Hostingbedrijf Leaseweb weigert informatie over cyberaanval te delen met AP

Het Nederlandse hostingbedrijf Leaseweb werd afgelopen augustus doelwit van een cyberaanval, maar weigert sindsdien aanvullende informatie te delen met de Autoriteit Persoonsgegevens, blijkt uit een artikel van NRC. Veel details over het datalek zijn daarom nog onduidelijk.

De Autoriteit Persoonsgegevens heeft Leaseweb de afgelopen maanden meermaals om meer informatie gevraagd over het datalek, maar het hostingbedrijf zou belangrijke gegevens en documenten nog altijd niet gedeeld hebben. Ook Northwave, het Nederlandse beveiligingsbedrijf dat Leaseweb na de hack bijstond, weigert openheid van zaken te geven. Zo zijn beide partijen niet ingegaan op de verzoeken van de AP om het onderzoeksrapport te delen dat Northwave heeft opgesteld.

De toezichthouder besloot daarom om een last onder dwangsom aan Northwave op te leggen, om zo de gevraagde informatie af te dwingen. Een rechter heeft echter een streep gezet door die dwangsom, blijkt uit een vonnis dat deze week werd gepubliceerd. Hoewel het niet in het vonnis genoemd wordt, zegt NRC van eigen bronnen vernomen te hebben dat deze zaak om de cyberaanval bij Leaseweb draait. De gegevensbeschermingsautoriteit had eerst de druk bij het hostingsbedrijf zelf moeten opvoeren, luidt de conclusie. De rechter noemt het 'onverklaarbaar' dat de AP niet eerst een dwangsom aan Leaseweb heeft opgelegd.

Een woordvoerder van de Autoriteit Persoonsgegevens zegt tegen de krant dat de toezichthouder Leaseweb 'niet uit het oog' is verloren, maar wegens 'snelheid' probeerde om het onderzoeksrapport in eerste instantie van Northwave te krijgen. "Onze prioriteit is toegang tot informatie krijgen."

De cyberaanval vond eind augustus 2023 plaats. In een e-mail aan klanten schreef Leaseweb kort na de aanval dat er 'ongebruikelijke activiteit' werd vastgesteld 'binnen bepaalde gebieden van onze cloudomgeving', waardoor servers van 'een klein aantal cloudklanten' offline gingen. Ook werden enkele belangrijke systemen uitgeschakeld, waardoor delen van de klantportalen enkele uren niet bereikbaar waren. De precieze impact van de hack is echter niet duidelijk.

Het hostingbedrijf had het lek destijds wel gemeld aan de AP, maar deelde in de daaropvolgende maanden de gevraagde informatie en gegevens niet. De AP-woordvoerder noemt het prijzenswaardig dat het bedrijf het lek meldde, maar zegt verbaasd te zijn dat Leaseweb verder niet aan het onderzoek wil meewerken. "De impact van een datalek bij een partij als Leaseweb is alleen al vanwege de omvang van het bedrijf mogelijk groot." Volgens de autoriteit moet Leaseweb nu 'niet gek opkijken als we denken dat er informatie achtergehouden wordt'. "Het kan zijn dat er iets verborgen wordt, maar dat hoeft natuurlijk niet. Het maakt ons alleen maar nieuwsgieriger."

IT-banen

Reacties (120)

bmwgozer 6 april 2024 13:00

Het treurige aan dit verhaal is meer dat de rechter vervolgens niet belangrijk genoeg vind dat deze bedrijven openheid van zaken moet geven.

Nu zal er een procedure naar LW moeten, die weer maanden tot jaren kan duren. Vervolgens krijgen we dan misschien over twee jaar pas te horen wat er nou eigenlijk gebeurd is.

Ik vind de aanpak in deze van de AP eigenlijk wel goed. Je kan je taak als toezichthouder immers niet uitvoeren als je belemmerd wordt in de informatievoorziening.

anboni @bmwgozer • 6 april 2024 13:08

Toch snap ik het argument van de rechter wel. LW is opdrachtgever van het onderzoek en daarmee eigenaar van het rapport (en natuurlijk ook verantwoordelijk voor de correcte afhandeling). Als de AP inzage wil in dat rapport, moeten ze domweg starten bij LW en daar een last onder dwangsom aan opleggen. De aanpak van de AP is op zich prima, ze blaffen alleen tegen de verkeerde boom.

[Reactie gewijzigd door anboni op 22 juli 2024 13:55]

Aldy @anboni • 6 april 2024 13:28

De aanpak van de AP is op zich prima, ze blaffen alleen tegen de verkeerde boom.

Waarom heeft AP niet tegen beide bomen geblaft? In dezelfde procedure of via een aparte procedure.

oef! @Aldy • 6 april 2024 14:50

NW zal een geheimhoudingsclausule hebben die ze willen respecteren.

Doen ze dat niet dan vinden andere (potentiële) klanten daar ook iets van. Het hoofdargument blijft, zoals @anboni het aangeeft, dat LW de eigenaar van de rapportage is.

Floort

Autoriteit Persoonsgegevens
Privacy

@oef! • 6 april 2024 20:05

Een geheimhoudingsverklaring is irrelevant als een bestuursorgaan onder artikel 5:17 Awb inzage vorderd in bescheiden. Als dat zou werken zou ik iedereen geheimhoudingsverklaringen verkopen zodat ze nooit bewijs van hun eigen overtredingen hoeven te overhandigen.

Maar minder formeel heb je volgens mij een goed punt. Het zou voor de hand liggen om bedrijven die een beveiligingsbedrijf benaderen omdat ze in een benarde positie zitten niet aan te pakken via de hulp die ze gezocht hebben. Dat is analoog aan (maar niet hetzelfde als!) artsen of advocaten waarbij die bescherming ook in wetgeving is vastgelegd. Geheimhoudingsverklaring of niet, organisaties zouden zich veilig moeten voelen bij het benaderen van beveiligingsbedrijven. Dat zou de AP mee hebben moeten wegen met het signaal dat ze met deze actie geven. En ik ga er vanuit dat dat de gedachte is waarmee Northwave en kdvl dit voor de rechter hebben laten komen.

[Reactie gewijzigd door Floort op 22 juli 2024 13:55]

Termin8r @oef! • 7 april 2024 10:57

NW zal een geheimhoudingsclausule hebben die ze willen respecteren.

Toezichthouders hebben een wettelijke bevoegdheid om informatie te vorderen en degene van wie gevorderd wordt heeft een wettelijke plicht om aan de vordering te voldoen. Een NDA kan nooit de wet opzij zetten.

Aldy @oef! • 6 april 2024 15:09

Het gaat er mij voornamelijk om dat ze op twee paarden tegelijk hadden kunnen wedden. Dan was het nu niet nodig geweest om helemaal opnieuw te beginnen tegen LW. En dat NW niets zegt zonder gerechtelijk bevel is naar mijn mening helemaal terecht, zelfs zonder geheimhoudingsclausule. Ze zijn in eerste instantie helemaal geen partij in deze zaak.

cold_as_ijs @Aldy • 6 april 2024 17:29

Waarschijnlijk om jurisprudentie te creëren. Northwave of een ander bedrijf dat onderzoek doet heeft er minder belang bij om de boel onder de pet te houden. Leaseweb schijnbaar wel. Als AP direct de gegevens bij het bedrijf kan halen verwachten ze denk ik minder tegenstand, lees rechtszaken en dus minder kosten.

Zer0 @cold_as_ijs • 6 april 2024 18:23

Northwave of een ander bedrijf dat onderzoek doet heeft er minder belang bij om de boel onder de pet te houden.

Minder belang bij? Mogelijk contractbreuk, schenden van privacy, reputatie-schade... ik zie genoeg motivatie aan de kant van NW om niet zomaar toe te geven aan het AP.

Als AP direct de gegevens bij het bedrijf kan halen verwachten ze denk ik minder tegenstand, lees rechtszaken en dus minder kosten.

Klopt, daarom moeten ze ook bij het bedrijf in kwestie aankloppen, lees Leaseweb, niet een derde partij. Nu is er een extra, eigenlijk nutteloze, rechtszaak geweest, waar de belastingbetaler voor op draait.

cold_as_ijs @Zer0 • 6 april 2024 19:34

Maar als er jurisprudentie is kunnen ze claimen dat die voorwaarden in het contract niet rechtsgeldig is. Dus nu heeft Northwave reden om tegen te sputteren maar in toekomstige zaken kunnen ze zich er op beroepen dat ze wel wettelijk gezien moeten meewerken. Het lijkt mij ook meer een proefproces van het AP. Dus ja nú achteraf weggegooid geld, maar als ze wel gelijk hadden gekregen was het lange termijn een besparing geweest. Want nu traineert Leaseweb bewust de boel, met ook rechtzaken tot gevolg. Dat zal in toekomstige gevallen nu zo blijven, wat ook weer weggegooid belastinggeld betekent.

Zer0 @cold_as_ijs • 7 april 2024 06:20

maar als ze wel gelijk hadden gekregen was het lange termijn een besparing geweest.

Als ze gelijk hadden gekregen zou er flink wat mis gegaan zijn met ons rechtssysteem...
Het is natuurlijk zot dat als een partij de rechtsgang traineert, een derde partij aangeklaagd wordt op dat aan te pakken in plaats van dat men de trainerende partij aanpakt.

OruBLMsFrl @cold_as_ijs • 7 april 2024 00:53

Als Leaseweb dit verliest en uiteindelijk enorme boetes moet betalen en aanhoudend reputatieverlies lijdt, dan zullen volgende bedrijven niet meer zo snel die route kiezen toch?

Met een zaak ook richting LeaseWeb kan NorthWave ook nog iets druk terug zetten richting klant, dat het ook voor de klant toch een rechtzaak is. Nu krijg je achter de schermen natuurlijk NorthWave die zegt dit is niet fijn, en LeaseWeb die zegt houden jullie onze info niet vertrouwelijk dan? Als beiden een rechtzaak hadden lopen, dan had NorthWave ook in de toekomst zoiets als precedent kunnen aanvoeren naar andere klanten, dat als bij de klant een rechtzaak start, ze bij geen gehoor binnen een paar weken ook NorthWave en soortgelijke dienstverleners aanklagen voor info. Nu heeft de AP het op een vormfout verpest helaas, en dat zou toch eigenlijk niet mogen gebeuren bij een instelling die je juist voor dit soort zaken hebt...

NielsFL @cold_as_ijs • 6 april 2024 20:18

Het kan best zijn dat NW de informatie graag wilde delen en bij de AP hebben gesuggereerd een zaak te openen. Vrijwillig kan NW dat immers nooit doen: ze hebben contracten getekend en een reputatie hoog te houden.

massareal @Aldy • 6 april 2024 17:48

ze haden waarschijnlijk gehoopt op minder weerstand(dus de makkelijke weg) echter is dit dus nu enkel tijdverspilling(en geld) gebleken.

JBVisual @massareal • 6 april 2024 21:33

Dat LW zo slecht mee werkt verbaast mij behoorlijk.
In mijn ogen creëren ze bij mij als IT'er juist weerstand. Vroeger draaide al onze klanten op Lastpass, deze werden ook slachtoffer van een hack.

Nu is juist het feit dat Lastpass geen openheid van zaken gaf, en er steeds weer een beetje verzwegen informatie plots naar buiten kwam voor mij de reden om hier weg te gaan en alle klanten over te zetten naar een andere oplossing.
In mijn ogen kan elk bedrijf helaas slachtoffer worden van deze praktijken, alhoewel de reden waarom kan soms knullig zijn.
Maar juist door openheid van zaken te geven zeg je tegen mij "wij zijn mensen en maken fouten, we hebben geleerd van onze fout, en wij zullen ..... doen om dit in de toekomst te voorkomen"

Nu wil ik de oorzaak dus zeker niet goed praten, maar dat ik vooral geneigd ben om bedrijven die met de billen bloot durven te gaan sneller een 2e kans zal gunnen dan de bedrijven die informatie achter houden.

anboni @Aldy • 6 april 2024 13:35

Als ze tegen LW en NW hadden geblaft, hadden ze in ieder geval voor NW exact dezelfde reactie kunnen verwachten. Maar inderdaad, dat was slimmer geweest dan wat ze nu hebben geprobeerd.

Khan21 @anboni • 6 april 2024 15:32

Het is zelfs in de wet opgenomen. Je moet degene aanspreken die verantwoordelijk is en bij machte is om aan je verzoek te kunnen voldoen en dat is LW. Heel dom van AP. Dit weten namelijk eerstejaars rechtenstudenten ook. Heel dom!

[Reactie gewijzigd door Khan21 op 22 juli 2024 13:55]

turbojet80s @anboni • 6 april 2024 13:29

Je hebt helemaal gelijk. Hoe kan de AP dit niet zien aankomen? Misschien is het maar goed ook dat Leaseweb verder geen gegevens deelt aan een organisatie die zo'n stomme fouten maakt. Heeft de AP wel alles op orde? Wie controleert dat?

CH4OS

Datalek

@turbojet80s • 6 april 2024 14:00

De AP wilde weten wat de kaders zijn, nu is duidelijk dat die vrij strak staan en derde partijen pas aangesproken kunnen worden wanneer de eerste partij niet thuis geeft.

kodak

Datalek
Hack
Autoriteit Persoonsgegevens
Privacy
Politiek en recht

@CH4OS • 6 april 2024 14:13

Ik lees niet dat de toezichthouder dit deed om duidelijkheid te krijgen hoe ver ze mogen gaan. De enige verklaring die ik wel lees is dat ze tijd verwachtte te besparen door alleen aan de dienstverlener eisen te gaan stellen. Zonder duidelijk mee te wegen dat die niet zomaar verantwoordelijkheid naar de toezichthouder heeft en dus ook niet als poging tot hopen tijd te besparen. Daarbij is de wet al behoorlijk duidelijk bij wie de toezichthouder wel en vooral moet zijn. Dat is niet voor niets in de wet opgenomen, wat een toezichthouder hoort te weten. Men lijkt dus vooral de randen van de wet te overtreden en onnodig op te zoeken in de hoop er mee weg te komen, niet om nodige duidelijkheid te krijgen.

aikebah @bmwgozer • 6 april 2024 13:09

Het treurige aan dit verhaal is dat een rechter nodig is om de AP te zeggen dat de AP in de eerste plaats Leaseweb moet dwingen tot openheid van zaken geven en niet direct naar een ingehuurde partij moet stappen om die te proberen te dwingen informatie (ongetwijfeld verkregen onder een stricte NDA) over de systemen van Leaseweb op te hoesten. Leaseweb heeft alles wat Northwave heeft and then some... dus dat is de partij die de AP op de knieen hoort te dwingen. Niet een ingehuurde club die Leaseweb helpt bij het onderzoek.

Cergorach @aikebah • 6 april 2024 13:35

Northwave is natuurlijk een veel kleiner bedrijf dan Leaseweb, het AP dacht dat ze juridisch meer kans hadden bij een bedrijfje met potentieel minder diepe zakken, welke niet verspreid is over de halve wereld... Ansicht niet een slecht tactisch besluit, waren het niet dat het AP wat regeltjes vergat waar ze zich aan moeten houden...

AP: "Full house!"
Rechter/Northwave: "We're playing chess!"

NielsFL @Cergorach • 6 april 2024 20:30

Al was NW een eenmansbedrijfje. In een situatie als deze krijgen ze ongetwijfeld bijstand van Leaseweb.

Het is zo bijzonder naief van het AP dat ik vermoed dat NW om de zaak gevraagd heeft. Het is immers de enige manier om informatie over een klant te delen - mocht je dat om een of andere reden graag willen - zonder al je andere klanten af te schrikken.

xenn99 @NielsFL • 6 april 2024 21:43

Er is werkelijk geen enkele reden waarom NW dat zou doen.
Het is slecht voor hun naam het levert ze een hoop gedoe en kosten op en wat krijgen ze daar voor terug?
Juist.. helemaal niets.

CH4OS

Datalek

@aikebah • 6 april 2024 14:06

Door het via deze weg te doen is er jurisprudentie beschikbaar gekomen. Als dus iemand gaat klagen, heeft de AP nu dus een verwijzing waarom men doet zoals ze doen.

benme @CH4OS • 6 april 2024 15:46

Jurisprudentie lijkt mij niet nodig. De wet , waaronder avg, is hierin duidelijk genoeg.

CH4OS

Datalek

@benme • 6 april 2024 19:08

Blijkbaar niet duidelijk genoeg, anders had de AP ook wel gewoon de procedure gevolgd zoals zou moeten.

kimborntobewild @CH4OS • 7 april 2024 02:00

...anders had de AP ook wel gewoon de procedure gevolgd zoals zou moeten.

Ik denk eerder dat de onderbemanning bij AP de oorzaak is.

jongetje

@bmwgozer • 6 april 2024 13:05

Je kunt ook stemmen met je portemonnee en naar een provider gaan die wel openheid geeft.

Anoniem: 1796874 @jongetje • 6 april 2024 13:10

Je kunt ook stemmen met je portemonnee en naar een provider gaan die wel openheid geeft.

Dat slaat natuurlijk nergens op.
Het gaat er niet om, dat je als gebruiker iets anders kunt kiezen.
In mijn optiek worden hier opgelegde wetten/regels met voeten getreden en dat de rechter niet in het verzoek van de AP mee gaat geeft te denken.

[Reactie gewijzigd door Anoniem: 1796874 op 22 juli 2024 13:55]

CH4OS

Datalek

@Anoniem: 1796874 • 6 april 2024 14:04

Had de AP éérst LW aangeschreven en de dwangsom gegeven had er niets aan de hand geweest. De AP weet nu dus exact hoe te handelen een volgende keer.

[Reactie gewijzigd door CH4OS op 22 juli 2024 13:55]

Jerie

@jongetje • 6 april 2024 13:31

Dat kan, maar de 5 gebruikers die die moeite gaan doen zetten geen zoden aan de dijk.

Wat ik altijd raar vond bij LeaseWeb is die jaarlijkse verhogingen van ik meen 6% per jaar 'inflatiecorrectie'. Zou wat zijn als ieder bedrijf ieder jaar 'inflatiecorrectie' toe zou passen. Wat mij betreft wordt dat verboden. Het zijn immers gewoon verkapte prijsverhogingen voor vaste klanten die je eigenlijk zou moeten belonen dat ze vaste klant blijven. Terwijl nieuwe nog goedkopere/betere deals krijgen ook. Waarom, omdat het moeite (en geld) kost om te migreren en klanten het 'vergeten'.

Xiz @Jerie • 6 april 2024 13:35

In de zakelijke wereld past vrijwel elk bedrijf een jaarlijkse prijsverhoging toe, is heel normaal.

Jerie

@Xiz • 6 april 2024 13:40

In de zakelijke wereld past vrijwel elk bedrijf een jaarlijkse prijsverhoging toe, is heel normaal.

Onderbouw 'ns?

themadone @Jerie • 6 april 2024 14:16

Microsoft, Veeam, VMware, Google Adwords, Amazon aws.

Ik kan nog een hele tijd doorgaan, maar dit zijn even snel de partijen die de rekening toch echt dit jaar weer met paar % verhogen.

Dienstverleners, zelfde verhaal, alles wordt ieder jaar een klein beetje duurder.

Voordeel is, schulden worden door inflatie minder waard, dit is dan ook de rede dat er amper wordt ingegrepen totdat er zo ongeveer rellen dreigen te ontstaan.

Jerie

@themadone • 6 april 2024 15:21

Amerikaanse bedrijven dus, duidelijk.

Bij niet-Amerikaanse is het namelijk zeker niet 'heel normaal'.

Pasteis @Jerie • 6 april 2024 15:56

Amerikaanse bedrijven dus, duidelijk.

Bij niet-Amerikaanse is het namelijk zeker niet 'heel normaal'.

Jawel hoor! De Nederlandse dienstverleners die ik ken hebben dit gewoon in de overeenkomsten staan. Dat de organisaties niet altijd hem echt doorvoeren komt ook omdat het de samenwerkingsverband of concurrerende positie kan verliezen.

Aldy @Jerie • 6 april 2024 16:10

Ook. Afgelopen jaar op Tweater langsgekomen. Heel veel Nederlandse bedrijven die hun prijs verhoogd hebben, ook voor consumenten. Gewoon prijsindex.

cariolive23 @Jerie • 6 april 2024 16:36

Dan lees je blijkbaar niet de contracten die je ondertekend. Zoek maar eens op “index” in die contracten. Denk oa aan de huur, water, elektra, telefoon, internet, tv, sportvereniging, verzekeringen, etc. etc.

themadone @Jerie • 6 april 2024 17:22

Oh sorry, dan ga ik even verder.

De isp op kantoor, de accountant, de huur van het bedrijfspand, de mobiele abbos. De internetverbinding thuis en al het andere wat inmiddels ook al wordt toegevoegd door andere mensen.

sympa @Jerie • 6 april 2024 19:42

Alle bedrijven doen dit. Denk aan OnePlus met hun eerste telefoons met stuntprijzen. Of nieuwe winkels die zich als prijsvechter binnenwerken en daarna duurder worden.
En bij software, product X is goedkoop, maar zodra je er helemaal van afhankelijk bent geworden gaat de prijs omhoog.

Spykie @Jerie • 6 april 2024 22:05

Letterlijk alle Nederlands IT bedrijven doen dit.

Llopigat

Politiek en recht

@themadone • 7 april 2024 09:02

Microsoft, Veeam, VMware, Google Adwords, Amazon aws.

Hmmnee? Mijn zakelijk MS 365 is maar 1x duurder geworden in de laatste paar jaar. En dat was eigenlijk puur compensatie voor de teams regeling die was afgedwongen door de EU, 1 jaar later mocht Teams niet meer gebundeld worden en ging de prijs zonder teams (wat ik toch niet gebruik) weer terug naar ongeveer normaal (zelfs iets lager geloof ik).

Ook is mijn cloud provider niet duurder geworden de laatste 5 jaar.

jbhc @Jerie • 6 april 2024 16:09

Bij ons indexeren ook alle niet ict leveranciers jaarlijks dat is gewoon normaal en vaak zelfs vastgelegd in de contracten die er ziin afgesloten.

Antiloop @Xiz • 6 april 2024 14:29

Leaseweb doet dit ook bij lopende contracten, waar je bijv al op vooruitbetaald hebt en tussentijds dus

LA-384 @Jerie • 6 april 2024 13:37

Dat er een beter passend/onderbouwd percentage moet komen ben ik met je eens, maar afschaffen?
Ben je dan ook voorstander om de indexatie van je salaris af te schaffen? Of verhoging van periodiek zonder dat er een relevante prestatie voor geleverd is?

Jerie

@LA-384 • 6 april 2024 13:47

Bij mijn vorige werkgever ging dat gewoon middels CAO. En om nou te zeggen dat dat goed meebewoog met inflatie? Bij de gascrisis van 2022 had je dan net geluk of pech moeten hebben.

Periodiek is op basis van meer werkervaring, en zorgt er voor dat een werknemer is genegen om te blijven. Al werkt die stimulans tegenwoordig niet meer zo goed

Waar ik mee zit is dat het eigenlijk verkapte prijsverhogingen zijn die niet in relatie staan tot de inflatie. Daarnaast moet je mensen gewoon de keus geven om op te zeggen. Want als jij als bedrijf het minder breed hebt door inflatie, dan bestaat de kans dat je klanten daar ook last van hebben.

HarmJan1990 @Jerie • 6 april 2024 15:48

Welke provider gebruik je nu dan?

Frame164 @jongetje • 6 april 2024 16:12

Dan kan je alleen naar providers gaan die dit als eens getroffen zijn door zo'n aanval en aantoonbaar aan alle daarbij behorende regels hebben voldaan. Providers die nog nooit zijn aangevallen kan je dan in principe niet kiezen. Je weet immers niet of zij openheid van zaken geven als het nodig is.

wiseger @bmwgozer • 6 april 2024 13:27

Dat is niet treurig. We leven in een rechtstaat en de wetgever moet de zaken juridisch gewoon goed regelen.

De wetgever heeft dat niet gedaan waardoor de AP gaat freewheelen. Men moet bij Leaseweb zijn maar dreigt een andere partij, de cyber security firma Northwave die haar klant Leaseweb hielp met het onderzoek maar die zelf niets met de hosting van doen had, met hoge boetes om zo meer snelheid te verkrijgen. Daar is echter geen wettelijke basis voor, men verzint het ter plekke. En dan wordt men dus terug gefloten door de rechter.

De wetgever zal de wet moeten aanpassen dat in het geval van een cyberaanval de AP elk willekeurig bedrijf dat werkt voor het bedrijf dat aangevallen werd, een informatie plicht jegens de AP heeft indien men daar om vraagt en dat non-disclosure agreements in dat soort gevallen ongeldig zijn.

Want dat is waar de schoen wringt, Northwave kan niet zomaar informatie aan de AP verschaft omdat men een non-disclosure contract heeft met Leaseweb.

n4m3l355 @wiseger • 6 april 2024 14:02

Dat is niet wat het artikel zegt, het artikel geeft aan dat AP bij Leaseweb als eerste had moeten aankloppen. Dat wilt nog niet zeggen dat er geen wettelijke basis is noch dat het AP achteraf ook bij Northwave had kunnen aankloppen. Een NDA staat hier los van, als men wettelijk die data had moeten delen (dat is hier niet duidelijk) is een NDA non-binding.

Wat voor mij bijzonder is dat AP buiten dat ze de verkeerde volgorde hebben uitgevoerd, niet echt tanden heeft. Het is toch raar dat een autoriteit hier een beetje met de handjes staat te wapperen.

xxs @bmwgozer • 6 april 2024 13:11

Dat is niet wat de rechter zegt, AP moet eerst op de juiste plaatsen druk zetten en dat is bij LW. Volkomen juist m.i.

Newbey @bmwgozer • 6 april 2024 13:21

De rechter reageert niet vanuit onderbuikgevoel maar de wettelijke regels.

Cergorach @bmwgozer • 6 april 2024 13:30

Het treurige aan dit verhaal is meer dat de rechter vervolgens niet belangrijk genoeg vind dat deze bedrijven openheid van zaken moet geven.

De regels waar het AP zich van bedient volgen bepaalde procedures, het zou zomaar kunnen dat een derde partij daar niet aan mee hoeft te werken als daar niets is gehackt. Het AP had diens eigen regels gewoon correct moeten volgen en gewoon ook veel sneller. Alles wat hier mis is gegaan ligt bij Leaseweb en het AP wat niet correct diens functie vervult.

kodak

Datalek
Hack
Autoriteit Persoonsgegevens
Privacy
Politiek en recht

@bmwgozer • 6 april 2024 13:35

De rechter maakt juist duidelijk dat de toezichthouder al naar de overtreder zelf een procedure had kunnen starten en dat ook hoort te doen. We kunnen het een rechter niet kwalijk gaan namen dat de toezichthouder zich niet aan de bedoeling van de wet probeert te houden. En ook niet dat de toezichthouder het zichzelf makkelijker proberen te maken voor extra (onwettige) problemen zorgt.

Dat het lang kan duren dat een bedrijf mee werkt (of duidelijk is tot hoever een bedrijf daarin kan gaan) is nu eenmaal een kenmerk bij handhaving. Willen we dat een bedrijf mee werkt dan zal de wetgever duidelijker moeten zijn voor details en bevoegdheid, of de toezichthouder strenger naar het bedrijf zelf. En dat lijkt hier niet het geval. De rechter kan dan niet zomaar meer en breder eisen gaan toestaan die verantwoordelijkheid verbreden en verschuiven buiten de wet.

[Reactie gewijzigd door kodak op 22 juli 2024 13:55]

jochemd @bmwgozer • 6 april 2024 13:43

Ik vind de aanpak in deze van de AP eigenlijk wel goed.

Het is een zwaktebod van de AP. De AP vermoedt dat Leaseweb de AVG overtreedt, de AP dreigt Leaseweb met een dwangsom, maar als puntje bij paaltje komt dan zet de AP niet door en legt geen dwangsom op en voert geen dawn raid uit, maar geeft toe en gaat achter een andere partij aan die misschien informatie heeft, maar zeker nergens van verdacht wordt.

Je hebt als derde partij meer te vrezen van de AP dan als verdachte.

Het past helaas in een patroon waarbij de AP steeds opnieuw het signaal afgeeft dat het tegenwerken van onderzoek en handhaving loont:

onderzoeken die worden afgesloten met een besluit waarin staat "omdat XXX niet antwoord kan dit niet vastgesteld worden" of woorden van vergeliojkbare strekking en dat vervolgens naar XXX sturen
besluiten waarin staat "een overtreding kan alleen vastgesteld worden als XXX hierover verklaard", maar aangezien er zwijgrecht bestaat kan dat niet afgedwongen worden (volgens deze interpretatie van de AP is dus AVG artikel 28 en AVG artikel 46 uberhaupt nooit handhaafbaar)
omdat er tweemaal een voorlopige voorziening is toegewezen tegen publicatie van een bedrijfsnaam (waarvan 1 op procedurele grond) maakt de AP berispingen in het geheel niet meer openbaar, want ze wil geen procedures hiervoor voeren bij de rechter (maar bij een WOO verzoek is een procedure voeren voor de rechter over die zelfde uitspraken geen enkel probleem)

R4gnax

Autoriteit Persoonsgegevens
Datalek
Privacy
Politiek en recht

@jochemd • 6 april 2024 15:03

Dus sowieso tijd voor een herziening van de AVG met een toevoeging die het onmogelijk maakt om een voorziening te treffen die het uit het publieke oog houden van de naam van een getroffen bedrijf betreft.

Jammer voor je reputatie, maar als je het proces anders actief tegen had gewerkt - dan hoort je reputatie misschien ook wel aan barrels geschoten te worden.

Aiii @bmwgozer • 6 april 2024 13:48

De rechter doet uitspraak in de zaak die voor hem ligt. Dat was de zaak “is deze dwangsom terecht ja of nee” en niets anders. Daar heeft de rechter een uitspraak in gedaan.

Wat de rechter vervolgens vindt van het wel of niet geven van openheid door Leaseweb staat daar los van, en heeft deze rechter ook verder niets over te zeggen. Als het AP dat door een rechter wil laten toetsen, nadat ze een dwangsom hebben opgelegd aan de juiste partij, dan kan dat op dat moment natuurlijk altijd nog.

Het AP moet procedureel werken volgens de juiste methode. Je kan een toezichthouder immers niet vrij spel geven, dan zitten ze straks dwangsommen op te leggen aan een ieder die een keer (ook geheel terecht) nee aan ze verkoopt. Dat moet je niet willen.

deadlock2k @bmwgozer • 6 april 2024 15:48

Het treurige aan dit verhaal is meer dat de rechter vervolgens niet belangrijk genoeg vind dat deze bedrijven openheid van zaken moet geven.

Dat heeft de rechter helemaal niet beoordeeld dus die conclusie kan je niet trekken.

Regels en wetgeving zijn er ook om burgers en bedrijven te beschermen tegen een overheid die maar wat doet.

FrankoNL @bmwgozer • 6 april 2024 16:31

De rechter “vindt” niks. Die is, grotendeels, leidelijk. Die past de specifiek casus toe op het wettelijk kader en komt vervolgens tot de conclusie dat de AP niet de juiste stappen doorloopt.

Het zou wat zijn als de rechter bepaalde zaken, of het niet voldoen aan de wettelijke eisen, aan de kant zouden kunnen schuiven omdat hij iets belangrijk vindt.

m_snel @bmwgozer • 6 april 2024 20:36

Het treurige is dat u wil dat de rechter een derde moet verdedigen die werkelijk niks hoeft te melden. En dat u dus een voorstander bent van een soort rechtspraak waarbij u verantwoordelijk wordt gehouden voor de acties van uw buren. Allen omdat u ze toevallig geholpen heeft tegen onrecht.

Rob Coops @bmwgozer • 7 april 2024 00:15

Sorry maar als de rechter dit had toegestaan dan had deze een gevaarlijk precedent geschept.

Het zou inhouden dat een externe partij die op jouw verzoek onderzoek doet naar een incident een gevaar vormt voor je bedrijf en haar goede naam. Laten we voor de grap eens aan nemen dat je een persoon verdenkt maar omdat ze onderdeel zijn van het security team dat het onderzoek uit zou voeren kun je het onderzoek niet intern uitvoeren. Dus je huurt een externe partij in en het blijkt dat het niet alleen een persoon in security was maar dat het dieper gaat en dat er ook een persoon van je management team bij betrokken was. Gelukkig hebben ze nog geen data gestolen en is er dus geen reden om iets aan het AP te melden. De personen die nog geen misdaad hebben gepleegd worden aan de kant gezet en er is geen reputatie schade voor je bedrijf.
Maar wacht het AP wil dat rapport hebben, nee er was niets mis jullie hebben geen reden om dat rapport in te zien. Dat gelooft het AP niet en zij blijven door zeuren. Nee, er was niets mis geen rapport voor de vrienden van het AP.
Aha, het AP dwingt nu de onderzoeker die je hebt ingehuurd om een rapport te overhandigen dat ze op jouw verzoek hebben opgesteld en de rechter vind dat een goed idee. Dit terwijl je een geheimhoudingsovereenkomst hebt met de derde partij ze mogen volgens het contract deze informatie helemaal niet met andere partijen delen.

Dat houd in dat de overheid het recht krijgt willekeurige delen van een contract tussen twee partijen te negeren en simpel weg te eisen dat een van de twee partijen contract breuk pleegt omdat de overheid graag in rapporten wil neuzen waar ze volgens de letter van de wet geen recht op hebben. Als ik als bedrijf zeg er was geen lek er is niets te zien en er is ook helemaal niets dat op een lek wijst want geen data dumps aan geboden geen publieke afpersing geen grote piek in de hoeveelheid fraude die toevallig mijn klanten raakt. Waarom zou het AP dan documenten in moeten kunnen zien waar ze helemaal niets mee te maken hebben.

Ik snap het wel waarschijnlijk is er iemand binnen het AP of binnen de hand die het AP voed niet blij met Leaseweb en poogt men op deze manier bijvoorbeeld sterker te staan in onderhandelingen of een argument te hebben om de overheid voor een andere partij te laten kiezen bij een grote aanbesteding etc... Men begreep heel goed dat men dit niet ging winnen van Leaseweb in een rechtszaal omdat men dan simpel weg had moeten bewijzen dat er een lek was. Bij de externe partij die niet mag spreken over de inhoud van het onderzoeksrapport is dat niet het geval zij kunnen zich niet verweren met het argument dat het AP helemaal geen recht heeft op het document omdat er geen lek gevonden was, dat is immers een deel van de inhoud van het rapport. Dus men hoopte dat men op deze manier toch aan het rapport kon komen. Helaas voor het AP was de rechter slim genoeg om te zeggen nou nee zo werkt dat niet in een beschaafd land als je iets van iemand wil hebben dat moet je dat met de eigenaar regelen niet met de schoonmaker die toevallig ook toegang heeft tot het geen jij wil hebben.

Ik vraag me heel erg af wat de motivatie van het AP is. Als men claimt dat er een lek was dan zal men dat toch echt moeten bewijzen. Je kunt niet gewoon maar van ieder bedrijf eisen dat ze alle rapporten die door een externe partij zijn opgesteld overhandigen omdat die externe partij misschien wel een lek gevonden zou kunnen hebben.

Tomatoman @bmwgozer • 7 april 2024 21:21

De rechtbank heeft de kwalificatie ‘onverklaarbaar’ gebruikt om aan te geven dat de Autoriteit Persoonsgegevens de verkeerde partij onder druk heeft proberen te zetten. Als een rechtbank zo’n term gebruikt is dat geen tik op de vingers, maar een knock-out – het is de manier waarop de rechtbank zegt dat de AP er een puinhoop van heeft gemaakt met die last onder dwangsom. Ze hadden achter Leaseweb aan moeten gaan, niet achter Northwave.

WillySis

Autoriteit Persoonsgegevens
Privacy

@bmwgozer • 7 april 2024 21:53

Een rechter moet alleen beoordelen of wetten en regels juist zijn behandeld. Hij/zij hoort geen oordeel te vellen over de belangrijkheid van de gevraagde informatie. De aanval was bij Leaseweb, dus die zijn verantwoordelijk voor het geven van de informatie. Northwave heeft het onderzoek in opdracht van LW gedaan en moet aan de opdrachtgever rapporteren. Het zou vreemd zijn als ze dat rapport ook zomaar met de AP zouden delen, althans niet in opdracht of met toestemming van LW.

Dit geeft dus een vertraging van een aantal maanden.

Antiloop @bmwgozer • 6 april 2024 14:34

AP is toch geen opdrachtgever in deze aan northwave, dus zie niet in waarom een 3e partij hierin mee zou moeten werken

Ze hadden dit inderdaad direct bij leaseweb af moeten dwingen, en daarna pas alternatieve wegen bewandelen

Frame164 @bmwgozer • 6 april 2024 16:15

Dus als jij geflitst bent voor te hard rijden vindt je het prima dat er ook nog wat andere dingen op de bekeuring worden gezet die niets met te hard rijden hebben te maken?

RetroMan @bmwgozer • 6 april 2024 16:35

De rechter zal zich wel aan de wet en de procedure moeten houden. Dat gaat boven zijn (jouw) mening over de zaak.

RAAF12 @bmwgozer • 6 april 2024 18:08

Kwestie van de juiste volgorde aanhouden het lijkt mij dat openheid en snelle gegevensoverdracht prio heeft.

bart.koppers @bmwgozer • 6 april 2024 23:18

De insteek/bedoeling is goed.

De aanpak slaat de plank echter mis: onderaannemer vragen rapporten te delen.
De AP hoort dit te weten (basale wetgeving inz contracten, jurisprudentie) en uitspraak is niet verrassend. Zonder van de tijd ook.

Ergo: incompetentie AP. Helaas.

bobberg @bmwgozer • 6 april 2024 23:51

Kan ook mogelijk op basis van security zijn dat ze dat soort informatie niet delen.

karma4 @bmwgozer • 7 april 2024 14:08

De vraag is of er wel een hack of datalek is geweest. De AP beroept zich enkel op de eigen melding van LW. Voor de rest lees ik niets over signalen van een datalek.
Als het om interen bedrijfsvoering gaat dan is de AP geen partij. In dat geval hebben ze ook geen recht op enige informatie

Katseviool 6 april 2024 13:52

Gezien de melding, zijn hier dus waarschijnlijk persoonsgegevens van klanten en/of medewerkers bij betrokken. Dan is het toch waanzin dat een toezichthouder geen inzage krijgt.

Eigenlijk zou de toezichthouder op een gegeven moment moeten kunnen besluiten dat een partij als deze niet langer persoonsgegevens van Europeanen mag verwerken als ze zo omgaan met de regels.

Als burger zou ik namelijk liever niet meer hebben dan deze partij mijn data nog verwerkt.

[Reactie gewijzigd door Katseviool op 22 juli 2024 13:55]

kodak

Datalek
Hack
Autoriteit Persoonsgegevens
Privacy
Politiek en recht

@Katseviool • 6 april 2024 14:49

Het probleem lijkt niet het meewerken maar onenigheid wat genoeg meewerken is.

Vergeet daarbij niet dat de wetgevers niet alleen plichten aan bedrijven hebben gegeven, maar ook rechten. Die kunnen we niet zomaar negeren. En dat gaat net zo goed op voor de toezichthouders, die niet zomaar meer recht hoort proberen te nemen dan de wetgever gegeven heeft.

Natuurlijk kunnen we willen dat een bedrijf minder rechten heeft en meer plichten. Of dat de toezichthouder meer rechten heeft. Maar zelfs al zouden we de vergaande mogelijkheid geven dat bedrijven gedwongen worden te stoppen, dan nog zal de toezichthouder eerst heel duidelijk onderzoek moeten hebben doen door het bedrijf zelf te laten meewerken. En zelfs terwijl ze dat al horen te doen blijkt de toezichthouder niet eens toe te passen. En ook nog om de heel foute reden van tijd proberen te besparen, wat namelijk geen duidelijk doel vanuit de wet is.

Quintiemero @Katseviool • 6 april 2024 15:53

Die bevoegdheid heeft ze ook gewoon, dit past ze alleen nooit toe. Alhans, ze kan een verwerkingsverbod opleggen.

Newbey @Katseviool • 6 april 2024 16:34

Je weet dus nog niets concreets, maar vanwege jouw onderbuikgevoel neem je al een standpunt in. Ik zou jou daardoor ook niet graag inhuren voor een klus, dat is dan gevoel.

Katseviool @Newbey • 6 april 2024 16:48

Leg mij eens uit wat hier onderbuikgevoel aan is?

Dit is gewoon een private partij, die persoonsgegevens verwerkt en die weigert mee te werden met een publieke toezichthouder die bevoegd is om te handhaven namens ons allen.

[Reactie gewijzigd door Katseviool op 22 juli 2024 13:55]

Newbey @Katseviool • 6 april 2024 17:06

Ook hier neem je weer van alles aan vanuit jouw onderbuikgevoel. Je weet de redenen niet.

Katseviool @Newbey • 6 april 2024 17:23

Leaseweb wil niet meewerken met AP dat wordt duidelijk door NRC beschreven en is zelfs de titel van dit nieuwsbericht. Wat is hier dan onderbuik aan?

[Reactie gewijzigd door Katseviool op 22 juli 2024 13:55]

Newbey @Katseviool • 6 april 2024 18:16

Lees eerst eens jouw reactie van 13:52 terug. Een en al aanname 's, dat zijn onderbuikreacties.

Katseviool @Newbey • 6 april 2024 18:28

Welke aanname wordt er door mij om 13:52 dan precies gedaan?

Ik constateer dat een private partij niet wenst mee te werken met onze toezichthouder. Als een partij deze stellingname neemt en dus een toezichthouder niet respecteert dan moeten ze geen persoonsgegevens gaan verwerken.

Ik ben echt lost wat hier de onderbuikreacties (kennelijk meervoud) zijn dus leg het dan eens uit.

Newbey @Katseviool • 6 april 2024 19:12

Gezien de melding, zijn hier dus waarschijnlijk persoonsgegevens van klanten en/of medewerkers bij betrokken. Dan is het toch waanzin dat een toezichthouder geen inzage krijgt.

nergens in het artikel is dit genoemd, alleen in jouw reactie. Dit zijn aannames!!!!!

Katseviool @Newbey • 6 april 2024 19:41

Ik ben echt lost. Ze hebben zelf melding bij de AP gedaan ivm een datalek.

NRC: “ Het Nederlandse Leaseweb deed eind augustus melding van een datalek bij de AP, de privacytoezichthouder van de overheid. Een paar dagen eerder berichtte Leaseweb haar klanten over een cyberaanval. Belangrijke systemen werden uitgeschakeld en de internetservers van „een klein aantal” klanten ging offline. In de maanden daarna vroeg de toezichthouder herhaaldelijk om meer informatie over het incident, maar kreeg belangrijke informatie niet.”

[Reactie gewijzigd door Katseviool op 22 juli 2024 13:55]

Katseviool @Newbey • 7 april 2024 12:14

Ik zou de volgende keer wat minder hoog van de toren blazen en mensen digitaal van alles toedichten.

Fijne zondag.

Smokeyy_TR 7 april 2024 13:20

Het is ronduit triest dat Leaseweb niet transparant is, zeker gezien het recente datalek. Het is van groot belang te weten wat er precies gelekt is, zodat belanghebbenden begrijpen waar ze aan toe zijn. Ook is het een gemiste kans van de rechters om de AP te steunen in het nastreven van transparantie.

wiseger @Smokeyy_TR • 7 april 2024 19:10

Rechters houden zich aan de wet. Jij had liever gezien dat de rechter de wetten negeerde, naast zich neerlegde? Je noemt dat zelfs een gemiste kans?

Kom op zeg, we zijn een rechtstaat. Geen bananen republiek.

[Reactie gewijzigd door wiseger op 22 juli 2024 13:55]

Smokeyy_TR @wiseger • 8 april 2024 01:00

Ik begrijp de noodzaak om de wet te respecteren en de principes van een rechtsstaat te volgen. Mijn oorspronkelijke punt blijft echter dat, binnen het kader van de wet, rechters een cruciale rol spelen in het afdwingen van transparantie en verantwoordelijkheid bij bedrijven, vooral na datalekken. Ik ben van mening dat in situaties zoals deze, waarbij de openheid van een bedrijf over een ernstig datalek in het geding is, rechters de bevoegdheid hebben en zouden moeten gebruiken om die bedrijven tot meer transparantie te bewegen. Dit gaat niet om het negeren van de wet, maar om het benutten van de volledige omvang van de wet om de belangen van het publiek te beschermen. Het is juist in dergelijke momenten dat een strenger optreden van rechters tegen bedrijven die niet transparant zijn over datalekken, kan bijdragen aan een veiliger en transparanter digitaal ecosysteem.

wiseger @Smokeyy_TR • 8 april 2024 01:38

Het punt is en blijft dat de AP niet het bedrijf dat is gehackt een dwangsom oplegde, maar het naderhand ingehuurde cybersecurity bedrijf.

Dat is waar de schoen wringt.

mjtdevries @Smokeyy_TR • 8 april 2024 11:01

Ik ben van mening dat in situaties zoals deze, waarbij de openheid van een bedrijf over een ernstig datalek in het geding is, rechters de bevoegdheid hebben en zouden moeten gebruiken om die bedrijven tot meer transparantie te bewegen.

Dus jij wilt dat de rechter zelf ook aanklager word? Dat is nogal in tegenspraak met je eerdere bewering dat je de principes van een rechtstaat wil volgen.

De rechter kan alleen LW aanpakken als iemand een rechtzaak tegen LW start.

Smokeyy_TR @mjtdevries • 8 april 2024 17:34

Ik stel niet voor om de scheiding der machten te vervagen, maar wil benadrukken hoe essentieel transparantie is na het datalek bij LeaseWeb. Het is cruciaal dat toezichthouders, zoals de Autoriteit Persoonsgegevens, proactief opereren binnen ons juridisch kader om de integriteit en veiligheid van persoonsgegevens te waarborgen. Deze behoefte aan duidelijkheid over de omvang en de specifieke aard van het lek is fundamenteel om vertrouwen te herstellen en stakeholders adequaat te informeren, altijd binnen de grenzen van ons juridische systeem. Het blijft een feit dat er een datalek heeft plaatsgevonden waarbij het niet duidelijk is welke gegevens precies zijn gelekt. Ik hoop dat de betrokkenen zich realiseren hoe cruciaal het belang van gegevensbeveiliging is en dat wij als samenleving verantwoording moeten afleggen als het misgaat.

TechSupreme 6 april 2024 14:32

maar wegens 'snelheid' probeerde om het onderzoeksrapport in eerste instantie van Northwave te krijgen. "Onze prioriteit is toegang tot informatie krijgen."

Is maar beetje een rare gedachte dit. Of het document nu door Leaseweb of door NorthWave wordt gedeeld maakt helemaal niks uit in hoe snel dat zou gaan. Of werken ze bij Leaseweb nog met dailup ofzo?

Ten tweede de verantwoordelijkheid ligt bij Leaseweb, niet bij Northwave. Northwave kan toch niet voor hun klanten besluiten om gevoelige informatie te delen.

Verder ben ik wel benieuwd naar de argumentatie van Leaseweb om het rapport niet te delen. Het kan maar twee dingen zijn. Of ze hebben dingen verzwegen/verdraait en nu gaan ze met de billen bloot, of er staat daadwerkelijk niks in wat van belang is.

Jhojo @TechSupreme • 8 april 2024 10:54

We kunnen alleen maar speculeren, maar bij leaseweb draaien een aantal servers die data behouden die wettelijk niet toegestaan zijn, inbreuk in copyright bijv. Leaseweb heeft geen inzicht in de data van de klant, echter na het rapport natuurlijk overduidelijk wel. Dus ik heb het idee dat het die kant op neigt. Als het rapport dan gedeeld is zullen de grootgebruikers snel verhuizen aangezien er dan kans is op andere onderzoeken van andere instanties.

TechSupreme @Jhojo • 8 april 2024 11:01

Denk niet dat het aan het AP is om dat soort informatie openbaar te maken.

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
Hack
Politiek en recht
Datalek

6 april 2024 14:42

Ik vind het een vreemd verhaal en denk dat we een stuk missen.
Het doet me denken aan iets dat ik zelf heb meegemaakt. Voor de leesbaarheid en privacy heb ik wat details aangepast.

Op een dag ontdekten we dat er op ons netwerk was ingebroken. We hebben een bekend security bedrijf ingeschakeld en het eerste wat die deden was alle leidinggevende bellen en om te vertellen dat zij de leiding hadden over het onderzoek en alle informatie alleen met hun gedeeld mocht worden. Zij zouden dan beoordelen wat er met anderen gedeeld mocht worden. Al snel bleek dat niks te zijn. Alle informatie werd "potentieel gevoelig" aangemerkt en we mochten vooral niks met de politie delen want die zouden er niet goed mee om kunnen gaan.

Dat botste nogal met de interne cultuur want wij wilden alles juist wel delen en daarom weet ik ook zeker dat we dit niet zo hebben afgesproken. Nadat ik had aangegeven dat ik informatie wel zou gaan delen en zeker met de politie werd ik afgesloten van mijn eigen onderzoek. Ik heb mijn baas gebeld en die snapte het ook niet, maar wilde ook geen risico's nemen met dingen die hij niet begreep en we hadden toch niet voor niets een specialist ingehuurd. Lang verhaal kot, na dagen van bellen en overleggen bleek dat dit bedrijf altijd adviseert om alles geheim te houden en niks te delen met de politie, partners, collega's of de pers. De informatie die ze bij ons verzameld hadden zaggen ze nu als kennis van hun bedrijf, en het simpele feit dat er een hack was zagen ze als slechte publiciteit die je dus geheim moet houden.
Dat is niet hoe het werkt in onze sector, wij zijn erg van de openheid.

Uiteindelijk heb ik (mijn team) gelijk gekregen en hebben we onze informatie gedeeld met de politie en iedereen die het wilde, maar dat heeft heel wat tijd gekost op een moment dat we die tijd niet hadden. Daarbij kwam een heel stuk vingerwijzen langs waarbij over en weer de risico's bij de ander werden neergelegd en een hoop mensen zich vooral nergens aan leken te willen branden. Misschien zijn er elders in de wereld slachtoffers gevallen die voorkomen hadden kunnen worden met onze informatie.

Voor de duidelijkheid, heel spannend was de hack niet, ieder groot netwerk met veel mobiele devices krijgt regelmatig malware binnen en botnets binnen en af en toe zal iets langs je virusscanner glippen. Het security bedrijf stelde zich echter op alsof de atoomgeheimen gelekt waren. Natuurlijk kan zo'n security bedrijf beter wat te streng zijn dan niet maar het voelde nogal agressief.

Deze hele anekdote vertel ik omdat ik het zo'n gek verhaal vind dat ik vermoed dat de AP een goede reden moet hebben gehad om naar NorthWave te gaan. Bijvoorbeeld omdat ze ontdekte dat LeaseWeb de informatie zelf al niet meer had en/of er geen controle over had en ze vast kwamen te zitten tussen twee bedrijven die naar elkaar verwijzen als de verantwoordelijke.

(Pure speculatie, ik heb geen idee wat er aan de hand is, maar ik weet wel dat het niet normaal is).

Frame164 @CAPSLOCK2000 • 6 april 2024 16:23

Vanuit het securitybedrijf snap ik het ook wel. Zij willen zo objectief mogelijk onderzoek doen (daar worden ze voor ingehuurd, anders hadden jullie het zelf wel kunnen doen) en in het kader van zero trust bij een onderzoek moet je alles en iedereen "kort houden". Het zal ook niet de eerste keer zijn dat een hack een inside job is. En dan kan de behulpzame medewerker van het getroffen bedrijf zomaar de dader zijn en misbruik maken van bepaalde zaken gedurende het onderzoek.

Blokker_1999

Politiek en recht
Datalek
Hack
Privacy

@Frame164 • 6 april 2024 18:35

Ja, maar dat betekend niet dat je opsporingsdiensten of, in dit geval, de AP zomaar buiten de deur moet houden. Transparantie kan in vele bedrijven net belangrijk zijn om vertrouwen te blijven behouden in dat bedrijf.

En er zijn zovele bedrijven die bijvoorbeeld na een hack of een ransomware aanval high level details delen van wat er is gebeurd, zodat ook anderen er lessen uit kunnen trekken. Met het verhaal van @CAPSLOCK2000 heb ik vooral het gevoel dat het bedrijf dat zij hadden ingehuurd hoopt van bij hun klanten nieuwe dingen te vinden die zij dan kunnen gaan aanmerken alsof zij het ontdekt hebben en ofwel voor zichzelf wensen te houden danwel dat zij wereldwijd de claim kunnen maken van "kijk wat wij ontdekt hebben". Door informatie te delen bestaat natuurlijk de kans dat anderen hen voor gaan zijn.

SuperDre @CAPSLOCK2000 • 6 april 2024 20:32

Nouja, jij en je team kunnen wel openheid willen, maar het is toch echt hogerhand die uiteindelijk de beslissing neemt. Jij bent niet de baas, anders had je zelf maar een bedrijf moeten beginnen. En meeste IT bedrijven hebben wel clausules dat als jij informatie deelt zonder toestemming dat jij strafrechtelijk vervolgt kunt worden. Dus leuk als jij en je collega's openheid willen geven, maar het is aan de baas om daarover te beslissen. Ben je het er niet mee eens kun je altijd opstappen.

Jerie

@CAPSLOCK2000 • 6 april 2024 15:21

Yup, loopt een strafrechtelijk onderzoek. Lijkt me duidelijk

vinx77 6 april 2024 13:24

Er is sowieso flink wat mis met de NL hostingpartijen - onze eigenservers worden erg vaak aangevallen vanaf Nederlandse DCs, en de reactie die ik tot nu toe krijg van de DCs is samen te vatten als "nou en?". Mijn conclusie is dat ze liever hun klanten beschermen dan de wet te volgen - misschien als de rechter aanklopt, dan moeten ze wel. Zonde van mijn tijd om hier nog tijd in te steken, en kan naast fail2ban bijvoorbeeld beter een denylist maken met alle IP-ranges van de DCs.

Gemeen om te denken, maar het zou erg helpen dat ze aangevallen zijn vanaf een Nederlands IP-adres gehost in een Nederlandse DC. Dan kunnen ze geen vingertjes wijzen naar het oosten, en wordt misschien eindelijk dit probleem eens opgelost.

wiseger @vinx77 • 6 april 2024 13:31

Welke wet volgen de Nederlandse DC's dan niet? De rechter is toch de instantie om te toetsen of een bedrijf zich aan de wet houdt of niet?

Als je keten tankstations vaak overvallen wordt door auto's die via de snelweg naar het pompstation rijden, spreek je dan ook de wegbeheerder daar op aan?

Een Cloud provider wil geen politie agent zijn die op klachten van derden elke keer een eigen onderzoek moet starten en dan ook nog een eigen rechter moet spelen om te kijken of ze ingrijpen of niet. Dat laten ze over aan de politie, het OM en de rechter. En als die iets bevelen, dan volgen ze het gewoon op.

vinx77 @wiseger • 6 april 2024 13:54

Vervelend dat je niet wist dat je niet mag hacken.

https://www.politie.nl/informatie/wat-is-hacken.html
Assisteren bij illegale activiteiten mag ook niet. https://www.rijksoverheid...dermijnende-criminaliteit

DCs verdienen echter bakken met geld door niet te handhaven. Zie bijvoorbeeld dit artikel, waar ze uitleggen dat je maar beter de IPs van DCs kan blokkeren. https://www.verisoul.ai/b...ur-platform-against-fraud

Dus je verdediging van DCs is gewoon pure onzin. Ze worden behoorlijk in de gaten gehouden door machtige industrieën, zoals de filmindustrie en muziekindustrie, en dan kan het ineens wel.

wiseger @vinx77 • 6 april 2024 15:48

De Cloud provider hackt toch niet? Net zoals de wegbeheerder geen tankstation overvalt.

Je wilt dat de DC eigenaren gaan handhaven, dat de DC eigenaren de taak van de politie overneemt? Dat die ook nog OM en rechtertje gaan spelen? Maar als ze dat doen, bijvoorbeeld een grote partij zoals Microsoft en ze blokkeren accounts van mensen, wat gebeurt er dan? Gaan die mensen dan geen steen en been klagen dat hun account onterecht geblokkeerd is, maakt de EU dan geen wetgeving dat dit allemaal niet zomaar mag?

Stichting Brein stapt gewoon naar de rechter. En ja, met een gerechtelijk bevel kan het wel.

vinx77 @wiseger • 6 april 2024 18:54

Selectief lezen is ook een vak. Dan maar met nadruk:

Assisteren bij illegale activiteiten mag ook niet.

wiseger @vinx77 • 6 april 2024 21:29

Ze assisteren ook helemaal niet. Je denkt toch niet dat de eigenaren actief meewerken aan hack activiteiten?

Net zoals wegbeheerders de overvallers van een tankstation niet assisteren door de weg ter beschikking te stellen.

Data centers worden bijna volledig gebruikt voor legetieme doeleindes.

vinx77 @wiseger • 7 april 2024 13:35

Assisteren is ook een dienst aanbieden, en hoeft niet een menselijke activiteit zijn. De wet voor gebruik van openbare wegen is behoorlijk anders dan die van een service-verlenend bedrijf.

Je weet dat je als burger verplicht bent om de wet te kennen?

https://www.binnenlandsbe...s-proactief-op-een-rijtje

Ik heb zelf flink wat dagjes https://wetten.overheid.nl/ doorgeploeterd, omdat wetten niet gaan om meningen en interpretaties, zoals in films. Het is eigenlijk best leuk, zodra je de overeenkomsten met code ziet (declaraties zijn de woorden met hoofdletters in contracten). Serieus, probeer eens te zoeken naar hoe het zit - is een vaardigheid die je altijd nog eens van pas zal komen.

wiseger @vinx77 • 7 april 2024 15:42

Met open mond van verbazing zit ik deze onzin te lezen.

Bij wetten draait juist alles om interpretatie. Daar hebben ze zelfs een woord voor: jurisprudentie.

En die interpretaties veranderen continue door uitspraken van hogere rechtbank zoals de hoge raad en uitspraken van Europese rechters.

vinx77 @wiseger • 11 april 2024 03:44

Ha! Stuur me een uitnodiging als je een rechtszaak aan de broek hebt en je jezelf verdedigt volgens je eigen interpretatie van de wet. Dat wil ik zien!

wiseger @vinx77 • 11 april 2024 11:30

Mezelf? Daar heb je advocaten voor en ja, die hebben heel veel kennis over de interpretaties van wetten. De jurisprudentie houden ze ook nog eens goed bij, is erg belangrijk.

themadone @wiseger • 6 april 2024 14:11

Om in je eigen beeldspraak te blijven, als een auto verhuur bedrijf 80% van de tijd zijn autos aan criminelen verhuurd is dit bedrijf geen lang leven beschoren.

De Nederlandse dc's laten zich betalen in bitcoin(red flag). Reageren amper op abuse meldingen etc.

Groot deel van de hacks op Nederlandse bedrijven komen via partijen als leaseweb. Het wordt tijd dat hier betere wetgeving komt die goed te handhaven is. Ja er gaat colletaral damage komen als er een compleet dc offline wordt gegooid, maar legitieme klanten zullen dan gebruik gaan maken van legitieme dc's. Dit geeft misschien een jaar lang wat gekkigheid maar daarna zijn we er wel vanaf.

Sowieso is het faciliteren van criminaliteit nu al strafbaar, dus misschien eens tijd voor een proef proces.

wiseger @themadone • 7 april 2024 16:16

Een autoverhuur bedrijf weet niet aan wie ze een auto verhuren. Iemand staat met zijn rijbewijs en creditcard aan de balie om een auto bij Hertz te huren.
Hertz heeft geen toegang tot de systemen van de politie en het OM. Zij kunnen niet controleren of de potentiele huurder een strafblad heeft.

Hetzelfde geldt voor een hoster. Zij hebben geen toegang tot systemen om te bepalen of een klant met een geldig KvK nummer criminele intenties heeft of gewoon een lokale kapper is die de website van zijn kapsalon wil laten hosten.
En als de website van de lokale kapper dan gehackt wordt en anderen lastig valt met hack pogingen, dan heeft de hoster daar helemaal geen weet van.
Het is aan de politie om onderzoek naar de hackers te doen en aan het OM om ze voor de rechter te brengen.

[Reactie gewijzigd door wiseger op 22 juli 2024 13:55]

themadone @wiseger • 7 april 2024 17:49

Verhuurbedrijf accepteert bijvoorbeeld geen verhuur zonder ID, cash betalen kan niet bitcoin ook niet.

Er zijn best wat manieren te verzinnen om het op zijn minst mensen uit het oosten wat lastiger te maken allemaal. Maar wordt grof geld aan verdiend door dit soort partijen dus dat doen ze liever niet.

wiseger @themadone • 7 april 2024 18:23

Hoe er betaald wordt maakt niet uit. De wetgever bepaald welke betaalmiddelen acceptabel zijn en wat niet mag.

Heb ook vaak genoeg een busje cash gehuurd. Moest alleen een borg betalen.

Het is aan de wetgever om te bepalen hoe grote Cloud bedrijven hun diensten internationaal aanbieden. We weten ook niet welke internationale klanten er bij Microsoft, Amazon of Google gehost worden in hun Nederlandse data centers.

Onlangs bleek nog dat een land in het Oosten toegang had tot alle MS Exchange email servers in de MS cloud wereldwijd. Denk je dat de Nederlandse overheid nu alles terug trekt van Azure en het Office 365 platform? MS zware sancties kan verwachten?

Hoeveel hack pogingen komen er ons land eigenlijk binnen via de AMS-IX? Ook maar hard aanpakken?

[Reactie gewijzigd door wiseger op 22 juli 2024 13:55]

xxs 6 april 2024 16:33

Security bedrijven willen ook niet dat er onderzoeksmethoden zomaar op straat komen liggen.

Katseviool @xxs • 6 april 2024 16:51

Daarom is er toch juist een partij als de AP? Zij willen enkel het rapport inzien maar gaan het niet publiceren of delen met andere marktpartijen.

xxs @Katseviool • 7 april 2024 10:16

En dan moet die onderzoekspartij er maar van uitgaan dat het AP niks lekt of laat slingeren.

Superstoned @xxs • 7 april 2024 10:56

Ik vertrouw het AP 100x meer dan een Leaseweb - en een toezichthouder moet toezicht kunnen houden anders kunnen we onze privacy en security wetgeving natuurlijk wel opschorten…

MrR0b3rt 6 april 2024 18:23

Dit kan nog wel eens onder de vlag van nationale veiligheid gaan. Onlangs werd ik door het boek 'Het is oorlog maar niemand die het ziet' er aan herinnerd dat leaseweb ook de tap had voor El Chapo zn blackberry.

Wie weet hoeveel dergelijke zaken er via hun lopen en hierdoor mogelijk gevaar lopen als die componenten gecompromitteerd zijn bij deze hacks.

Maar het is natuurlijk speculatie

SuperDre 6 april 2024 20:27

Compleet logisch en terecht dat Northwave het rapport niet hoeft over te dragen, zij zijn een derde partij hierin, dat rapport is eigendom van Leaseweb, en die moeten het overhandigen, niet Northwave. Zonder gerechtelijk bevel zou ik als derde partij ook niet informatie verstrekken, TENZIJ de originele partij niet de factuur heeft betaalt, dan wordt het een andere zaak, immers zolang de factuur niet betaalt is, is het nog geen eigendom van de originele partij (althans zo zouden mijn contracten zijn).

evanuden 8 april 2024 09:40

Ik ben benieuwd hoe e.e.a. gaat verlopen op het moment dat NIS2 van kracht is: https://www.rdi.nl/onderw...rmatiesystemen/nis2-wbni2

Op dit item kan niet meer gereageerd worden.

Hostingbedrijf Leaseweb weigert informatie over cyberaanval te delen met AP

Lees meer

IT-banen

Reacties (120)

Sorteer op:

Weergave: