Providers spreken zorg uit over meldingsplicht datalekken

Europese providers hebben tegenover Enisa, de Europese organisatie die over cybersecurity gaat, hun zorgen uitgesproken over het verplicht melden van datalekken. Ze vrezen onder andere aantasting van hun goede naam.

Enisa heeft een inventarisatie gemaakt van de zorgen van zowel providers als de Data Protection Authorities van de verschillende lidstaten over de ePrivacy Directive (2002/58/EC). Deze richtlijn van eind 2009 verplicht lidstaten om het melden van datalekken voor isp's en telecombedrijven in wetgeving op te nemen. De inventarisatie moet tot betere procedures voor het melden leiden en ook helpen bij de beslissing om de meldplicht naar andere sectoren uit te breiden.

Providers en databeschermingsautoriteiten maken zich vooral zorgen over een stortvloed aan meldingen die onderzocht moet gaan worden, hoewel lang niet elke notificatie dit onderzoek mogelijk waard is. Ze pleiten daarom voor een prioritering, waarbij ernstige lekken voorrang krijgen. Daarbij komt dat providers liever eerst hun energie richten op het oplossen van het probleem, terwijl de autoriteiten liefst zo snel mogelijk op de hoogte willen worden gesteld.

Ook zijn providers bang over de impact van de meldingen op hun naam en de relatie met klanten. Ze willen dan ook garanties dat de notificaties hun naam niet aantasten, terwijl de autoriteiten zoveel mogelijk informatie willen geven die voor gedupeerden van belang is. De aanbieders willen klanten ook niet onnodig ongerust maken, terwijl de Data Protection Authorities naar zoveel mogelijk transparantie streven.

Ook in Nederland gaat de regering de meldplicht invoeren. In Duitsland, Spanje, het Verenigd Koninkrijk en Ierland is de verplichte notificatie voor isp's en telco's al in de wet opgenomen.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 14-01-2011 14:50 28

14-01-2011 • 14:50

28

Lees meer

25 nov 2011

Een datalek: wat nu?

40
Regering wil boete slechte beveiliging persoonsgegevens verhogen
Regering wil boete slechte beveiliging persoonsgegevens verhogen Nieuws van 13 juli 2012
Databasegegevens van Nationale Theaterkassa uitgelekt
Databasegegevens van Nationale Theaterkassa uitgelekt Nieuws van 22 februari 2012
Overheid publiceert wetsvoorstel meldplicht datalekken
Overheid publiceert wetsvoorstel meldplicht datalekken Nieuws van 22 december 2011
Logingegevens Verenigde Naties zijn uitgelekt
Logingegevens Verenigde Naties zijn uitgelekt Nieuws van 30 november 2011
Finse website laat gegevens 70.000 gebruikers uitlekken
Finse website laat gegevens 70.000 gebruikers uitlekken Nieuws van 28 november 2011
Bedrijven moeten lekken persoonsgegevens melden aan klanten
Bedrijven moeten lekken persoonsgegevens melden aan klanten Nieuws van 29 april 2011
Overheid Texas laat privégegevens 3,5 miljoen burgers uitlekken
Overheid Texas laat privégegevens 3,5 miljoen burgers uitlekken Nieuws van 12 april 2011
Amerikaanse verzekeraar raakt gegevens 1,9 miljoen klanten kwijt
Amerikaanse verzekeraar raakt gegevens 1,9 miljoen klanten kwijt Nieuws van 15 maart 2011
Panelleden Motivaction hadden toegang tot accounts van anderen
Panelleden Motivaction hadden toegang tot accounts van anderen Nieuws van 4 maart 2011
Overheid besluit dit jaar over elektronische identiteitskaart
Overheid besluit dit jaar over elektronische identiteitskaart Nieuws van 23 februari 2011
Postcodeloterij lekt privégegevens door ontwerpfout - update
Postcodeloterij lekt privégegevens door ontwerpfout - update Nieuws van 21 februari 2011
VakantieVeilingen.nl zet privégegevens in html-broncode
VakantieVeilingen.nl zet privégegevens in html-broncode Nieuws van 11 februari 2011
Overheid introduceert 'opendataportaal'
Overheid introduceert 'opendataportaal' Nieuws van 21 januari 2011
Enisa is kritisch over gebruik clouddiensten door overheid
Enisa is kritisch over gebruik clouddiensten door overheid Nieuws van 17 januari 2011
Bedrijven en overheden krijgen meldplicht voor datalekken
Bedrijven en overheden krijgen meldplicht voor datalekken Nieuws van 30 september 2010
Oproep: stop met bewaarplicht telecommunicatiegegevens
Oproep: stop met bewaarplicht telecommunicatiegegevens Nieuws van 29 juni 2010
EU wil meldplicht isp's en telecombedrijven bij datalekken invoeren
EU wil meldplicht isp's en telecombedrijven bij datalekken invoeren Nieuws van 14 november 2009
Meer producten en artikelen
Internettoegang Privacy Europa

Reacties (28)

-Moderatie-faq
28
28
20
1
0
6
Wijzig sortering

Sorteer op:

Weergave:
Freeaqingme 14 januari 2011 14:53
Ook zijn providers bang over de impact van de meldingen op hun naam en de relatie met klanten.
Dat lijkt me precies het idee. Naming&Shaming. Wil je die aantasting van je goede naam voorkomen, dan maak je het voorkomen van lekken eens prioriteit #1, in plaats van #549.

Overigens is het jammer dat alleen access providers en isp's hiertoe verplicht zijn. Waarom niet gewoon alle bedrijven + overheden?
psychodude @Freeaqingme14 januari 2011 19:44
Wat betreft alle bedrijven denk ik dat dat gewoon heel slecht te realiseren zal zijn. Bedrijven zou namelijk een uitermate vage term zijn, want wanneer ben je een bedrijf? ISP's en telecomproviders zijn harde begrippen.

Maar bedrijf? Tsja, is je buurmeisje welk gedrukte shirts met haar paard erop verkoopt om d'r site in de lucht te houden.... een bedrijf?

Zodra je geen sterke scheiding maakt zul je vele gevallen krijgen waarin het onduidelijk zal zijn of het van toepassing is of niet. Wat uiteindelijk nodeloze kosten met zich mee zal brengen om dat weer verder uit te zoeken, plus mensen nodeloos zou verassen die geen idee hadden.

Zeker met 'bedrijven' welk enkel op het web bestaan, er zijn zoveel mensen met een of andere commerciele insteek online en de veiligheid van het gros hiervan is zo klote, dat het niet haalbaar zou zijn om ze allemaal op 1 hoop te gooien.
Verwijderd @psychodude14 januari 2011 20:31
Bedrijven zou namelijk een uitermate vage term zijn, want wanneer ben je een bedrijf?

Als je bij de KvK bent ingeschreven, toch?
humbug @Verwijderd15 januari 2011 02:29
Bij de KvK staan ook stichtingen en verenigingen ingeschreven. Dus die stelling gaat al niet op. ;)

Daarnaast, ook particulieren kunnen een website starten, mensen dwingen in te loggen en gegevens kwijtraken. Waarom zou zo'n website dan niet aan de regels hoeven te voldoen? Of je voetbalvereniging? Of stichtingen als Brein?

In mijn ogen zegt iemand die roept "Alle bedrijven" in feite "iedereen die persoonlijke informatie van anderen heeft." En dan zeg ik dat je logischerwijs zelfs het verliezen van een mobiele telefoon (met adresboek en SMS en emails) als datalek moet kwalificeren. Dat gaat dus niet werken en dus moet de wetgeving gericht zijn op bedrijven die erg veel en erg gevoelige informatie hebben. Probleem is dat ik dan denk aan bedrijven als de AH met hun klantenkaart, verzekeraars en banken. En die blijven hier buiten schot.
Guru Evi @humbug15 januari 2011 08:20
Dat is toch gemakkelijk: Zodra je persoonlijke identificerende data (zoals de Amerikaanse SSN), medische data (gelijk wat) of financiële data (kredietkaart nummers etc.) opslaat moet je lekken aangeven. Als je gewoon naam, adres, telefoon nummer opslaat (data die publiek toegankelijk is) dan moet je de lekken niet aangeven. Persoonlijke e-mails etc. hoeven geen datalek te zijn, echter als je een e-mailtje kwijt raakt met een Excel document van alle patiënten van een psychiatrisch instituut moet je dit wel aangeven.

Wat momenteel het moeilijkste te bewaken is is financiele data. Het zou moeten mogelijk zijn om zelf je elektronische betalingen te maken aan een bedrijf zonder dat zij de informatie van je bank nodig hebben. Het enige dat ze zouden nodig hebben is je naam, adres en klantnummer die je via een gestructureerd stuk data bij de betaling gebruikt om je betaling te identificeren. Een alternatief is dat je random banknummers toegewezen krijgt die enkel werken voor de betaling van een enkel bedrijf. Mijn bank kan dit momenteel voor VISA, gewoon op de website een knopje drukken en ik krijg een VISA nummer die slechts geldig is voor een bepaalde som of een bepaalde tijd.

[Reactie gewijzigd door Guru Evi op 26 juli 2024 13:52]

Verwijderd @Freeaqingme14 januari 2011 17:55
Waarom niet gewoon alle bedrijven + overheden?
Omdat het publiek er dan pas achter komt hoe slecht onze samenleving en de productie ervan in elkaar zit. Er zijn maar weinig bedrijven die het ECHT goed doen.
TheDarkstar 14 januari 2011 15:01
"Ze vrezen onder andere aantasting van hun goede naam."

Als dat zo is dan zullen ze deze goede naam ook niet verdient hebben.... (lees dat ze deze dus verdient hebben door het achterhoduen van hun datalekken/fouten)
GlowMouse @TheDarkstar14 januari 2011 15:12
Zolang zelfs een ISP als XS4ALL last heeft van datalekken, vraag ik me af of je lekken kunt voorkomen. Vandaar dat er wetgeving in de maak is die het bezit van gelekte data strafbaar stelt.
Dreamvoid @GlowMouse14 januari 2011 15:17
En zo houden we elkaar leuk bezig met wetten maken die goed bedoeld zijn, goed scoren in de media, maar onmogelijk te handhaven zijn (en dus het probleem niet oplossen):
- een wet op het bezit van gelekte data (privacy inbreuken, goedemorgen)
- een wet op het melden van datalekken (die je niet wist dat je had)

[Reactie gewijzigd door Dreamvoid op 26 juli 2024 13:52]

Vizzie @Dreamvoid14 januari 2011 15:26
Dat is de core business van overheden in al hun vormen: het maken van allerlei regels.

Als ze daar mee op zouden houden zou het maar zo eens kunnen dat mensen zich gaan afvragen waar ze al die ambtenaren voor nodig hebben en waarom meer dan de helft van hun inkomen afgepakt wordt om de overheid te betalen...

Overheden zorgen dus wel dat ze bij elk incident zeggen "wel verdorie, daar gaan we gauw regels voor maken".

Burgers zijn hier ook schuldig aan door schijnveiligheid van de overheid te eisen, in plaats van te accepteren dat er gewoon dingen mis kunnen gaan waar de overheid ook niets aan kan doen ongeacht de hoeveelheid regels die ze maken en de hoeveelheid geld die daaraan verspild wordt.

[Reactie gewijzigd door Vizzie op 26 juli 2024 13:52]

Gratzip @GlowMouse14 januari 2011 16:07
Ik heb bij een handjevol bedrijven gewerkt, waaronder isp's, en steeds vind ik weer bugs. Soms grote of kleine, maar ze zijn er altijd. En ik weet zeker dat een of andere wetgeving hier niks aan gaat doen. Mensen zijn gewoon niet perfect, laat staan de programma's die ze maken. Dit is alsof je een wet maakt tegen zwaartekracht.
Dreamvoid @Gratzip14 januari 2011 16:46
Ik zie meer in een wet die zwaartekracht verplicht stelt. Ik denk dat daar brede steun voor is: het moet maar eens uit zijn met al dat gedogen. Er moeten dan natuurlijk wel controleurs worden opgeleid, die het land rondlopen en overal controleren of voorwerpen zich wel aan de wet van de zwaartekracht houden. Ballonnen krijgen na een grondige technische inspectie een ontheffing en een keurmerk, met natuurlijk een accijnsheffing.

[Reactie gewijzigd door Dreamvoid op 26 juli 2024 13:52]

QplQyer @GlowMouse14 januari 2011 15:31
Laat ons hopen dat die wetgeving dan websites zoals wikileaks niet ook aantast.
Verwijderd @QplQyer14 januari 2011 15:44
Wat heeft WIkiLeaks hiermee te maken?

Het gaat er hier om dat een bedrijf het meld als er informatie is gelekt (of kan lekken), en het niet in een doofpot terecht komt.
Op dit moment wordt het alleen bekend als het al te laat is.

WL plaatst alleen informatie die al gelekt is, maar niemand wist dat die informatie ook daadwerkelijk weg (lees: gekopieerd) was. In dit geval zou het amerikaanse leger dus moeten melden dat de informatie buiten de deur terecht was gekomen al voordat het op WL kon komen. Mits ze het natuurlijk wisten.
regmaster @QplQyer14 januari 2011 15:36
Daar is het o.a. ook voor bedoeld. Als je het nu niet kan verbieden dan maak je een wet die het strafbaar maakt.
Verwijderd 14 januari 2011 14:55
Zou het voorkomen van datalekken gewoon veel vaker gebeuren dan wij nu nog vermoeden?
AugmentoR @Verwijderd14 januari 2011 14:57
Dat ligt er maar aan wat je vermoeden is. Maar dat het veel vaker gebeurt dan naar buiten wordt gebracht is wel zeker.
Dreamvoid @AugmentoR14 januari 2011 17:15
Het kan moeilijk minder vaak gebeuren dan het nu naar buiten komt.
Niemand_Anders 14 januari 2011 14:59
Als je niet lekt, hoef je ook niet bang te zijn dat je naam wordt aangetast. Een recent voorbeeld is het Vodafone lek.

Het zal de telecom- en internet providers nog meer aansporen om gewoon een goede beveiliging te hebben.
roy-t @Niemand_Anders14 januari 2011 15:40
Hoewel Vodafone juist er een positieve twist aan heeft kunnen geven door te laten zien hoe daadkrachtig ze zijn in deze zaak.
Barleone @roy-t14 januari 2011 16:42
Ter toevoeging, de bron: nieuws: Ontslagen bij Vodafone Australië na uitlekken inloggegevens
A4-tje 14 januari 2011 15:50
ik denk dat als alle bedrijven het moeten doen en vervolgens het ook daadwerkelijk doen het niet zoveel doet met een goede naam. als je je zaken op orde hebt en niet veel meer lekken hebt dan andere bedrijven je gewoon goed zit.
wat ik dan weer wel fout vind vanuit de overheid is dat openheid/aangeven voorrang heeft op oplossen. het lijkt me vrij belangrijk om meteen het lek te dichten en dan pas engerie te steken in het voorlichten van de mensen/overheid.
Bilel @A4-tje14 januari 2011 16:31
Wanneer een bedrijf verplicht wordt om een lek te melden, zijn ze wegens hun naam ook zichzelf verplicht om het lek te dichten. Reputatie is erg belangrijk voor een bedrijf en het is eigenlijk de enige factor waarbij een bedrijf de privacy van zijn klant boven het geld van zijn klanten zet.
Nazanir 14 januari 2011 15:44
Ook zijn providers bang over de impact van de meldingen op hun naam en de relatie met klanten.
Een goede naam moet je -verdienen-. Het is niet meteen zo dat als je iets opricht je de beste bent en dan blijkt langzaam dat je dat eigenlijk niet bent.

Je moet juist op 0 beginnen en dan naar betrouwbaarheid toe werken, mensen hebben het recht te weten wie goed omgaat met zijn klantenbestand en wie niet, zodat ze zelf kunnen kiezen met wie ze in zee gaan.

Jammer dat het je goede naam schaadt, maar doe dan niets wat je naam KAN schaden.
kzin 14 januari 2011 17:04
Ook zijn providers bang over de impact van de meldingen op hun naam en de relatie met klanten.
Een provider die openheid geeft kan juist aantrekkelijk zijn voor klanten. Het betekent dat als er weinig meldingen zijn, de provider zijn zaken goed op orde heeft (Aangenomen dat hij alles eerlijk meldt).
R-J_W 14 januari 2011 17:59
Het enige probleem met die goede naam, dat ik zie, is dat mogelijk niet elke instelling even eerlijk is over de voorgekomen dataleken.
Dan zou een eerlijke provider juist slechter lijken door het aantal datalekken dat ze melden. Terwijl de gigant die alles stilhoud er goed vanaf komt.
Dit gaat alleen werken wanneer die oneerlijkheid afgestraft kan worden.
Beatboxx 14 januari 2011 18:02
Als je wilt dat je naam niet wordt aangetast, moet je maar geen datalekken veroorzaken. Dit is alleen maar meer openheid naar de klanten, en dit zal de kwaliteit verbeteren. Op deze manier hechten bedrijven meer prioriteit aan datalekken, iets dat erg belangrijk is
Verwijderd 14 januari 2011 22:12
Ik heb er vertrouwen in. De Nederlandse wet is heel rechtvaardig, vooral tegenover slachtoffers. Nederlanders zelf zijn heel dapper. Ze grijpen direct in als ze zien dat er onrecht wordt aangedaan. Ook zijn Nederlanders heel gul.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq