat we dingen als onder invloed rijden, telefoongebruik onder het rijden nog niet uitgebannen hebben ondanks dat daar stevige sancties op staan onderschrijven dat. En ik denk dat je niet veel managers over zal houden als het verkeerde adresseren van een email van een van je medewerkers je op gevangenisstraf kan komen te staan.

Je moet wel bijzonder negatieve ervaringen hebben om een dergelijke straffe mening te hebben. Net zoals rik86 zijn mijn ervaringen dat niemand een datalek wil en dat er tegenwoordig wel degelijk over nagedacht word. Sommige mensen hebben daarvoor een zetje nodig en een stevig gesprek met de AP lijkt me daartoe een prima aanvangspunt.
Anoniem: 85014 @Anoniem: 31040828 december 2017 15:31
Die bijzonder negatieve ervaringen komen van enkele bedrijven waarvoor ik als freelancer software heb geschreven. Zoals onder meer vervoersmaatschappijen (die ook, maar dan in mindere maten, terugkomen in de statistieken).

Niet alle klanten waar ik kwam waren zo. Maar enkelen interesseert het hun helemaal niets. Verder komen er constant berichten in de media. Vorig jaar nog over medische gegevens van honderdduizenden patiënten. Het lekken van die gegevens kan ernstige gevolgen hebben voor heel wat mensen. Is er toen iemand beboet of gestraft? Neen.

Het verkeerd adresseren hoeft niet tot een gevangenisstraf leiden. Dat is niet opzettelijk. Het niet serieus nemen van gegevensbeveiliging door daarop te besparen (= wel opzettelijk) en dan plots met een gegeven lek zitten, wel.
R4gnax
@Anoniem: 31040828 december 2017 20:32
Net zoals rik86 zijn mijn ervaringen dat niemand een datalek wil en dat er tegenwoordig wel degelijk over nagedacht word. Sommige mensen hebben daarvoor een zetje nodig en een stevig gesprek met de AP lijkt me daartoe een prima aanvangspunt.
Het probleem is dat voor iedere persoon die het wel serieus neemt en zorgt dat à priori alles goed voor elkaar is, er een andere persoon is die zegt: "hmm... da's nu allemaal een beetje te duur. En die boetes, daar hebben we nog nooit iets van gezien. We kijken het wel even aan en mocht het misgaan, dan kunnen we het altijd nog melden en er dan werk van maken."

Het punt van een stevige boete of straf is dat er een voorbeeldfunctie van uit moet gaan, om personen van wie de mindset aan bovenstaande beschrijving voldoet, uit die mindset van "we fixen het later wel" te krijgen.

Er is namelijk geen later. Er is alleen een te laat.

[Reactie gewijzigd door R4gnax op 30 juli 2024 22:24]

stresstak @Anoniem: 31040828 december 2017 17:54
Sociologie geeft je geen gelijk en het feit dat we dingen als onder invloed rijden, telefoongebruik onder het rijden nog niet uitgebannen hebben ondanks dat daar stevige sancties op staan onderschrijven dat.
Voornamelijk door de lage pakkans. Verhoog de pakkans en de straf. Knip zelf je rijbewijs maar door bij alcoholgebruik of telefoongebruik en betrapt worden.
timberleek @stresstak29 december 2017 11:19
De strafmaat is maar van hele beperkte invloed.

Je zou de straf zelfs kunnen verlagen tot een boete van een tientje en een stevige preek van oom agent. Als de pakkans maar heel hoog is.

Als jij elke keer weer aan de kant wordt gezet voor een belerende preek laat je het wel uit je hoofd. Dat werkt vele malen beter dan een gigantische straf. Al die boetes verhogen en dergelijke is gewoon een zwaktebod van de overheid. Makkelijk geld binnenhalen zonder het probleem echt aan te pakken (beetje hetzelfde als accijns op sigaretten).
rik86 @Anoniem: 8501428 december 2017 14:59
Bijzondere reactie. Ik merk mee hoe het bij mijn werkgever gaat en hier wordt hartstikke serieus en goed nagedacht over gegevensbeheer. Zonder al die dreigementen die jij noemt.

En ik vraag me af of je de wetgeving af moet stemmen op de paar rotte appels die erin zitten, die nu ook al aangepakt kunnen worden
Anoniem: 85014 @rik8628 december 2017 15:18
Uiteraard moeten bedrijven die wel goed omgaan met zulke gegevens niet geviseerd worden. Zoals ook nu automobilisten die wel de verkeerswetgeving respecteren niet beboet worden.

Wetgeving dient inderdaad om de paar rotte appels die erin zitten aan te pakken. Het probleem met gegevens lekken is dat maar een paar rotte appels nodig zijn om het de spuigaten te laten uitlopen. Ik denk ook dat veel bedrijven niet eens inzien dat zij de rotte appel zijn, tot het te laat is. En dan halen ze hun schouders op al zouden ze het niet geweten hebben. Dat doen ze natuurlijk wel. Maar een uitvlucht is altijd gemakkelijker dan inzicht. Ze komt wel altijd te laat.
Anoniem: 998261 @Anoniem: 8501428 december 2017 15:16
Een bedrijf heeft maar één enkel doel: winst maken. Het beveiligen van de gegevens van wat zij denken "die mottige klanten waar we hun geld van willen hebben, en verder niets" is géén doel. Dat doel moet dus gecreëerd worden onder dwang door de overheid. Die dwang bestaat er uit om zeer zware effectieve straffen te geven die voor angst en slapeloze nachten bij de zaakvoerders zorgt. Aansprakelijkheid, boetes en schadevergoedingen kei hard in de wet gieten. Mét minimumstraffen die de rechters verplicht moeten opleggen. M.a.w. net zoals hoe men autobestuurders leert autorijden, moet men de zaakvoerders en Europese bedrijven leren, door middel van angst voor de rechtbank, om wel te investeren in gegevensbeveiliging.
Als ik dit zo lees wordt het tijd dat je een andere werkgever gaat zoeken. Als dit jouw ervaring is, dan gaat er bij jullie heel rot aan toe. Het is zeker niet de manier van werken die voor alle bedrijven geldt. Dus ga snel elders solliciteren.
Anoniem: 85014 @Anoniem: 99826128 december 2017 15:20
Ik zie niet in hoe een andere werkgever zoeken wat dan ook aan de situatie zal verbeteren. Noot dat ik zelfstandige ben en dus geen andere werkgever moet gaan zoeken.
90710 @Anoniem: 8501428 december 2017 16:11
Met GDPR zijn ze dat juist aan het doen ;)
mutley69 @9071028 december 2017 17:15
Ik ben de lintmeter aan't afknippen - want de banken gaan me zien komen - en 't gaat zwaar pijn doen. Men wil nl. met een app al onze data koppelen met één bank-app.
Combineer dat met de EU-beslissing die zegt dat elke overschrijving binnen het kwartier moet verwerkt zijn (de banken spreken van seconden).
Combineer dat met het gegeven dat in het labo trukjes gevonden zijn om via software en de aanwezig detectoren in de smartphone/tablet - te detecteren welke de pincode is.
En u begrijpt meteen m'n woede (omdat de bank absoluut weigert om geen smartphones/tablets) te kunnen koppelen met m'n rekeningen te voorzien. Ik wil m.a.w. een dubbele barriere voorzien...
Net zoals ik itsme van die druiloor van een De Croo niet wil! Identiteit en smartphones gaan door die inherrente onveiligheid van dat soort platformen absoluut niet samen.
Wellicht ga je nog van mij horen - en ik wacht met heel veel ongeduld op die beruchte dag in mei dat de hel voor hen zal losbarsten. Ze zijn hun eigen graf aan't delven!
Wie slim is opent een aparte rekening (bij een aparte bank) met een aparte bankkaart - en gebruikt alleen dat met z'n smartphone om te bankieren/betalen - en maak dat die banktoepassing heel strakke beperkingen heeft - beperkte sommen, niet onder nul - en geen loon of belegginen of iets anders aan gekoppeld. Ander kan u binnen x seconden straatarm zijn (dat is de les van die gebruiker die bijna 20k€ kwijt was via haar smartphone na het opnemen van een telefoon uit 't buitenland - ook verschenen op dit forum). Is daar ondertussen al meer info over????
Anoniem: 85014 @9071029 december 2017 00:11
De GDPR vind ik een goed idee. Ze is enkel lang niet streng genoeg. Bovendien is dit een EU verdrag. M.a.w. zal dit nog sterk afgezwakt worden door de lidstaten. Met name en vooral, Nederland (die er als lidstaat eigenlijk niet zoveel van willen weten, laten we eerlijk zijn).

Daar is de GDPR niet de fout van. Daar zijn wel de lidstaten de fout van.

Maar dat zullen veel mensen niet snel toegeven: dat hun eigen land in de fout gaat.
[Remmes] 28 december 2017 13:49
Ja zo kun je blijven waarschuwen natuurlijk, maar tegelijkertijd wel allerlei gegevens die jaren op het net blijven rondzweven.
L0we @[Remmes]28 december 2017 13:55
Niet per definitie.

Ik denk dat er vrij veel gevallen zijn dat inzage in gegevens mogelijk waren door personen die daar niets mee te maken hebben, maar dat hoeft natuurlijk niet te zeggen dat die gegevens op het internet belanden.
garriej @L0we28 december 2017 14:31
als je hier kijkt dan zie je dat in het 4e kwartaal 46%(!) van de gevallen ging over versturen naar de verkeerde geadresseerde.
sebastiaan1997 @[Remmes]28 december 2017 13:59
Het doel van de meldplicht is om gegevens beter te beveiligen, zoals in het artikel staat vermeld. Helaas is het om een systeem 100% waterdicht te maken, zoals we misschien wel zouden willen. De boetes zullen waarschijnlijk alleen worden uitgedeelt bij grove nalatigheid, zoals het leesbaar opslaan van wachtwoorden of gegevens opslaan waar geen toestemming op is gegeven die vervolgens zijn uitgelekt, ik denk dat de huidige meldplicht prima voldoet.
Cergorach @sebastiaan199728 december 2017 15:08
Er is geen enkel systeem dat 100% 'waterdicht' is. Echter hoe de meeste bedrijven omgaan met informatie beveiliging is schandalig en omdat de AP geen enorme boetes uitdeelt is niemand gemotiveerd om er ook maar iets aan te doen totdat het te laat is. Want tot op heden zijn het naar 'ongelukjes' alleen maar waarschuwingen...
sebastiaan1997 @Cergorach28 december 2017 15:16
Weet jij hoe bedrijven omgaan met data?
Cergorach @sebastiaan199728 december 2017 15:28
Ja.
cbravo2 @sebastiaan199729 december 2017 16:43
Grove nalatigheid vind ik toch erg ver weg staan van de wet die "beveiliging op niveau van de huidige stand van techniek" voorschrijft. Daarnaast is geen enkel systeem, hoe goed ook, waterdicht. Maar de stortvloed van meldingen geeft aan dat de meesten geen enkel plan hebben.

Hoeveel persoonsgegevens er niet via email worden verstuurd (zonder dat het bestand degelijk versleuteld is)... Dagelijkse praktijk. Ook bij banken en verzekeraars... Dan is een verkeerd adres inderdaad gelijk "een datalek". Maar zeg dan niet dat het iedereen had kunnen overkomen. Want iedereen had het kunnen vóórkomen.

Ik ben dus voor boetes. Al zijn ze in het eerste jaar symbolisch (99% korting als je gelijk betaald). Maar de AP is gewoon lui geweest (of heeft te weinig personeel) om te gaan kijken wie er nu een boete verdient en wie niet. De stand van beboeting door de AP geeft in ieder geval niet aan hoe goed wij in NL de beveiliging op orde hebben.
CAPSLOCK2000
@[Remmes]28 december 2017 14:21
Paradoxaal genoeg kost een boete uitdelen veel geld. Bij dit soort bedragen gaan bedrijven namelijk terugvechten en zul je met de zaak naar de rechter moeten gaan. Met wat geluk win je de zaak dan wel, maar moet je vervolgens 10 andere zaken laten gaan omdat je geen geld en tijd hebt om daar iets mee te doen.
De meeste bedrijven doen het ook niet met opzet. Misschien dat ze nalatig zijn geweest in hun beveiliging, maar ze verzamelen de data niet met het doel om er misbruik van te maken.
Laten we dus beginnen met waarschuwingen voor iedereen die z'n leven beloofd te beteren, dan kunnen we de boetes en dure juristen bewaren voor de bedrijven die wel opzettelijk misbruik maken van onze data.
cbravo2 @CAPSLOCK200029 december 2017 16:52
> De meeste bedrijven doen het ook niet met opzet
Er is vaak iemand binnen zo'n bedrijf die al eens heeft gezegd: "Moet dat niet beveiligd worden?"

> Laten we dus beginnen met waarschuwingen
De wet bescherming persoonsgegevens bestaat al heel lang. Er wordt dus al heel lang gewaarschuwd. Dat helpt dus niet. Het helpt ook niet dat de AP zo laks is.

De oplossing ligt mijns insziens in "zelfverklaringen van gedrag":
  • Registratie van bedrijven die persoonsgegevens hebben is verplicht
  • Jaarlijkse verklaring over hoeveelheid, gevoeligheid, verantwoordelijke personen en beveiligingsplannen
  • Boven bepaalde grens een verplichte inspectie
Anoniem: 154284 28 december 2017 14:18
Ik vind het vooral slecht dat niet openbaar wordt gemaakt welke bedrijven lekken hebben gemeld + wat de huidige status/oplossing hiervan is.

Er is nu geen enkele manier als gedupeerde om te controleren of een bedrijf alleen maar zegt dat ze het hebben gemeld om van je gezeur af te komen of dat daadwerkelijk hebben gedaan.
rik86 @Anoniem: 15428428 december 2017 14:58
zou je dat niet gewoon na kunnen vragen bij het AP?
R4gnax
@Anoniem: 15428428 december 2017 20:19
Ik vind het vooral slecht dat niet openbaar wordt gemaakt welke bedrijven lekken hebben gemeld + wat de huidige status/oplossing hiervan is.
Denk eerlijk gezegd dat er van de voortvloeiende imago-schade ook een sterk limiterende werking uit zal gaan. Zelfde verhaal als bij het meteen uitdelen van een boete: bedrijven willen het dan niet meer melden.
arnovos 28 december 2017 15:26
Misschien ook leuk om later deze maand even te kijken wat er in het jaarverslag van 2017 staat @Xtuv: de AP uploadt elke 31e december haar jaarverslag hier:https://autoriteitpersoonsgegevens.nl/nl/publicaties/jaarverslagen
AuteurXtuv @arnovos28 december 2017 15:26
Goed idee, ik zet het op de agenda :)
MiesvanderLippe 28 december 2017 13:55
Wat mij betreft is het wel nodig geweest maar dat terzijde, als de boetes uitgedeeld worden krijg je gewoon minder meldingen. En reken maar niet dat er genoeg mankracht is alle datasets op de zwarte markt op hun herkomst te onderzoeken om dan de webshop een boete te geven. Al met al zit deze instantie met een bijzonder lastige taak.
glatuin 28 december 2017 13:58
Inderdaad heel erg vreemd dat die boetes niet worden opgelegd. Dit is het middel om er voor te zorgen dat de sectoren (met name gezondheid & welzijn) meer investeren in security.
PalingDrone 28 december 2017 14:06
1e keer waarschuwing, 2e keer boete voor het desbetreffende bedrijf.
Dat lijkt mij fair en effectief, blijkbaar kan je als bedrijf een stapel waarschuwingen krijgen waarbij en geen druk gezet wordt op het desbetreffende bedrijf, een stapel waarschuwingen doet geen pijn en motiveert totaal niet om kosten te maken om datalekken te voorkomen.
freburgje @PalingDrone28 december 2017 14:11
Hoe kan je voorkomen dat iemand per ongeluk een mail naar een verkeerde persoon stuurt (ok, misschien kan je het auto-aanvullen/veel gebruikte personen uitzetten in de mail client)? Dat wordt ook al als een data lek gezien; Boetes voor zoiets lijkt me onredelijk voor een tweede overtreding.

Edit: van NU.NL

"Meestal gaat het mis wanneer iemand persoonsgegevens per ongeluk naar de verkeerde ontvanger stuurt"

[Reactie gewijzigd door freburgje op 30 juli 2024 22:24]

PalingDrone @freburgje28 december 2017 14:22
Gradaties in de "zwaarte" van de overtredingen zijn er natuurlijk altijd, net zoals het fietsen zonder werkend achterlicht anders beboet word dan door rood licht rijden.

Wanneer een bedrijf structureel slordig mailt is dat natuurlijk even wat anders dan een zorginstelling die bij verhuizing zijn oude (patienten)dossierkasten met inhoud en al aan de straat zet.

Maar ook bij slordig mailende bedrijven zal een boete meer uithalen dan een welgemeend "foei"

https://www.gooieneemland...ientendossiers-aan-de-weg

[Reactie gewijzigd door PalingDrone op 30 juli 2024 22:24]

CAPSLOCK2000
@freburgje28 december 2017 14:59
Hoe kan je voorkomen dat iemand per ongeluk een mail naar een verkeerde persoon stuurt (ok, misschien kan je het auto-aanvullen/veel gebruikte personen uitzetten in de mail client)?
Goede vraag, want ook in andere gevallen kan een verkeerde mail grote gevolgen hebben. Fouten helemaal voorkomen kan niet, maar je kan wel veel doen om de kans op fouten te verkleinen en de gevolgen van fouten beperken. Zet bijvoorbeeld niet al je gegevens op de computer waarmee ook alle e-mail wordt beantwoord.
Dat is een voorbeeld van data-minimalisatie. Dat komt eigenlijk neer op "wat er niet is, kan ook niet lekken". Is het bijvoorbeeld nodig om je klanten om hun geboortedatum of geslacht te vragen? De meeste bedrijven doen daar niet meer mee dan de aanhef van hun brieven bepalen. Je kan ook "Beste lezer" boven je brief zetten en dan is het altijd goed én je hoeft geen geld en moeite uit te geven om die data te verzamelen en beveiligen én er is minder om uit te lekken als het dan toch fout gaat.

Win, win, win, zou je denken, maar nogal wat organisaties verzamelen data onder het motto "Je weet nooit waar het goed voor is, vraag en bewaar alles!". Vaak met het idee dat er later een supercomputer komt waar ze alle data in stoppen die dan allemaal diepe inzichten over hun klanten gaat geven. Dat is niet helemaal onrealistisch, maar als je daar nu al blind data voor wil "sparen" moet je ook maar de prijs betalen voor het veilig opslaan van die data.
CAPSLOCK2000
@PalingDrone28 december 2017 14:43
1e keer waarschuwing, 2e keer boete voor het desbetreffende bedrijf.
Dat lijkt mij fair en effectief, blijkbaar kan je als bedrijf een stapel waarschuwingen krijgen waarbij en geen druk gezet wordt op het desbetreffende bedrijf, een stapel waarschuwingen doet geen pijn en motiveert totaal niet om kosten te maken om datalekken te voorkomen.
Een lek melden kost redelijk wat tijd en moeite als je dat nooit eerder hebt gedaan. De bedrijven die een melding hebben gedaan die hebben dus al (een beetje) pijn gevoeld.
Gezien het aantal meldingen ligt er overigens ook weer geen stapel waarschuwingen per bedrijf. Op grond van deze cijfers hebben de meeste bedrijven nog nooit een melding gedaan, laat staan dat er al een stapel waarschuwingen ligt.
PalingDrone @CAPSLOCK200028 december 2017 16:24
dus wanneer ik (hypothetisch) 2x een mail krijg van hetzelfde bedrijf met daarin gegevens van iemand anders dan kan ik als klant van dat bedrijf geen melding doen?

Ik begrijp dat een instelling liever de doofpot vult dan het boetekleed aantrekt en zuchtend "dan maar een melding" doet.
Iets zegt mij dat dit soort meldingen pas gedaan worden wanneer het op welke manier dan ook in de publiciteit komt en de doofpot niet meer tot de mogelijkheden behoort.
Ergo deze aantallen zijn slechts het topje van de ijsberg
CAPSLOCK2000
@PalingDrone28 december 2017 21:41
dus wanneer ik (hypothetisch) 2x een mail krijg van hetzelfde bedrijf met daarin gegevens van iemand anders dan kan ik als klant van dat bedrijf geen melding doen?
Nou, om precies te zijn is deze regeling daar niet voor bedoeld. Die gaat over meldingen van uit het bedrijf zelf, niet over meldingen van slachtoffers.
Je mag als betrokken persoon gewoon zelfstandig melding doen bij het AP, maar dat is een ander loket. Als het AP nog geen bijhorende melding van het bedrijf in kwestie heeft gehad zullen ze dat vast interessant vinden, maar daarmee is nog niet gezegd dat een melding door dat bedrijf ook verplicht was.
Als het hele incident aantoonbaar niet groter is dan dat jij twee keer de verkeerde brief hebt gekregen dan lijkt me dat inderdaad geen melding waard.
Overigens kan het nog steeds strafbaar zijn, die vraag staat los van de meldplicht.
TWyk 28 december 2017 14:22
Bijna 30% van de datalekken in 1 sector. Dat is best veel

[Reactie gewijzigd door TWyk op 30 juli 2024 22:24]

Xelle @TWyk28 december 2017 14:31
Kan er ook aan liggen dat in die sector meer met gevoelige informatie wordt gewerkt. Dus kan overal gelekt worden, maar komt deze sector naar voren omdat ze verplicht zijn de lekken te melden.
batjes @TWyk28 december 2017 14:40
Ook niet geheel toevallig de sector die vrijwel alleen maar met persoonsgegevens werkt. Zo'n beetje alle data die ze verwerken zijn persoonsgegevens. Dat is in de overige sectoren wel anders.
R4gnax
@batjes28 december 2017 20:22
Ook niet geheel toevallig de sector die vrijwel alleen maar met persoonsgegevens werkt. Zo'n beetje alle data die ze verwerken zijn persoonsgegevens. Dat is in de overige sectoren wel anders.
Daar tegenover staat dat de gezondheidssector in absolute aantallen waarschijnlijk wel veel minder transacties en mutaties met/op die data doen, dan bijv. de financiële sector.

Al met al zal de gezondheidssector waarschijnlijk echt ook de meeste lekken 'pro capita' hebben.

[Reactie gewijzigd door R4gnax op 30 juli 2024 22:24]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq