SP en PvdA bepleiten wettelijke meldplicht hacks voor bedrijven

Hoewel staatssecretaris Bijleveld deze week pleitte voor een verplichting voor overheden om hacks te melden, blijken de PvdA en de SP vier jaar geleden al een motie te hebben ingediend voor een onderzoek daartoe. De SP stelt Kamervragen.

Eerder deze week werd bekend dat staatssecretaris Bijleveld van Binnenlandse Zaken laat onderzoeken of het mogelijk is om een meldplicht in te voeren voor ict-incidenten bij de Rijksoverheid. Dit onderzoek blijkt echter al te zijn uitgevoerd, nadat PvdA-Kamerlid Martijn van Dam en SP-Kamerlid Arda Gerkens hier al in september 2005 in een motie om vroegen.

De Kamerleden hebben toen gevraagd om een onderzoek dat in kaart zou moeten brengen welke gevolgen een dergelijke meldplicht zou kunnen hebben. "Die motie is destijds aangenomen. Daar zou dus iets mee moeten zijn gebeurd", zegt Gerkens tegenover Tweakers.net.

De Tweede Kamer blijkt in juli 2008 een toezegging te hebben gekregen dat zij geïnformeerd zou worden over de voortgang van het onderzoek, waarna uiteindelijk in april 2009 het onderzoeksrapport aan de Tweede Kamer is aangeboden. De onderzoekers concludeerden daarbij dat een meldplicht zou moeten gelden voor zowel de overheid als voor het bedrijfsleven, en dat de meldplicht vooral zou moeten worden gezien als instrument om organisaties te stimuleren meer aandacht aan databeveiliging te besteden.

Uit een brief die het ministerie van Economische Zaken in april aan de Tweede Kamer stuurde, blijkt dat er feitelijk al is besloten tot het invoeren van een meldplicht bij ict-incidenten. "Het kabinet zal na afronding van de besluitvorming op Europees niveau overgaan tot nationale implementatie en een meldplicht invoeren in geval van verlies van persoonsgegevens uit datasystemen", schreef minister Ter Horst destijds.

Hiermee lijkt het door Bijleveld gewenste onderzoek overbodig geworden. Gerkens gaat de staatssecretaris dan ook via Kamervragen aan de tand voelen om te kijken of een wettelijke meldplicht snel is door te voeren, zowel voor de overheid als voor het bedrijfsleven. Gerkens wil onder meer van Bijleveld weten of zij bereid is de meldplicht voor overheidsinstellingen te combineren met de meldplicht voor bedrijven bij verlies van persoonsgegevens uit datasystemen.

Ook wil de SP weten of de staatssecreteris van zins is alvast stappen te ondernemen om de meldplicht snel in te voeren en dit desnoods op eigen initiatief te doen als de Europese regelgeving op dit gebied te lang op zich laat wachten. Tevens is Gerkens benieuwd hoeveel incidenten waarbij gegevens op straat kwamen te liggen, bij de staatssecretaris bekend zijn.

Martijn van Dam laat desgevraagd aan Tweakers.net weten nog steeds voorstander van een dergelijke meldplicht voor bedrijven te zijn. "Het zou meer openheid creëren", aldus de PvdA'er.

IT-banen

Reacties (52)

Verwijderd 9 oktober 2009 14:17

In Amerika bestaat zo'n meldingsplicht inderdad al.
Bedrijven die persoonlijke informatie verliezen (Personal Identifiable Information, PII) die onder de HIPAA vallen (Health Insurance Portability and Accountability Act), kunnen boetes krijgen die op kunnen lopen tot $15.000 per persoonlijke data file.
Een zorgverzekeraard die bijvoorbeeld 1 miljoen klanten heeft en die op deze manier tot 15 miljard dollar het schip in kan gaan (en verplicht is te melden), schud ze wel wakker.

Wanneer dit in Nederland wordt ingevoerd (het hacken van EPD heeft volgens mij nog geen boete-bedrag per dossier, correct me if im wrong), dan voorzie ik een gouden toekomst voor Information Security Officers en aanverwanten.

baasandre @Verwijderd • 9 oktober 2009 15:46

Daarom is het op zich ook geen verkeerd plan om het hier in Nederland onder de loep te nemen.
Misschien zullen bedrijven dan ook meer doen om lekken of inbraken te voorkomen.
Zeker wanneer het gevoelige prive informatie betreft vindt ik bovenstaande echt geen verkeerd iets.

Rob Coops

Beveiliging

9 oktober 2009 13:26

Een meld plicht voor bedrijven lijkt me een heel goed iets overheden ach, dat is zo lek als een mandje dat weten we allemaal dus daar zal weinig schokkends uit komen, maar voor bedrijven die over het algemeen dit soort dingen onder de pet houden is het wel goed om eindelijk eens te weten wie er wat verliest. Dit moet dan ook netjes voor iedereen in te zien zijn. Op die manier kunnen we allemaal zien welke bedrijven we beter niet van onze gegevens kunnen voorzien omdat ze er niet goed mee omspringen.

Tevens lijkt het me een heel erg goed idee als niet alleen het feit dat men gegevens gelekt heeft bekend wordt maar zou het erg goed zijn om ook de aard van de gegevens te weten. Bankrekening nummers zijn een hele boel vervelender als leeftijden of keuze voor een witte of zwarte auto.

Maar goed de meeste bedrijven zullen doodsbang zijn dat hun goede naam doro het slijk gehaald zal worden met dat bekend wordt dat er van hun gegevens gelekt zijn op welke wijze dan ook. Ik kan me bijvoorbeeld boze werknemenr voro stellen die even het klanten bestand lekken inclusief rekenig nummers etc. Of bedrijven die de concurent willen pakken door via via iemand te vragen of ze niet eens op een opvallende manier gegevens van hun concurent kunnen stelen.
Voor een leek is het niet duidelijk hoe gegevens naar buiten komen alleen dat het gebeurt en een hack is een hack. Dus ik denk dat de hele meldplicht voor bedrijven altijd een droom zal blijven omdat bedrijven pas op het laaste moment medling zullen maken omdat ze: "erder niet wisten dat deze gegevens in handen van onbevoegde waren gevallen" Waardoor er helemala niets zal veranderen in de huidige situatie omdat bedrijven nu eenmaal liever niet de vuile was buiten hangen en even aan iedereen vertellen dat er voor de zo veelste keer een medewerker verdacht wordt van het opstellen van een lijst met klant gegevens die hij of zij helemaal niet nodig heeft voor het uitvoeren van zijn of haar baan bijvoorbeeld. Laat staan dat een bedrijf wil moeten vertellen dat ze gemerkt hebben dat er iemand van buiten af hun systemen bezocht heeft en gegevens gekopieerd heeft etc...

regmaster @Rob Coops • 9 oktober 2009 14:29

Ook in het bedrijfsleven is het zo lek als een mandje, ik vrees nog veel erger dan bij de overheid. IB kost geld en levert geen geld op, althans niet tastbaar. Zeker in tijden van een recessie zal er in het bedrijfsleven als eerste op beveiliging bezuinigd worden.

Maar het melden van een hack an sich is op zich niet zo relevant. Wat wel relevant is dat ernstige IB incidenten in kaart moeten worden gebracht. Veelal zit er een trend in en die is niet te vinden als iedereen dit voor zichzelf houdt.
Ik vind er niets Maoïstisch aan om ernstige IB incidenten centraal te melden en vast te leggen. Bedrijven en overheidsinstanties moeten eens af van die krampachtige houding om alles maar onder de pet te willen houden, de schade kan door deze houding alleen maar groter worden.
Wat een veel belangrijker vraag om te stellen is; "En hoe nu verder?" Wat gebeurt er met de informatie en in hoeverre worden (niet kunnen) daders van cybercrime strafrechterlijk vervolgd? Momenteel kun je nauwelijks terecht als je een ernstig IB incident wilt melden bij de Politie, die weten zelf nauwelijks waar het over gaat en zijn nauwelijks in staat om een fatsoenlijk PVb op te stellen. Daarnaast is erbij het OM nauwelijks enige kennis over IB laat staan over cybercrime. Bedrijven en overheidsinstanties mogen overigens wel de hand in eigen boezem steken want van veel integriteitszaken word geen aangifte gedaan. Veel gevallen van cybercrime ontstaan door eigen personeel, zowel bewust als onbewust.
Kortom, het beveiligen van informatie (systemen) moet veel breder worden opgepakt, zeker in tijden van recessie. Informatie beveiliging zou eigenlijk geen keuze meer mogen zijn maar een kwaliteitscriterium dat verplicht zou moeten worden gesteld voor ieder bedrijf of overheidsinstanttie.

[Reactie gewijzigd door regmaster op 23 juli 2024 22:52]

EvilWhiteDragon @Rob Coops • 9 oktober 2009 13:48

Een bedrijf zal misschien ook met meldplicht niet staan te springen om het te melden, maar met een meldplicht wordt er wel voor gezorgd dat mocht het bedrijf het niet melden en men komt er achter, dat het bedrijf een nog veel groter probleem heeft.
Het staat namelijk als bedrijf nog slechter dat je terecht staat voor het niet melden van een succesvolle hack. Dan krijg je helemaal het beeld van louche bedrijf dat niet erg klantgericht is.
Sowieso, het hoort bijna onmogelijk te zijn om veel data uit het bedrif te kunnen smokkelen, omdat vrijwel niemand daar bij hoort te kunnen. Dit houdt in dat je je admins niet allemaal volledige access moet geven, maar allemaal maar een gedeelte. Doordat ze maar een gedeelte acces hebben, moeten ze of samenwerken, of ze kunnen niet zonder detecteerbare acties de data mee nemen.

0vestel0 9 oktober 2009 13:15

WTF? Waarom zou ik het moeten melden als er een incident is geweest?
Wat een Big Brother cultuur. De overheid wil alles op elk moment weten.
En met welk nut?

bramseltje @0vestel0 • 9 oktober 2009 13:19

dat de meldplicht vooral zou moeten worden gezien als instrument om organisaties te stimuleren meer aandacht aan databeveiliging te besteden.

Misschien daarom? Het lijkt mij een goed initiatief als het daarwerkelijk het bovenstaande effect heeft. Het gaat er ook niet om, zoals jou reactie suggereerd, dat de gewone digitale burger het meldt wanneer z'n firewall faalt, maar dat de (grote) bedrijven en de overheid (denk aan Belastingdienst en Centraal Justitieel Incassoburo) een meldtplicht hebben als het gaat om privacygevoelige inbraak(pogingen).

Overigens zie ik de link met Big Brother niet helemaal, het gaat er juist om dat wij het te horen krijgen wanneer Big Brother van z'n informatie beroofd wordt...

[Reactie gewijzigd door bramseltje op 23 juli 2024 22:52]

roy-t @0vestel0 • 9 oktober 2009 13:18

Als een bedrijg gehacked is en alle data van gebruikers die ze hebben is gestolen is het wel zo fijn om te weten dat jij als consument mogelijk je wachtwoord moet veranderen en dat iemand nu je adres+tel+e-mail(+wachtwoord) weet.

Ik vind dit niet meer dan zelfsprekend.

Verwijderd @roy-t • 9 oktober 2009 15:56

Als een bedrijg gehacked is en alle data van gebruikers die ze hebben is gestolen is het wel zo fijn om te weten dat jij als consument mogelijk je wachtwoord moet veranderen en dat iemand nu je adres+tel+e-mail(+wachtwoord) weet.

Ik vind dit niet meer dan zelfsprekend.

Schijnbaar heeft dit geen prioriteit in Den Haag als men deze motie al eens 4 jaar geleden heeft ingediend. En vraag je eens af hoeveel er gehackt wordt waarover je nooit iets hoort.
Niet alle bedrijven willen het aan de grote klok hangen dat hun systemen slecht beveiligd zijn. Goed beveiligen kost geld. En dat is er vaak niet, zeker nu niet.Dat speelt ook zondermee mee.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 22:52]

Student1563424 @roy-t • 10 oktober 2009 20:39

waarom moet dan zo nodig de overheid dit dan weten? dit is toch juist iets voor de pers?

Herko_ter_Horst

@0vestel0 • 9 oktober 2009 13:24

Als het Amerikaanse model gevolgd gaat worden, gaat het met name om cracks met een grote invloed op de privacy/veiligheid van grote groepen mensen. Dus cracks waarbij veel persoonsgegevens zijn buitgemaakt. Dus als een bank gehacked wordt, of alle dossiers van een groot ziekenhuis ineens op straat blijken te liggen.

Dus niet als iemand van jouw PC een spreadsheet met de administratie van de plaatselijke pingpongvereniging "buitmaakt".

YopY @Herko_ter_Horst • 9 oktober 2009 13:46

Nee, maar dan zou je alsnog aangifte moeten doen - computervredebreuk, diefstal van persoonlijke / persoonsgegevens, etc.

Verwijderd @YopY • 9 oktober 2009 14:15

Hebben we het nou over meldplicht of aangifte doen.
Wezelijk verschil, zeker als je de gevolgen hiervan bekijkt. Ik vraag me af, als het dan toch aangifte doen wordt, wie al die aangiftes gaat opnemen, erger nog, wie gaat al die onderzoeken draaien?

RazorBlade72nd @Verwijderd • 9 oktober 2009 15:21

Volgens mij bestaat er al een wet die iedere burger verplicht om aangifte te doen van een misdrijf op het moment dat hij daar getuige van is. Volgens mij is hacken een misdrijf. Ik snap dus niet wat een dergelijke wet zou toevoegen.

Arnoud Engelfriet

Politiek en recht

@RazorBlade72nd • 9 oktober 2009 17:46

Nee, je bent gerechtigd om dat te doen (art. 161 Strafvordering) maar niet verplicht. Het is alleen verplicht bij bepaalde zware misdrijven (zie art. 160 Sv). Als je dus bv. weet dat iemand een aanslag gaat plegen, moet je aangifte doen. Bij een bankoverval mag het maar ben je niet strafbaar als je het laat.

Jester-NL @0vestel0 • 9 oktober 2009 13:27

Ik lees: "een verplichting voor overheden om hacks te melden" en "een meldplicht in te voeren voor ict-incidenten bij de Rijksoverheid"

Lijkt me niet helemaal Big Brother, maar veel eerder minder onder het tapijt en breng je bevieliging op orde, overheid. En gezien de hoeveelheid dat adie de overheid over ons (burgers) verzameld en opslaat (voor langere tijd) ben ik eigenlijk wel een soort van blij dat er iets als dit wordt opgezet.

Free rider @0vestel0 • 9 oktober 2009 13:40

Het gaat nog veel verder. Nederland heeft 700.000 zelfstandigen, freelancers enz., die hebben allemaal een bedrijf en zijn verplicht aangifte te doen. Verder zijn er tienduizenden verenigingen, als een bestuurslid gehacked wordt is die vereniging ook verplicht om dat te melden.
Bedrijven met werknemers die thuis werken, krijgen een meldingsplicht als zo'n werknemer wordt gehacked.

himlims_ @0vestel0 • 9 oktober 2009 14:05

T-mobile heeft al mijn gegevens, recentelijk (njah 2jr terug) is die dbase gehackt. T-mobile heeft dat stil willen houden [..] tot het uiteindelijk toch aan het licht kwam. Toch fijn om te weten dat jouw gegevens wel/niet (mis)bruikt worden.

IStealYourGun @0vestel0 • 9 oktober 2009 14:53

Als ze bij jou inbreken (fysisch) ben je als bedrijf nu ook al virtueel verplicht om het aan te geven wil de verzekering er tussenkomen. Ik heb een bedrijf rond die "verplichting" nog nooit horen klagen.

Verwijderd @0vestel0 • 9 oktober 2009 13:23

hm..
gaat volgens mij alleen om overheidsinstellingen.

Goed idee.

Verwijderd @Verwijderd • 9 oktober 2009 13:46

Nope, ook bedrijfsleven. Blijft een goed idee.

G-bird 9 oktober 2009 13:19

En wat is dan het doel van de meldplicht? Wellicht een beeld krijgen hoe met ICT bij de overheid is gesteld?

Volgens mij geeft een poll hier op tweakers betere antwoorden dan een meldplicht.

Verwijderd @G-bird • 9 oktober 2009 13:39

Het geeft in ieder geval meer bureaucratie en een vertekend beeld van de werkelijkheid:

Als je een systeem hackt en je verandert niks en maakt ook niks kapot, dan kom je daar in meer dan 90% van de gevallen gewoon mee weg omdat het niemand is opgevallen.

Arnoud Engelfriet

Politiek en recht

@G-bird • 9 oktober 2009 17:48

Als we die meldplicht koppelen aan een publicatieplicht door het ontvangend orgaan, dan levert het wat op. Of gaat het om meldplicht naar de gedupeerden?

gassiepaart 9 oktober 2009 13:17

wat is een hack?

een poging tot ssh inlog met user:oracle en pw: john ??? dat gebeurt ongeveer 1200 keer per dag...

Herko_ter_Horst

@gassiepaart • 9 oktober 2009 13:26

Een inlogpoging is natuurlijk geen hack.

YopY @Herko_ter_Horst • 9 oktober 2009 13:47

Hij doelt er even op dat wanneer gebruikers een wachtwoord 'raden' en zo toegang krijgen tot het systeem, dit ook vaak al als 'hacken' bestempeld wordt.

Arnoud Engelfriet

Politiek en recht

@YopY • 9 oktober 2009 17:47

Als iemand op die manier binnenkomt dan zou je dat moeten melden ja. Maar gassiepaart vraagt zich zo te lezen af of je elke poging moet melden, ongeacht of deze geslaagd is. Ik hoop van niet.

jagana 9 oktober 2009 14:54

En als je als bedrijf zijnde iemand inhuurt om te kijken of je netwerk veilig is, moet je zijn (al dan niet succesvolle) poging dan ook aangeven?

En word die persoon dan voortaan in de gate gehouden door de overheid of niet? (lees is hij dan schuldig bevonden voor hij berecht is?)

sickyb @jagana • 9 oktober 2009 14:58

"Het kabinet zal na afronding van de besluitvorming op Europees niveau overgaan tot nationale implementatie en een meldplicht invoeren in geval van verlies van persoonsgegevens uit datasystemen", schreef minister Ter Horst destijds.

zo te zien niet dus

jagana @sickyb • 9 oktober 2009 15:13

Dat is meestal een manier om te bewijzen dat je binnengekomen bent, iets achterlaten of iets meenemen, beide een reden om te melden dus?
Of mag je alleen testen of de rest van je bedrijf veilig is maar niet de persoonsgegevens uit een database.

sickyb @jagana • 9 oktober 2009 15:39

Wat heb je nou met dat testen man. Het gaat er om dat je aangifte doet als je gegevens mogelijk op straat liggen. Als je zelf bij wijze van test probeert je eigen bedrijf te hacken hoef je dat niet aan te geven omdat de hacker in dit geval door een contract gebonden is om op een goede manier met die gegevens om te gaan.

vDorst 9 oktober 2009 13:17

Voor

Ik gebruik voor elke website een apart email adres.
Bij sommige adressen bij je toch spam op die adressen.
En dan kan je niet na gaan of ze gehackt zijn of de data hebben verkocht.

Ramzzz 9 oktober 2009 13:19

WTF? Waarom zou ik het moeten melden als er een incident is geweest?
Wat een Big Brother cultuur. De overheid wil alles op elk moment weten.
En met welk nut?

Omdat 'de overheid' altijd kop van jut is wanneer iets (te) laat boven water komt, bijvoorbeeld. Het gaat hier in feite om 'de overheid' zelf namelijk, en haar functie als maatschappelijke waakhond.

Of dat 'de overheid' 'weer eens' iets niet handig aanpakt (dat in wezen vaak een probleem is dat door veel ingehuurde private ICT-toko's wordt gecreëerd).

Doofpotten werken verlammend op het probleemoplossend vermogen op grotere schaal.

Vergelijk het met een meldplicht voor inbraken: als jij niets meldt/geenaangifte doet, kun je ook niet gaan claimen bij de verzekering, of de politie verwijten dat er niets aan gedaan wordt. Er wordt een strafbaar feit gepleegd, dat hoor je te melden.

[Reactie gewijzigd door Ramzzz op 23 juli 2024 22:52]

buzzin 9 oktober 2009 13:20

Met andere woorden, de betrokken minister was weer eens nergens van op de hoogte?

Op zich zou ik het niet erg vinden, zo'n meldplicht. Maar dan moet je het wel over echte hacks hebben, en niet elke keer dat Jantje het voor elkaar heeft gekregen om toch MSN te gebruiken

Wat me wel te binnen schiet is dat ze misschien bedrijven hier wel toe kunnen dwingen, maar deze informatie mag dan niet publiekelijk bekend zijn....dat kan wel een nadelig uitpakken voor het bedrijf namelijk. Natuurlijk is het goed om een duwtje in de rug te geven om de beveiliging beter te maken.....maar om ze mogelijk geld/klanten te laten mislopen door iets waar ze zelf lang niet altijd iets tegen kunnen doen, is wat overdreven.

Free rider @buzzin • 9 oktober 2009 13:48

Met andere woorden, de betrokken minister was weer eens nergens van op de hoogte?

Inderdaad bizar, de staatssecretaris van Binnenlandse Zaken weet niet wat de minister van Binnenlandse Zaken zes maanden geleden heeft gezegd.

Pixeltje

9 oktober 2009 13:45

Waarom worden er kamervragen gesteld als er praktisch al besloten is dat de meldplicht er komt? Dan is er toch iets gebeurd met de motie?

Uit een brief die het ministerie van Economische Zaken in april aan de Tweede Kamer stuurde, blijkt dat er feitelijk al is besloten tot het invoeren van een meldplicht bij ict-incidenten. "Het kabinet zal na afronding van de besluitvorming op Europees niveau overgaan tot nationale implementatie en een meldplicht invoeren in geval van verlies van persoonsgegevens uit datasystemen", schreef minister Ter Horst destijds.

Lijkt mij een beetje overbodig spenderen van overheidsgelden.

Die meldplicht vindt ik overigens wel prima, het lijkt me verstandig dat bekend wordt bij welke bedrijven, welke gegevens gestolen zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (52)

Sorteer op:

Weergave: