Autoriteit Persoonsgegevens verbetert meldformulier datalekken

De Autoriteit Persoonsgegevens verbetert zijn formulier voor het melden van datalekken. Het wordt onder andere mogelijk om voortgang op te slaan. Het formulier is komend weekend tijdelijk offline, waardoor datalekken mogelijk met vertraging worden gemeld.

Formulier meldloket datalekken — Het huidige meldformulier

De mogelijkheid om tussentijds de voortgang op te slaan moet het melden van datalekken makkelijker maken, schrijft de Autoriteit Persoonsgegevens. Volgens de toezichthouder krijgt het nieuwe meldformulier 'een aantal verbeteringen'. Instanties die een lek melden kunnen ook eenvoudiger hun eerdere melding aanvullen.

Het nieuwe formulier is vanaf maandag 10 mei om 10:00 uur beschikbaar. Vanaf vrijdag 7 mei om 9:00 uur gaat het oude formulier offline en worden de vernieuwingen doorgevoerd. Gedurende het weekend kunnen er dus geen datalekken worden gemeld.

Volgens de meldplicht datalekken moeten bedrijven en overheden uiterlijk binnen 72 uur een melding doen bij de AP als er een datalek heeft plaatsgevonden. De toezichthouder zegt rekening te houden met mogelijke vertraging door de werkzaamheden. Organisaties die een datalek tussen 7 en 10 mei hadden moeten melden volgens de regels, mogen dat uiterlijk tot 14 mei doen.

IT-banen

Reacties (29)

ThaStealth 4 mei 2021 21:24

Leuk dat ze het formulier updaten en het zal zeker wat werk besparen, blijft erbij dat AP een tandeloze tijger is omdat ze gewoon de mankracht niet hebben om actief op te treden

Mastofun @ThaStealth • 4 mei 2021 21:48

en de meeste bedrijven de mankracht niet hebben om het in te vullen

mjtdevries @Mastofun • 5 mei 2021 15:00

Hoezo niet? Dat is een vanzelfsprekend setje vragen dat je in moet vullen.
Dat kost de mankracht niet, want je hoeft het alleen bij datalekken in te vullen waarbij je de kans aanzienlijk acht dat er schade is voor de data subjects.

Wat wel mankracht kost, is om andere datalekken in je organisatie waarbij die kans op schade zeer gering is, netjes te documenteren en op te slaan in je eigen systemen.

Toff @ThaStealth • 4 mei 2021 23:05

Tandenloos?
Over het nut van het beboeten van een overheidsinstantie kan men twisten, maar € 6 ton is toch een flinke hap (pun intended) uit de gemeentebegroting: https://nos.nl/artikel/23...euro-vanwege-wifitracking

Mastofun @Toff • 5 mei 2021 15:46

aan 160.000 inwoners is dat 3,75 euro extra belastingen

metalmania_666

4 mei 2021 21:45

Werd tijd dat ze het formulier aanpasten.
1 x een datalek moeten melden, maar om een latere aanvulling te doen, moest het hele formulier opnieuw worden ingevuld.
Toen maar naar de AP gebeld om te zeggen dat dat belachelijk was en dat ik wel wat beters te doen had.
Mocht uiteindelijk de wijziging telefonisch doorgeven bij uitzondering

mjtdevries @metalmania_666 • 5 mei 2021 15:04

Met dat bellen ben je meer tijd kwijt dan die gegevens even opnieuw invullen. (die had je uiteraard ook in je eigen administratie opgeslagen dus dat kost je dan 3 minuten)
Wel onhandig natuurlijk en voor verbetering vatbaar.

metalmania_666

@mjtdevries • 5 mei 2021 18:35

Ik had meteen contact. Voor de FG's is een ander telefoonnummer

mjtdevries @metalmania_666 • 5 mei 2021 18:36

En binnen 2 minuten had je de toezegging dat je de wijziging telefonisch kon doorgeven zodat je 1 minuut van je kostbare werktijd gewonnen had?

Dutchredgaming 4 mei 2021 19:20

Kunnen Tweakers-gebruikers gelijk melding maken over de cookiewall van Tweakers

Floort

Privacy
Autoriteit Persoonsgegevens

@Dutchredgaming • 4 mei 2021 20:12

Dit is niet het formulier om een klacht in te dienen maar het formulier waarmee verantwoordelijken een inbreuk op de beveiliging moeten melden.

jaenster

@Dutchredgaming • 4 mei 2021 19:50

Klinkt alsof je vooral meepraat met andere; weetje wat er exact mis is met de cookiewall van tweakers?

Volgens mij zijn er ergere dingen te melden dan een pagina waar niemand op zit te wachten.

Heedless @jaenster • 5 mei 2021 08:53

Yep:

Mag ik als organisatie een cookiewall gebruiken?

Nee, dat mag niet. Op grond van de Algemene verordening gegevensbescherming (AVG) is een cookiewall (cookiemuur) niet toegestaan. Dat komt omdat u met een cookiewall géén geldige toestemming kunt krijgen van uw bezoekers of gebruikers voor het plaatsen van tracking cookies.

Link

Of hier een achtergrondartikel van Tweakers zelf.

(Maar er zijn inderdaad dringerende zaken voor het AP wat mij betreft)

[Reactie gewijzigd door Heedless op 25 juli 2024 00:50]

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
Datalek

4 mei 2021 20:58

Wat een teken van de tijd, dit artikel. Dat er een halve pagina kan worden volgeschreven over een routine-update aan de website van een overheidsinstantie zegt iets over wat voor een rol data, datalekken en de AP in ons leven zijn gaan spelen. Ik weet niet of ik er van moet lachen of huilen, laat ik het eerste dus maar doen.

WouterL @CAPSLOCK2000 • 5 mei 2021 01:24

als iemand die voor mijn werk dit formulier daadwerkelijk moet gebruiken: het was daadwerkelijk ook om te huilen hoe slecht. Ik wacht met smart het nieuwe formulier af....

mjtdevries @WouterL • 5 mei 2021 14:58

Welk gedeelte vond je dan zo dramatisch slecht?
Het was een vrij 'recht toe recht aan' vragenlijst.

WouterL @mjtdevries • 5 mei 2021 15:00

Bijvoorbeeld het gedeelte waar je de gehele melding aan betrokkene in kwijt moet. Dit is beperkt in aantal tekens.

Zomaareenmening @CAPSLOCK2000 • 5 mei 2021 00:24

Bedoel je dat het hier als nieuwe gebracht wordt? of dat het zelfs al nieuws is dat men die pagina aangepast heeft.

Ik dacht gelijk eigenlijk meer aan bv de wetgeving waarbij banken hun rol als poortwachter van ons financiële stelsel niet nakomen. Zoals bv witwassen dat uit de Wwft voortvloeit. Vele jaren nalatigheid.
Zou aanpassen van zo'n formuliertje dan nu echt iets toevoegen ?

HaterFrame

@cracking cloud • 4 mei 2021 17:47

De hele backend zal veranderen en aangepast moeten worden. Das wel even iets meer dan alleen een formulier wijzigen. Beter ruim de tijd nemen dan een niet functionerend formulier.

ro4sho @HaterFrame • 4 mei 2021 17:53

Zou verwachten dat daarvoor het oude formulier niet zo lang offline moet. Je heb toch gewoon een otap straat voor zoiets?

cracking cloud @ro4sho • 4 mei 2021 18:12

Dat had ik ook verwacht van een organisatie als de AP, maar als ze te weinig geld krijgen voor voldoende personeel zullen ze ook wel gekort worden op IT budget.

ro4sho @cracking cloud • 4 mei 2021 18:14

Ja dat zal het wel zijn. Toch lijkt het me juist dan van belang dan je zoveel als mogelijk automatiseert. Met open source tooling kom je een heel eind.

batjes @ro4sho • 4 mei 2021 18:17

Binnen de overheid werken ze met OTAP, maar soms blijft het nodig om downtime in te plannen om de uitrol naar productie goed te testen en soepel te laten verlopen. Je wilt ook geen gare edge cases veroorzaken doordat mensen de bende blijven gebruiken terwijl je het aan het omzetten bent. Dus enige downtime is sowieso wel een aanrader bij major changes.

Je kan wel een paar uurtjes pakken, maar als je tegen problemen aanloopt mag je de bende gaan rollbacken en het op een later tijdstip weer proberen. Door gewoon een weekend te pakken, geef je iedereen ook wat extra tijd om eventuele problemen nog even te verhelpen zonder dat je daar veel gebruikers mee in de weg zit. Beter in 1 weekend meteen goed doen.

Raventhorn @ro4sho • 4 mei 2021 18:19

Ik vermoed dat dit niet 1 enkel systeem is dat bijgewerkt moet worden, maar dat er meerdere systemen bij gemoeid zijn. Dan gaat enkel een OTAP-straat je niet helpen met dat goed in productie krijgen; en het is ook niet altijd (goed) mogelijk dat met een A/B-omgeving te ondervangen. Het kan bijvoorbeeld ook zijn dat het de effort niet waard is (even offline gaan is bijv. veel goedkoper t.o.v de extra effort/kosten om goed over en weer te kunnen gaan), de migratie van bestaande data maar één kant op te doen is, of dat er systemen mee gemoeid zijn die niet in een A/B configuratie kunnen draaien.

Zonder de omgeving en het product zelf te kennen blijft het speculeren.

kimborntobewild @cracking cloud • 4 mei 2021 17:52

Zo'n formulier mag niet meer dan een paar MB zijn; dus zelfs vanaf floppy's moet het binnen een paar minuten kunnen. Het gaat dus niet om de grootte; er moet iets anders spelen. Ik wou zeggen: dat ze het eerst willen testen. Maar dat zou ik weer ergens offline verwachten, voordat men live gaat. Maar ik kan me voorstellen dat live toch weer net anders kan werken.

Joolee @cracking cloud • 4 mei 2021 18:03

Dit komt mij meer over alsof er een accuut probleem (lees security issue) is waarvoor het huidige formulier direct offline moet. Omdat er al een nieuw formulier in ontwikkeling was, brengen ze het maar als positief nieuws.

Raventhorn @Joolee • 4 mei 2021 18:12

Gezien het formulier pas vrijdag offline gaat, zal dát niet aan de hand zijn.

Ik vermoed eerder dat ze geen A/B-omgeving hebben (voor dit systeem, of één of meerdere afhankelijkheden die ook bijgewerkt moeten worden), en/of dat de database/backend wijzigingen ingrijpend zijn. Het kan ook simpelweg uit voorzorg zijn (zodat ze niks per ongeluk missen tijdens de upgrade), of omdat ze bijvoorbeeld ook gelijk updates meenemen van de infra zelf.

Zonder de omgeving en het product te kennen, blijft het echter bij speculeren en valt er weinig meer over te zeggen.

Floort

Privacy
Autoriteit Persoonsgegevens

@Joolee • 4 mei 2021 20:16

Dit is een nieuwe versie van het formulier. Recent zijn FG's gevraagd om de nieuwe versie te testen en feedback op te geven. Helaas bevat deze aankondiging geen vermelding van een API om meldingen automatisch door te zetten vanuit een intern incidentenregister. De huidige versie van het formulier kan soms wel een flink deel van een uur kosten om zorgvuldig in te vullen en organisaties die meerdere meldingen per dag of week moeten doen zouden daar erg veel aan hebbe.

Op dit item kan niet meer gereageerd worden.

Autoriteit Persoonsgegevens verbetert meldformulier datalekken

Lees meer

IT-banen

Reacties (29)

Sorteer op:

Weergave: