Tweede Kamer wil dat Autoriteit Persoonsgegevens ruim verdubbelt in werknemers

De Tweede kamer wil dat de Autoriteit Persoonsgegevens ruim twee keer zoveel werknemers krijgt als dat de waakhond nu heeft. Vanaf 2022 moet de instantie wat de Tweede Kamer betreft groeien naar 470 voltijdswerknemers. Zo kan de AP meer onderzoek doen naar datalekken.

In de vandaag aangenomen motie staat dat het budget van de Autoriteit Persoonsgegevens verhoogd moet worden om meer mensen te kunnen aannemen. Nu heeft de AP nog 184fte, wat volgens onderzoek van het ministerie van Justitie en Veiligheid niet genoeg is om alle taken in de toekomst goed uit te kunnen voeren. Met 470fte zou dat wel het geval zijn, schrijven de indieners van de motie.

Het gaat in de motie voornamelijk om datalekken. Zo zou de AP nu alleen budget hebben om iemand een dag per week actief op zoek te laten gaan naar mogelijke datalekken. Om de 27.000 datalekken die jaarlijks worden gemeld te onderzoeken, heeft de Autoriteit Persoonsgegevens niet eens drie voltijdswerknemers, zeggen de indieners op basis van het KPMG-rapport. De motie werd op 3 februari ingediend door Kamerleden van 50Plus, ChristenUnie, D66, Denk, GroenLinks, PvdA, PVV, PvdD, en de SP.

De AP slaakte een jaar geleden de noodkreet over de onderbezetting. Het aantal meldingen bij de AP is de laatste jaren sterk gestegen, voornamelijk vanwege de invoering van de AVG. Daardoor zou de instelling de privacywet niet genoeg kunnen handhaven. In juni gaf de Autoriteit Persoonsgegevens aan al te willen uitbreiden naar 324fte. Dit jaar verhuist de instantie naar een nieuw kantoor in Den Haag, waar plek zou zijn voor maximaal 400fte. Minister Dekker erkende in november de problemen van de AP, maar zei destijds dat het volgende kabinet daar een beslissing over moet nemen.

IT-banen

Reacties (99)

Verwijderd 9 februari 2021 17:37

Datalekken vind ik eerlijk gezegd minder een probleem dan het aantal bedrijven dat vaag en te breed om gaat met de privacy van haar consumenten en/of haar monopolie misbruikt om consumenten te dwingen hun privacy te verkopen.

Datalekken moeten gewoon opgelost worden zoals hoe bv. een dancing waar er brandgevaar in de zaal is moet gesloten worden: uw zaak gaat volledig dicht tot het probleem opgelost is. Het zal zeer snel vooruit gaan dan. Je zal de programmeurs van die websites nogal uit hun kram zien schieten. Tegen tien miljard kilometer per uur zal het ineens wel opgelost geraken. Zoef. Vlam. Ineens kan het wel. Gewoon de website volledig dicht. Geblokkeerd bij alle providers van het land. Tot het probleem opgelost is (en eventuele schade bij alle reeds gebeurde betrokkenen vergoed is).

vosManz @Verwijderd • 9 februari 2021 17:59

Datalekken moeten gewoon opgelost worden zoals hoe bv. een dancing waar er brandgevaar in de zaal is moet gesloten worden: uw zaak gaat volledig dicht tot het probleem opgelost is. Het zal zeer snel vooruit gaan dan. Je zal de programmeurs van die websites nogal uit hun kram zien schieten. Tegen tien miljard kilometer per uur zal het ineens wel opgelost geraken. Zoef. Vlam. Ineens kan het wel. Gewoon de website volledig dicht. Geblokkeerd bij alle providers van het land. Tot het probleem opgelost is (en eventuele schade bij alle reeds gebeurde betrokkenen vergoed is).

Klinkt leuk, maar in het echte leven totaal onrealistisch. Als je ook maar een beetje een technische achtergrond hebt weet je dat een dancing waarbij je op brandgevaar kan controleren, totaal niet te vergelijken is met een complex stuk software. Daarbij, een brand kun je blussen voor er ernstige schade ontstaat. Bij een datalek is het detecteren al veel lastiger dan 'even een rookmelder ophangen', en je komt er vaak pas achter als de data weg is (en de dancing dus tot de grond toe afgebrand is en er niets meer te redden is, om die vergelijking even aan te houden).

Verder wek je (bij mij in ieder geval) de suggestie dat beheerders van websites vaak niets doen om een datalek tegen te gaan. Ik kan uit ervaring vertellen dat dat geheel onjuist is. Buiten dat een datalek natuurlijk overduidelijk onwenselijk is, brengt het ook een hele hoop negatieve publiciteit en mogelijk boetes of schadeclaims met zich mee waar een website beheerder uiteraard niet op zit te wachten. Een serieuze websitebeheerder zal echt wel zijn best doen om een datalek tegen te gaan. Maar aangezien het zo ongeveer onmogelijk is om software 100% bugvrij te maken, is het ook onmogelijk om te garanderen dat een datalek niet kan voorkomen. Met jouw redenering moeten we dus maar gewoon het hele internet afsluiten.

[edit: typo]

[Reactie gewijzigd door vosManz op 24 juli 2024 23:29]

EraYaN @vosManz • 9 februari 2021 18:26

Maar dat het moeilijk is is geen reden om er dan maar met de pet naar te gooien en dat gebeurd nog maar al te vaak. Als je geen goede policies hebt voor het managen van data (ook impact beperkende maatregelen als het wel fout gaat) moet je het in de eerste plaats proberen niet te verzamelen. Dat zou bij heel veel bedrijven an heel erg helpen. Er wordt nog zoveel gewoon geprutst, het feit dat er nu nog steeds lekken zijn met wachtwoorden in plaintext en dergelijke.

vosManz @EraYaN • 9 februari 2021 20:38

Je hoort mij ook niet zeggen dat je er dan maar met de pet naar moet gooien, want dat is inderdaad absoluut niet de bedoeling. Het punt dat ik wil maken is dat je nog zo'n goede policies voor het managen van data kan hebben, je enkel de data opslaat die je nodig hebt (wat volgens de AVG overigens ook verplicht is), je flink investeert in beveiliging van de data, etc. zelfs dat alles geen garantie geeft dat het een datalek voorkomt.

De vergelijking met het sluiten van een pand dat niet aan de brandvoorschriften voldoet gaat dan ook niet op. Kijk voor de 'lol' eens naar de lijst van datalekken die bij havibeenpwned bekend zijn. Daar staan grote partijen op die flink wat ervaring met databeveiliging hebben, denk aan LinkedIn, Adobe, Dropbox, zelfs security bedrijven als Malwarebytes en Avast konden een datalek blijkbaar niet voorkomen.

Ik ben het overigens helemaal met je eens dat als blijkt dat een partij inderdaad aan het prutsen is (en het opslaan van plaintext wachtwoorden valt daar zeker onder) daar hard tegen opgetreden mag worden. Maar het preventief sluiten van websites waarbij mogelijk een datalek kan voorkomen (zoals freaxje aangaf) is totaal onrealistisch, want dan kun je het hele internet sluiten.

Bas Boss @vosManz • 9 februari 2021 18:40

Misschien het juist wel te vergelijken is met brandgevaar, maar de gemaakte vergelijking klopt niet helemaal.
In beide gevallen moet je maatregelen nemen om een incident te voorkomen. Maar zelfs al neem je die maatregelen dan heb je nog geen garantie dat er geen brand of datalek ontstaat.

vosManz @Bas Boss • 9 februari 2021 20:18

Klopt, uiteraard moet je maatregelen nemen om het te voorkomen, en in beide gevallen heb je geen 100% garantie dat er geen incident ontstaat. Maar als er een incident ontstaat kun je bij een brand juist door de genomen voorzorgsmaatregelen de schade flink beperken (door snelle detectie en snel ingrijpen voorkomen dat de brand groter wordt). Bij een datalek kom je er vaak pas achteraf achter (als je er vooraf achter komt is er geen datalek

), en dan is de data al weg.

Daarnaast is het nemen van maatregelen bij brandgevaar wat eenvoudiger, als in je hoeft maar met relatief weinig variaties rekening te houden. Er zijn standaard brandmelders, blusmiddelen, en voorschriften over waar en hoe die te plaatsen, onderhouden en gebruiken. Bij software ben je afhankelijk van veel meer factoren die detectie en preventie een stuk lastiger maken. Je bent afhankelijk van hardware (denk aan Meltdown), operating system/systeem software (Heartbleed/POODLE), de code van je eigen software, en eventuele 3rd party packages waar je software van afhankelijk is. Het risico dat er ergens op één plek geen 'brandmelder' is geïnstalleerd is daarmee vele malen groter.

Bas Boss @vosManz • 9 februari 2021 21:19

Sorry maar dat klinkt toch een beetje als een excuus om onvoldoende maatregelen te nemen. 😉

Dat is echt de standaard reactie uit een branche als er nieuwe wetgeving komt. Het kan niet en is allemaal te ingewikkeld.

Een ingenieurs bureau gespecialiseerd in brandpreventie kan vast ook een hele lijst van factoren geven.

vosManz @Bas Boss • 9 februari 2021 22:25

Je begrijpt het denk ik niet helemaal. Het is geen excuus, enkel een observatie. Met alle maatregelen in de wereld kun je niet 100% garanderen dat er geen datalek zal voorkomen. Een beetje 'money can't buy you happiness' maar dan voor datalekken

De enige maatregel die 100% zeker werkt om een datalek in je software te voorkomen, is zodra je een idee hebt wat voor software je wil gaan maken dat idee direct in de prullenbak te gooien en er niet aan te beginnen

WillySis

Autoriteit Persoonsgegevens
Privacy

@vosManz • 9 februari 2021 21:22

Er zijn gelukkig veel bedrijven die hun websites en gegevens goed afschermen en er ook tijd en moeite in steken om dat zo te houden. Er zijn echter ook heel wat bedrijven en instellingen waar de beveiliging nog steeds het sluitstuk van de begroting is, Andere bedrijven verzamelen veel meer data dan nodig of zijn gewoon niet helder in wat ze er met de data gedaan wordt, of verkopen data die ze volgens hun eigen beloften niet mogen verkopen.
Voor de AP is er dus werk zat om dit in de gaten te houden.

David Mulder @vosManz • 9 februari 2021 23:40

100% bugvrij is 1 ding, maar het aantal bedrijven dat ik heb gezien die oude software draaien (bijv. met sql statements opgebouwd via string concatenatie) en waar er geen geld is om het te herbouwen zijn eindeloos. Werk nu bij een bedrijf met 20 000 werknemers waarvan ongeveer een kwart ofzo programmeurs zijn... en hier hebben we nog software in onderhoudt die IE-only is en met een dergelijk oude stack dat interne werknemers er weigeren aan te werken en enkel semi-externe krachten het onderhouden. Punt is: Het is bijna altijd oude software (al dan niet in combinatie met nieuwe software) die voor hacks zorgt. Hier op Tweakes ook bijv. waar ik jaren geleden een XSS exploit op een oude pagina van de fotogalerij functie tegen kwam. Ik zou eerder stellen dat ik nog geen 1 bedrijf heb gezien die serieus geld erin stopte om ervoor te zorgen dat alle software die ze ontwikkelen veilig is (wel bijna allemaal redelijk zorgvuldig met 'nieuwe' (=laatste 10 jaar ofzo) software).

Blokker_1999

Politiek en recht
Nederland
Privacy

@Verwijderd • 9 februari 2021 17:43

Je moet een datalek eerst vinden. En op het moment je dat vind is het oplossen meestal zeer snel gebeurd, maar is het al te laat, want het lek was er en is mogelijks misbruikt. Een datalek hoeft ook niet online te gebeuren. Ook met fysieke datadragers (je weel wel, papier bijvoorbeeld, of een USB stick met data op) kan al voor een datalek zorgen. Of als ik gewoon telefonisch gegevens kan opvragen bij iemand terwijl ik geen toegang had mogen hebben tot die gegevens is er ook al sprake van een datalek.

Het begrip datalek is enorm breed. Je kan dat niet met een eenvoudige controle nagaan zoals je dat met je brandveiligheid doet. Het oplossen van de problemen is ook het probleem niet, het lokaliseren van een probleem dat tot een lek kan leiden is dat wel.

Verwijderd @Blokker_1999 • 9 februari 2021 17:47

Maar ik ben er voorstander van om zeer mild te zijn voor bedrijven die snel zulke lekken herstellen en het nodige doen om de schade te beperken.

Maar net zo goed wil ik dat er KEI HARD opgetreden word tegen alle anderen.

Een danszaal mag ook snel terug open nadat de brandweer is komen kijken en heeft kunnen vaststellen dat het probleem verholpen is. Maar niet eerder.

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@Verwijderd • 9 februari 2021 17:56

Als ze een datalek herstellen waren ze hoe dan ook al op een of meer punten in overtreding. De wet stelt namelijk bijvoorbeeld dat je vooraf voldoende maatregelen moet nemen om een datalek te voorkomen. Het lijkt me niet redelijk om dan mild te willen zijn alleen maar omdat een bedrijf als het te laat is pas doet wat het al verwacht mocht worden.

WouterL @kodak • 9 februari 2021 18:05

Wat een onzin. Het zal je misschien verbazen, maar het gros van de datalekken is simpelweg niet te voorkomen. Je kunt je proces goed inrichten, maar de mens blijft de zwakke schakel. Het is immers mensenwerk.

Het is en blijft belangrijk om hier lering uit te trekken en je te houden aan de wettelijke meldnormen. Het blijven melden en lering trekken moet bemoedigd worden, niet bestraft. Daargelaten dat sommige bedrijven bewust nalatig zijn, maar dat zal echt de absolute minderheid zijn.

[Reactie gewijzigd door WouterL op 24 juli 2024 23:29]

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@WouterL • 9 februari 2021 18:11

Je kan het onzin vinden of het kennelijk niet helemaal eens zijn met de wet, maar dat zijn wel de afspraken. Als je dat wil veranderen dan ga je naar de wetgever en laat je in de wet duidelijker opnemen hoe er gevolgen aan horen te zitten als een bedrijf een datalek heeft. De toezichthouder hoort namelijk volgens de wet te handhaven, niet zomaar mild te zijn.

WouterL @kodak • 9 februari 2021 18:14

Ik ben mij zeer bewust van de wet, het is zelfs mijn vak. Je gaat alleen voorbij aan het feit dat een datalek veroorzaken niet direct gelijk staat aan het voeren van een gebrekkig beveiligingsbeleid. Dat kan, maar in veel gevallen is er sprake van een incidentele fout door menselijk handelen.

The Zep Man

Privacy
Nederland
Politiek en recht

@WouterL • 9 februari 2021 18:15

Dat kan, maar in veel gevallen is er sprake van een incidentele fout door menselijk handelen.

Als je weet dat de mens de zwakste schakel is, dan kan je daar ook reactieve controls tegen inbouwen. Die ontbreken ook vaak. Zoals genoemd: het GGD-lek.

Dat de mens de zwakste schakel is van een informatiesysteem maakt het niet opeens een excuus bij een lek. Ook mensen dien je onderdeel te maken van een gelaagde beveiliging.

WouterL @The Zep Man • 9 februari 2021 18:17

Dat ben ik helemaal met je eens, maar het maakt je beveiliging niet ineens waterdicht. Het is niet zo dat daar je inspanningsverplichting daarmee vervalt, maar het is nu eenmaal een feit dat je geen onbeperkte middelen tot je beschikking hebt.
Overigens praat ik het GGD lek zeker niet goed hoor. Het gaat mij om de algemeenheid.

[Reactie gewijzigd door WouterL op 24 juli 2024 23:29]

Martijn.C.V

@The Zep Man • 10 februari 2021 14:33

Als programmeur zijnde kan ik je vertellen dat dat nabij onmogelijk is om helemaal af te dichten, en dat is denk ook het punt van Wouter. Ik en mijn collegas zijn redelijk beveiligingsbewust en proberen elkaar daar ook op scherp te houden. Maar ik ben programmeur, geen 'hacker'. Dus ik denk niet aan alles.

Heel simpel voorbeeldje: Op mn werk kwam een security kerel voorbij (die ons eerst getest had) en daar raakte we in de praat over path traversal. Door ../ te typen kun je een mapje omhoog, dus als je een brakke implementatie hebt en iemand weet zn plaatje met ../ te noemen kan ie opeens bij andere dingen. Zeker als dat plaatje uitvoerbare code bleek te zijn.
Nou, als simpele oplossing stelde ik "Nou, dan doen we toch een string replace voor alle `../` en dan zijn we er".

Als we daar zouden zijn gestopt, voelt het alsof we een simpele check zouden hebben gemaakt. Tot hij zei "nee hoor, want wat nou als het `..././` (3 punt eerst), dan vervang je de `../` eruit, en dan blijft een nieuwe `../` over".

Indammen kan ja, maar er is altijd IETS dat je mist. En die iets kan een datalek zijn, daar kun je echt niet altijd iets aan doen.

_{Offtopic: tijd voor codeformat blocks hier}

[Reactie gewijzigd door Martijn.C.V op 24 juli 2024 23:29]

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@WouterL • 9 februari 2021 21:24

Ik ga daar niet aan voorbij door te stellen dat de wetgever een duidelijke grens heeft getrokken. Dat er sprake kan zijn van een incidentele fout door menselijk handelen maakt de fout nog niet goed of zonder verantwoordelijkheid.
De stelling waar ik op reageerde was dat er mild zou moeten worden omgegaan met bedrijven die na iets wat al niet had moeten gebeuren rechtzetten en er van leren. Maar dat lijkt me niet makkelijk mogelijk en ook niet redelijk om standaard te hanteren.
Dat fouten maken menselijk is wil niet zeggen dat je die maar mild af kan doen. In ieder geval niet door alleen te kijken wat het meeste voor zou komen of door allaan te kijken naar wat men achteraf eens gaat proberen te verbeteren. De wetgever stelt al meer dan 30 jaar dat bedrijven niet alleen achteraf verantwoordelijkheid hebben en al meer dan 20 jaar dat bedrijven die menselijke fouten zo veel mogelijk dienen te voorkomen en al bijna 5 jaar is duidelijk dat achteraf sorry zeggen en wat veranderen echt niet genoeg is. Dan is het onredelijk om meer in te zetten op toezicht maar ondertussen de bedrijven standaard maar mild te behandelen omdat het nog veel te veel fout gaat. Dat het veel te veel fout gaat is juist een van de redenen dat er meer toezicht nodig is.

WouterL @kodak • 9 februari 2021 21:41

Natuurlijk heb je een case by case benadering nodig. En dat achteraf je leven beteren niet garant staat voor geen boete of stevige handhaving is goed en nodig. Volgens mij zijn jij en ik het best met elkaar eens, maar praten we redelijk langs elkaar heen. Alleen achteraf kan worden vastgesteld of je getuige de aanwezige middelen en de huidige stand der techniek genoeg hebt gedaan om de datalek te voorkomen.

Een datalek op zichzelf is natuurlijk nooit zelfstandig een reden voor handhaving. Een beveiliging als een vergiet wel.

Zer0 @kodak • 10 februari 2021 01:00

Je kan het onzin vinden of het kennelijk niet helemaal eens zijn met de wet, maar dat zijn wel de afspraken.

Nee, dat zijn de afspraken niet. Als bedrijf moet je er zoveel mogelijk aan doen datalekken te voorkomen, maar het kan gewoon niet 100%. Als blijkt dat een bedrijf al het mogelijke gedaan heeft, en er toch een datalek plaats vind dan zal het AP daar geen boete voor geven.

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@Zer0 • 10 februari 2021 10:38

De afspraak is wel degelijk dat de wet stelt dat je vooraf voldoende maatregelen moet nemen om een datalek te voorkomen. Als je meent dat ik het over een andere afspraak heb dan lees ik dat graag.

Zer0 @kodak • 10 februari 2021 10:46

Vooraf voldoende maatregelen nemen, dat is dus precies wat ik zei, als bedrijf moet je er zoveel mogelijk aan doen datalekken te voorkomen.
Als er een datalek plaatst vind betekent dat niet direct dat er niet voldoende maatregelen genomen zijn.

The Zep Man

Privacy
Nederland
Politiek en recht

@WouterL • 9 februari 2021 18:11

Wat een onzin. Het zal je misschien verbazen, maar het gros van de datalekken is simpelweg niet te voorkomen. Je kunt je proces goed inrichten, maar de mens blijft de zwakke schakel. Het is immers mensenwerk.

Mensenwerk kan nog steeds adequaat gemonitord worden, wat vaak ontbreekt. Neem het recente GGD-lek. Waarom gaan er geen alarmbellen af/wordt een gebruikersaccount automatisch geblokkeerd als die een onrealistisch aantal opvragingen doet in een bepaalde tijdspanne?

De meeste lekken komen door het ontbreken van een adequate beveiliging in de vorm van gelaagde beveiliging, wat weer een vorm van nalatigheid is.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 23:29]

WouterL @The Zep Man • 9 februari 2021 18:16

De cijfers ondersteunen jouw opmerking niet. De meeste datalekken vinden plaats door verkeerd verstuurde/kwijtgeraakte post en email.
Deels kan dat natuurlijk komen door gebrekkig opgeleid personeel of werkprocessen.

Jerie

@WouterL • 9 februari 2021 21:32

De meeste datalekken

"De meeste" is geen accurate maatstaf. Het ene datalek is het andere niet. Het gaat om de impact van het lek.

WouterL @Jerie • 9 februari 2021 21:36

Ook dat ben ik met je eens, maar nergens zeg ik dat dat een goede maatstaf is. Ik reageerde op het bericht van de Tweaker hierboven.

Captain Jorg @WouterL • 9 februari 2021 23:10

Je kan een verkeerd verstuurde brief maar lastig vergelijken met het (potentieel) lekken van alle data van geteste Nederlanders.
Je maakt zelf een beetje de maatstaf van de aantallen datalekken ipv de impact met de opmerking: de cijfers ondersteunen je niet.
Welke cijfers bedoel je dan? Want het gaat imho meer om het aantal slachtoffers dan het aantal lekken (en dan ga ik er vanuit dat de data in beide gevallen even gevoelig is)

WouterL @Captain Jorg • 9 februari 2021 23:21

Ik reageerde op de volgende zinsnede:

“De meeste lekken komen door het ontbreken van een adequate beveiliging in de vorm van gelaagde beveiliging, wat weer een vorm van nalatigheid is”.

In absolute zin is dat niet waar. Ik geef daarmee geen waardering verder over de impact.
Daarmee wil ik dus niet zeggen dat het niet op orde hebben van een systeem niet een veel grotere impact kan hebben. Ik zelf maak daarmee geen vergelijk met bijvoorbeeld een GGD lek.

[Reactie gewijzigd door WouterL op 24 juli 2024 23:29]

Bas Boss @kodak • 9 februari 2021 18:34

Voldoende maatregelen nemen geeft nog geen garantie dat er geen datalek kan ontstaan.

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@Bas Boss • 9 februari 2021 21:37

Dat klopt, maar dat wil niet zeggen dat je volgens de wet minder verantwoordelijkheid hebt door achteraf iets te gaan doen. De toezichthouder krijgt niet voor niets meer werknemers, dat is mede omdat het onder verantwoordelijkheid van die bedrijven te vaak mis gaat. Dan kan je het onterecht vinden dat een bedrijf daar last van kan hebben, maar de wet gaat voornamelijk om bescherming van de personen die last hebben dat een bedrijf (menselijke) fouten maakt, of te weinig gedaan blijkt te hebben om de persoonsgegevens van anderen voldoende te beschermen.

Vizzie @kodak • 9 februari 2021 19:18

De enige manier om 100% zeker te zijn dat je geen datalek kunt krijgen is helemaal geen persoonsgegevens te verwerken. Nul. Niks. Noppes.

Als je wel persoonsgegevens verwerkt moet je maatregelen treffen om dat zo veilig mogelijk te doen, maar 100% garanderen dat je dan geen datalek kunt hebben is je reinste onzin.

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@Vizzie • 9 februari 2021 21:50

Dat je nooit 100% zonder risico bent is de discussie niet. De discussie is of met de inzet van die extra werknemers bij de toezichthouder er mildere straffen zouden moeten zijn voor bedrijven die achteraf iets gaan doen. Ondernemen is hoe dan ook niet zonder risico. Het is niet alleen maar de leuke kanten kunnen gebruiken en dan zo min mogelijk last hebben als je te maken krijgt met de andere risico's. De wetgever is daarbij duidelijk: er is al ruim 30 wetgeving met eisen hoe bedrijven verantwoordelijkheid hebben, er is al ruim 20 jaar wetgeving met eisen dat ze voldoende moeten doen om die persoonsgegevens te beschermen en niet zomaar mogen verwerken en als het mis gaat daar gevolgen aan zitten, er is al ruim 5 jaar duidelijk dat bedrijven vooraf heel duidelijk moeten zijn hoe ze de persoonsgegevens zo goed mogelijk beschermen. Er is geen enkele onduidelijkheid dat het er dus niet om gaat dat als je achteraf dan maar wel iets doet je daarmee dus prima bezig bent en dus ook niet dat je daardoor standaard maar een mild gevolg zou mogen verwachten.

Alxndr

@Verwijderd • 9 februari 2021 18:23

Het hele punt is toch dat ze niet eens genoeg mensen hebben om het probleem vast te stellen?
27.000 meldingen, 3 fte.. dan hebben ze dus 12 minuten per onderzoek?

Ik vraag me ook af wat die andere 181 fte doen dat belangrijker is?

j-phone @Verwijderd • 10 februari 2021 02:31

Wat je nu stelt is dat (bijvoorbeeld) Facebook een privacy lek inbouwd die met een enkele aanpassing in de code is te verhelpen. Het lek is dan namelijk snel verholpen. De extra omzet die is binnen gekomen door het lek dekt ruimschoots de boete.

Zynth @Blokker_1999 • 9 februari 2021 18:20

We moeten denk ik toe naar een certificering, en keuring, van alle software die persoonsgegevens verwerkt.

Ik vind het persoonlijk eigenlijk vreemd dat je een rijbewijs nodig hebt voordat je de weg op mag, je auto APK gekeurd moet zijn, maar om software te mogen maken die persoonsgegevens verwerkt geen opleiding of certificaat hoeft te hebben.

We zouden een verplichte certificering/keuring van persoonsgegevens-verwerkende software moeten hebben.
Zoals een bouwtekening die verplicht ondertekend moet worden door een architect/constructeur, en zoals de inspecties die ze op bouwplaatsen doen voor cruciale onderdelen.
Of persoonsgegevens behandelen als financiele gegevens. Dat er op dezelfde manier met persoonsgegevens moet worden omgegaan als met financiele transacties, met dezelfde mate van beveiliging en controle.

We moeten denk ik toe naar een certificering, en keuring, van alle software die persoonsgegevens verwerkt.

Het gevolg zal mogelijk/hopelijk zijn dat er bedrijven komen die zich gaan specialiseren in "goedkeurde frameworks met APIs", die websitebouwers/softwaremakers dan kunnen gebruiken om zelf niet gekeurd te hoeven worden. Hiermee kan je dus net als bijvoorbeeld bij Android/IOS systemen op zo'n manier opzetten dat de "app" niet zomaar bij alle verwerkte data kan. Je hoeft dan relatief weinig code te "keuren", en we bewegen zo naar een samenleving die privacy aan de bron heeft staan.

[Reactie gewijzigd door Zynth op 24 juli 2024 23:29]

bazzi

@Zynth • 9 februari 2021 19:53

Een goede bouwer laat dit al doen, met pentesten en code reviews. Echter kan er nog steeds dingen mis gaan. Bv een gebruiker die een export laat versturen naar een adres die toch niet de zijne bleek te zijn. Typo. Is wel een datalek van de gebruiker er klant zelf, echter wordt wel jouw systeem genoemd. Ja je kan zeggen dat elk adres gecheckt en geverifieerd moet worden. Maar je gebruikers/klanten beginnen je dan wel te haten.

j-phone @bazzi • 10 februari 2021 02:35

Zolang de opdrachtgever de factuur van de bouwer moet betalen heeft de bouwer (helaas) geen keus en zal de opdrachtgever de pentesten en andere testen achterwege laten.

Pentesten, code reviews, user testen... Allemaal onzin zolang er geld betaald moet worden.

disclaimer: ik ben een voorstander van testen, testen, testen. Maar ja, iemand moet de testers betalen.

motormuisjake @Verwijderd • 9 februari 2021 17:50

nee hoor geen probleem zo’n datalek ....
tot je op je account bij de belastingdienst, ziektekostenverzekeraar, pensioenfondsof je uitkeringsinstantie ineens de gegevens van iemand anders aantreft.
Je leest de persoonlijke post van die persoon.
Zou jij het fijn vinden als ik jou gegevens kan inzien?
Daarbij is gebruik van BSN-nummer in zo’n omgeving de normaalste zaak.
Als anderen over jou BSN-nummer kunnen beschikken dan ga jij niet gelukkig worden, neem dat maar van mij aan.

In mijn voorbeelden noem ik overheidsorganisaties maar deze gelden net zo goed voor het particuliere bedrijfsleven.
Daar gebeuren precies dezelfde dingen want ook daar werken mensen, de meest instabiele factor als het gaat over informatiebeveiliging.

[Reactie gewijzigd door motormuisjake op 24 juli 2024 23:29]

Verwijderd @motormuisjake • 9 februari 2021 17:50

Ik schreef niet dat het geen probleem is.

Niemand_Anders @motormuisjake • 10 februari 2021 00:16

Ook ruim 300 bedrijven hebben mijn BSN nummer omdat dat jarenlang onderdeel was van mijn BTW nummer! Bij de KVK zijn mijn privegegevens nog steeds inzichtelijk en het is niet mogelijk om een postbus adres te gebruiken..

ZZP-ers hebben geen privacy..

Crim @Verwijderd • 9 februari 2021 18:00

Probleem is dat de overheid bij dit soort wetgeving zich vooral richt op kleine (sport)verenigingen, MKB bedrijven met minder dan 10 werknemers etc. Grote bedrijven vinden ze te moeilijk of kan leiden tot rechtszaken. Bij de rest kunnen ze lekker makkelijk boetes uitdelen of dreigen met hoge boetes.

Ik zou dus voorzichtig zijn met de oproep voor nog strengere wetgeving, voor je het weet hebben we een toeslagenaffaire 2.0.

[Reactie gewijzigd door Crim op 24 juli 2024 23:29]

Verwijderd @Crim • 9 februari 2021 18:04

Daarom (ook) dat ik schreef dat ik het een groter probleem vind dat bepaalde bedrijven hun monopolie misbruiken om consumenten te dwingen hun privacy te verkopen.

MKB bedrijven en (sport)verenigingen zullen niet vaak een monopolie hebben.

Alxndr

@Verwijderd • 9 februari 2021 18:54

Volgens mij haal je heel wat dingen door elkaar, om te beginnen:
gebrekkige databescherming staat tot brandgevaar, als data lek staat tot brand

Je moet eerst blussen/het lek dichten, pas dan kan je op basis van onderzoek de oorzaak achterhalen om je preventie op aan te passen. Daarnaast, gevaar is een risico, geen garantie dat het mis gaat - net zoals goede preventie geen garantie is dat het goed gaat.

Stel je nu echt voor om de data bescherming van alle bedrijven vooraf tegen het licht te houden en ze in afwachting van de uitkomst (vergunning/toestemming) dicht te gooien? Daar gaat de economie.

Wat betreft "consumenten te dwingen hun privacy te verkopen" dit is al niet toegestaan, zoals dat bij het weigeren van cookies je niet de toegang tot een website ontzegt mag worden.

Maar ook hier geldt, te weinig mensen om het op te sporen en aan te pakken, of wil je ook voor het maken/hebben van een website een vergunningen stelsel beginnen?

rneeft

9 februari 2021 17:33

Eigenlijk wel gek als je er over nadenk. Wij betalen die AP club. Als die overtredingen vinden bij bedrijven leggen die boetes op. En die boetes tja.... die betalen uiteindelijk de klanten, wij dus. Uiteindelijk betalen we dubbel.

[Reactie gewijzigd door rneeft op 24 juli 2024 23:29]

resistme @rneeft • 9 februari 2021 17:42

Beetje gekke redenatie volgens mij. Bedoeling van boete is juist dat bedrijven dus geen overtredingen begaan.

Maar om mee te gaan in jou redenatie. Bedrijven die boete krijgen berekenen meer kosten aan consument en zullen dus duurder zijn dan concurrent en ook nog eens in het negatieve daglicht komen omdat ze hun zaken niet op orde hebben. Uiteindelijk zullen ze minder klanten hierdoor trekken. Is minder inkomsten. Het is dus ook in hun eigen belang hier aan te voldoen.

3fte voor al die meldingen. Hebben we het echt over de overheid hier? Zwaar onder bezet. Als ik alleen al kijk naar hoeveel werknemers bij banken bezig zijn met fraude/ cybercriminaliteit bestrijding. Terwijl een deel van dat word veroorzaakt door gelekte gegeven, door slechte implementatie avg.

[Reactie gewijzigd door resistme op 24 juli 2024 23:29]

dnrb @resistme • 9 februari 2021 17:56

Erger 184 mensen in dienst en 3 fte voor controle... verdubbel het aantal medewerkers en we hebben wel 6 fte aan controleurs...

Lagonas @dnrb • 9 februari 2021 18:23

Er staat echter nergens dat elke afdeling verdubbeld wordt. Er komen meer medewerkers op specifieke afdelingen. Ze krijgen niet opeens een tweede directeur.

dnrb @Lagonas • 9 februari 2021 19:13

Snap ik ook wel, maar 3 fte controleurs voor datalekken... dan is er toch iets serieus mis met je prioritering.
En het zou mij niets verbazen dat er met die verdubbeling nog steeds minder dan 50 fte aan controleurs voor data lekken zullen zijn.

Anonymoussaurus @rneeft • 9 februari 2021 17:41

Zal ik het je nog leuker vertellen? Als bedrijf/organisatie X te laks heeft gehandeld en een boete krijgt, strijkt de AP het geld op. Jij als klant, die in de uitgelekte database staat, kan dat geld (compensatie voor privacy) wel op je buik schrijven, terwijl jij degene bent die ook slachtoffer is geworden. Jouw gegevens kunnen immers misbruikt worden.

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 23:29]

Blokker_1999

Politiek en recht
Nederland
Privacy

@Anonymoussaurus • 9 februari 2021 17:47

Jij mag dan zelf een advocaat gaan zoeken en dat bedrijf aanklagen. Er is niets dat je tegenhoudt om dat te doen. Zo is het met vele zaken. Niet alleen met datalekken. Die fabriek achter de hoek die heel de buurt vervuild heeft? Die moet je zelf aanklagen. Die buurman die de ruit van je wagen heeft ingeslagen? Die moet je zelf aanklagen.

Jij als slachtoffer moet altijd zelf een aanklacht indienen. Boetes die voortkomen uit instanties zoals het AP of een strafrechterlijke zaak zijn niet bedoeld als schadeloosstelling van eventuele slachtoffers. Wel kunnen die slachtoffers zulke uitspraken gebruiken in een civiele klacht om hun gelijk te halen. En als de eis niet te absurd is, dan zal er vaak zelfs geschikt worden buiten de rechtzaal.

TijsZonderH Nieuwscoördinator @Anonymoussaurus • 9 februari 2021 18:34

Kleine nuance: inkomsten uit boetes gaan niet naar het budget van de AP, maar naar de staat.

sdevos13 @Anonymoussaurus • 9 februari 2021 18:30

En wanneer de AP meer geld binnenharkt dan ie kost betaal je misschien ergens ooit een keer een euro minder belasting. Het alternatief (het wilde westen) is geen optie.

terror538 @rneeft • 9 februari 2021 17:35

Dan moet de AP gewoon kostendekkend boetes uitdelen

AibohphobiA BoB

@terror538 • 9 februari 2021 17:48

Dat is voor een deel natuurlijk ook zo. Het geld van de boetes komt gewoon bij ons terug via de staatskas. Uiteindelijk is het geld van ons allemaal.
Het idee dat we dubbel betalen is natuurlijk sowieso onzin. Je ziet het alleen niet direct op je rekening komen, maar dat hoeft ook niet. Tenslotte zie jet het ook niet meteen van je rekening afgaan als er een straatlantaarn wordt gerepareerd.

Edit: typo

ocf81 @terror538 • 9 februari 2021 17:50

Misschien wist je dat al, maar de AP ontvangt dus geen cent van de boetes die ze uitschrijven. Dat gaat allemaal naar de algemene middelen van de staat. Dit om tegen te gaan.dat er boetes worden uitgeschreven om de eigen balans te spekken, wat natuurlijk een perverse prikkel van jewelste is.

[Reactie gewijzigd door ocf81 op 24 juli 2024 23:29]

Verwijderd @ocf81 • 9 februari 2021 17:56

Getuige de bonnenquotum van de politie (2003-2006), kan zoiets ook niet werken bij andere staatsbedrijven.

ocf81 @Verwijderd • 9 februari 2021 17:59

Goede vraag. Het is geloof ik vooral een politiek keuze.

Tk55 @rneeft • 9 februari 2021 17:35

Bedrijven die de wet dus niet overtreden hebben daarmee een competitief voordeel.

Blokker_1999

Politiek en recht
Nederland
Privacy

@Tk55 • 9 februari 2021 17:39

En dat wil dus zeggen dat de boetes dus vooral betaald worden vanuit de winst van een bedrijf. Want als je in een competitieve markt je prijs omhoog gaat gooien om boetes te kunnen betalen dan gaan je klanten gewoon naar de concurentie.

demonite @rneeft • 9 februari 2021 17:37

Goeie! Maar waar blijft al dat geld dan?

killercow @demonite • 9 februari 2021 17:59

In de staatskas. Wat we daar van betalen kun je elk jaar op prinsjesdag weer opnieuw onderzoeken.

CopyCatz @rneeft • 9 februari 2021 17:38

En hoewel het bij uitstek een thuiswerkbaan is moeten ze per se met 400 man in een kantoor in den haag.

ToolBee @CopyCatz • 9 februari 2021 18:24

Geen opper-apen zonder apenrots!

Kevinp @rneeft • 9 februari 2021 17:39

De burger betaald altijd zolang je niet als AP of welke instantie dan ook rechtstreeks zeggenschap krijgt.

Bv bij Bavaria (concurentie) en andere bier consorten was een vele betere straf geweest dat de marges omlaag moesten voor X tijd. Waarbij prijsverhogingen die je normaal zou doorvoeren niet doorgevoerd mochten worden.

Je krijgt dan als consument een deel van je geld terug.

Overigens is dit een domme zet van de overheid, want ik vrees dat ze zelf ook nog regelmatig op de vingers getikt gaan worden.

Danny @Kevinp • 10 februari 2021 06:50

En dan betalen ze een boete met geld uit de staatskas? En die boete komt dan terecht in de staatskas?

Kevinp @Danny • 10 februari 2021 13:23

Ik hoop dat ze politiek gezien dan de macht hebben om een minister te ontslaan.

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@rneeft • 9 februari 2021 17:40

Je hebt dan ook vaak de keuze om geen gebruik meer te maken van die organisatie en je kan zelfs proberen je geld terug te krijgen als ze wanprestaties leveren.
Hoe dan ook kost handhaven meestal geld en dat hoeft niet perse door de slachtoffers betaald te worden. Kosten kan een organisatie ook doorberekenen in korten van winstuitkering en andere interne bezuinigingen.

Verwijderd @rneeft • 9 februari 2021 17:45

Boetes gaan naar de belastinginkomsten. M.a.w. de klanten betalen dan minder belastingen. Door de sancties komt er een level playing field waardoor alle bedrijven zich uiteindelijk aan de regels houden en er geen oneerlijke concurrentie is. Er geen neerwaardse spiraal om ter goedkoopst met om ter hoogste winst met om ter minste beveiliging komt.

j-phone @Verwijderd • 10 februari 2021 02:25

Zolang de hoogte van de boete minder is dan de overtreding opbrengt is dat natuurlijk onzin. De pakkans is ook heel erg laag door de onderbezetting.

bbob

Privacy
Nederland
Politiek en recht

@rneeft • 9 februari 2021 17:51

Ach het is nog mooier. De overheid zelf is zo lek als een mandje, lees GGD lekken van gegevens als laatste voorbeeld. Boetes broekzak vestzak.

Begrijp me niet verkeer AP doet goede dingen maar als een overheid zelf zijn gang mag gaan en zich niet aan de wet hoeft te houden waarom moeten anderen dat dan wel. Zo krijg je toch het idee dat een AP erg selectief is in opdracht van onze overheid.

Verwijderd @bbob • 9 februari 2021 17:53

De AP controleert ook de (andere) overheidsinstellingen. Dus ik zie geen tegenstelling.

bbob

Privacy
Nederland
Politiek en recht

@Verwijderd • 9 februari 2021 17:56

De AP kan idd de overheid controleren. Maar wat gebeurt er in de praktijk als de overheid zich niet aan de wet houdt. Belastingdienst die al jaren niet aan de wetgeving voldoet, oeps over overheid maakt uitzonderingen.
Krijgt de GGD nu een dikke boete omdat er een lek zit waarbij privacy gevoelige informatie verkocht is.

Niets mis met een aP maar laat onze overheid en semioverheden nu eerst zelf eens voldoen aan al die wetgeving.

Verwijderd @bbob • 9 februari 2021 17:59

De AP kan enkel de inbreuk vaststellen (en een klacht indienen). Het is aan de onafhankelijke rechtbank(en) om daarna een overheidsdienst zoals de belastingdienst op de vingers te tikken.

j-phone @Verwijderd • 10 februari 2021 02:27

Moet er wel iemand zijn met (erg) diepe zakken die de zaak aanhangig maakt.

Jazco2nd 9 februari 2021 17:45

Ik word moe van dit soort berichten.
Toen ik paar maanden geleden een baan zocht, was UWV zelfs bereid een opleiding op dit gebied te vergoeden zodat ik op 1 van de "vele" vacatures van de overheid/het AP kon reageren.

De grap is dat er nul punt nul vacatures online staan bij deze tent.

https://autoriteitpersoon...toriteit-persoonsgegevens

Vacatures

De Autoriteit Persoonsgegevens heeft op dit moment geen vacatures.

!!!! en dan durven ze dit bericht weer uit te brengen!

Tot enkele weken geleden stonden er maandenlang vrijwel geen data/privacy protection rollen op mijnoverheid.nl, terwijl er om de haverklap in de media door politica werd geroepen dat ze honderden tekort komen..

je gaat je toch schamen voor je eigen volksvertegenwoordigers..

[Reactie gewijzigd door Jazco2nd op 24 juli 2024 23:29]

Mmore @Jazco2nd • 9 februari 2021 18:13

Dat staat er toch? Het AP heeft in haar formaat/budget geen ruimte om extra mensen aan te nemen, die ze wel graag willen hebben. Dit kan pas veranderen als er vanuit de politiek middelen worden toegekend. Direct uit artikel:

Nu heeft de AP nog 184fte, wat volgens onderzoek van het ministerie van Justitie en Veiligheid niet genoeg is om alle taken in de toekomst goed uit te kunnen voeren. Met 470fte zou dat wel het geval zijn, schrijven de indieners van de motie.

Met de motie is een signaal afgegeven dat er meer geld hiernaartoe moet komen, wanneer dat rond is dan zal je vanzelf wel allerlei vacatures gaan zien verschijnen bij het AP.

Overigens staan er op werkenvoornederland.nl vrijwel altijd vacatures open voor privacy gerelateerde functies.

Jazco2nd @Mmore • 9 februari 2021 18:17

Dit bericht staat niet op zichzelf. Er zijn meerdere soortgelijke berichten geweest dat ze zoeken naar mensen, nu gaat het er slechts om dat er nog meer budget voor vrijkomt om aan hun wens te voldoen. Voor komende financiële periode.

En nee, zeer zeker niet. Zelfs op die site stond maandenlang niks relevants, en maar berichten uitsturen dat ze zoeken. Ik was niet de enige die me hierover verbaasde. Het werkgeversbedrijf van UWV sprak in meerdere gesprekken haar schaamte uit.

Mmore @Jazco2nd • 9 februari 2021 18:27

Dit bericht staat niet op zichzelf. Er zijn meerdere soortgelijke berichten geweest dat ze zoeken naar mensen, nu gaat het er slechts om dat er nog meer budget voor vrijkomt om aan hun wens te voldoen. Voor komende financiële periode.

Ze zijn ook zeker aan het zoeken (geweest) naar medewerkers. Uit het jaarverslag van 2019 blijkt dat de AP 45 mensen heeft aangenomen, het jaar daarvoor 64. Op een totaal aantal medewerkers van 191 vind ik dat best veel.

En nee, zeer zeker niet. Zelfs op die site stond maandenlang niks relevants, en maar berichten uitsturen dat ze zoeken. Ik was niet de enige die me hierover verbaasde. Het werkgeversbedrijf van UWV sprak in meerdere gesprekken haar schaamte uit.

Dit klopt (als iemand die regelmatig de vacatures in dit vakgebied volgt) niet. Maar het is wel zo dat de Rijksoverheid met name mensen zoekt met een hogere opleiding als het over privacy gaat. Vaak mensen met een juridische achtergrond. Misschien dat je daarom weinig voorbij ziet komen?

Ook bij het UWV zelf zie ik bijna maandelijks wel een vacature voorbij komen op dit vlak.

Er staan er zelfs 2 open nu

https://www.uwv.nl/werken...v/vacature.aspx?id=145341
https://www.uwv.nl/werken...v/vacature.aspx?id=143981

Jazco2nd @Mmore • 9 februari 2021 18:43

Ik kan je alleen mijn ervaring vertellen en het feit dat er 3 maanden niet 1 vacature zichtbaar was, EN dat meerdere mensen die hierachter zitten zich hierover verbaasden.
Mijn opleiding en achtergrond was het probleem echt niet, dat kan ook niet een probleem vormen, als je nog nieteens iets hebt (bij deze partijen dan) om op te reageren.

Uiteindelijk is het met mij heel goed gekomen en ben ik blij dat ik niet bij een overheidsinstantie ben geland.

MSteverink @Jazco2nd • 9 februari 2021 18:12

Over welke volksvertegenwoordigers heb je het nu?

Groningerkoek @Jazco2nd • 9 februari 2021 18:13

Misschien een keer iemand met een vooruitziende blik aldaar, neem aan dat de opleiding ook niet in een weekje klaar zou zijn?

Jazco2nd @Groningerkoek • 9 februari 2021 18:18

Jawel, als je de kennis en ervaring allang hebt is het examen voor certificering zo gepiept.

Kapiteiniglo @Jazco2nd • 9 februari 2021 19:25

Vraag is wel of je bij een toezichthouder mensen moet willen die slechts een cursus(je) gedaan hebben.

B_FORCE @bbob • 9 februari 2021 18:04

Helemaal mee eens.

Het feit dat men het al heeft over "zieltjes winnen" zegt al genoeg.
Het gaat er inmiddels om wie als "marktkoopman" het hardste kan roepen om zo z'n broodjes te kunnen verkopen.
Er worden allerlei dingen en oplossingen geroepen die nergens echt op gebaseerd zijn, laat staan op gedegen wetenschappelijk onderzoek.
Dit is helaas politiek breed, enkel een paar dappere kleine partijen proberen dat te doorbreken, helaas ook zonder succes.

bbob

Privacy
Nederland
Politiek en recht

@B_FORCE • 10 februari 2021 08:56

Let maar op dat je ook geen - krijgt van de zieltjes die nog in sprookjes geloven.

Zomaareenmening 9 februari 2021 18:02

Ze kunnen die Fte's beter gebruiken om bedrijven te adviseren en te helpen met de beveiliging..

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@Zomaareenmening • 9 februari 2021 18:18

De toezichthouder heet niet voor niets zo. Het is vanuit de wet dat bedrijven vooral zelf vrijheid hebben hoe aan de wet te voldoen en aan de toezichthouder om te controleren. Dat er veel valt te leren ben ik met je eens, maar gezien het aantal meldingen lijkt het er niet op dat bedrijven genoeg bereid zijn om te leren. Daar hadden ze overigens al sinds de vorige eeuw de mogelijkheid voor, want toen bestond er ook al wetgeving dat je voldoende maatregelen hoort te nemen. De wet is stenger geworden omdat te veel organisaties te weinig doen en te weinig lering trekken uit gevolgen.

pizzafried @kodak • 9 februari 2021 20:05

idd, ik zie wel een gat in de markt. een adviesbureau die bedrijven helpt hun beveiliging...ow wacht...

Zomaareenmening @kodak • 10 februari 2021 01:31

Ja waarschijnlijk is het een utopie om te denken dat het beter zou zijn dat de toezichthouder naast te functie van controleren ook de plicht krijgt om mede eigenaar van het probleem en de oplossing te worden.

En dat ze dan afgetikt worden op de resultaten die ze bereikt hebben. Want boetes opleggen zegt mij niks.

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@Zomaareenmening • 10 februari 2021 10:59

Het doel van de wet en de toezichthouder is niet om boetes uit te delen maar dat het een negatief gevolg voor de overtreder is zodat die extra duidelijk heeft dat een datalek ongewenst is en er meer verantwoordelijkheid voor neemt. Van een boete krijgt een organisatie niet spontaan kennis, maar zoals al meerdere keren aangegeven zijn daar genoeg oplossingen voor. Verantwoordelijkheid nemen is ook zorgen dat je voldoende kennis krijgt.

Deleon78 9 februari 2021 17:36

Nu nog vacatures plaatsen! Al tijdje af en toe aan het kijken

demonite @Deleon78 • 9 februari 2021 17:36

Na de verkiezingen pas, als ik de laatste zin vh artikel goed heb gelezen.

Harrij 9 februari 2021 18:52

Ach, Privacy en datalekken.... keer een willekeurige papier-kliko op de verzamelplaats om en je hebt heel iemands hebben en houden bij elkaar. Alle data, BSN nummers, banknummers blabla.....ik ken niemand die elke brief door de shredder gooit. Ook niet de meest fanatieke privacy aanhangers onder ons.

struukkel 9 februari 2021 20:11

Relevant lijkt me dat de Tweede Kamer hier niet voor eerst over aan de bel trekt. Zie bijvoorbeeld deze motie uit november. Met alle incidenten bij de GGD-GHOR is de urgentie genoeg duidelijk gemaakt, dus hopelijk luistert het (nieuwe) kabinet hier naar.

[Reactie gewijzigd door struukkel op 24 juli 2024 23:29]

Morrigun99 9 februari 2021 20:19

Ongetwijfeld omdat het als voorbeeld wordt genoemd, wordt er nu wel heel erg ingezoomd op datalekken. Terwijl in mijn ogen de Autoriteit Persoonsgegevens toe moet naar het volwassen DNB/AFM-model waarbij er naast reactief toezicht (klachten, datalekken, reacties in/op media) ook een sterke focus op proactief toezicht komt. Denk aan: (doorvertaling) van richtlijnen (van de EDPB), casuïstiek benadering, advisering, etc. En dus wellicht ook op het gebied van advisering over bedrijfsbeveiliging (bijvoorbeeld aan de hand van art. 32 AVG).
Bovendien dient er m.i. ook een hybride vorm te worden bedacht om samen te werken met de andere autoriteiten, daar privacy álle markten tot in de haarvaten raakt. Wat je nu o.a. al ziet in de samenwerking DNB/AFM/ACM op specifieke thema's.

Ik begrijp dat nu het budget & de inspanning worden gezet op het onder controle krijgen van haar kerntaken, maar de stip op de horizon komt door een motie als deze natuurlijk ook weer een (klein) stapje dichterbij.

AtlAntA 10 februari 2021 07:31

Waar kan ik solliciteren?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (99)

Sorteer op:

Weergave: