Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties

Europese providers hebben tegenover Enisa, de Europese organisatie die over cybersecurity gaat, hun zorgen uitgesproken over het verplicht melden van datalekken. Ze vrezen onder andere aantasting van hun goede naam.

Enisa heeft een inventarisatie gemaakt van de zorgen van zowel providers als de Data Protection Authorities van de verschillende lidstaten over de ePrivacy Directive (2002/58/EC). Deze richtlijn van eind 2009 verplicht lidstaten om het melden van datalekken voor isp's en telecombedrijven in wetgeving op te nemen. De inventarisatie moet tot betere procedures voor het melden leiden en ook helpen bij de beslissing om de meldplicht naar andere sectoren uit te breiden.

Providers en databeschermingsautoriteiten maken zich vooral zorgen over een stortvloed aan meldingen die onderzocht moet gaan worden, hoewel lang niet elke notificatie dit onderzoek mogelijk waard is. Ze pleiten daarom voor een prioritering, waarbij ernstige lekken voorrang krijgen. Daarbij komt dat providers liever eerst hun energie richten op het oplossen van het probleem, terwijl de autoriteiten liefst zo snel mogelijk op de hoogte willen worden gesteld.

Ook zijn providers bang over de impact van de meldingen op hun naam en de relatie met klanten. Ze willen dan ook garanties dat de notificaties hun naam niet aantasten, terwijl de autoriteiten zoveel mogelijk informatie willen geven die voor gedupeerden van belang is. De aanbieders willen klanten ook niet onnodig ongerust maken, terwijl de Data Protection Authorities naar zoveel mogelijk transparantie streven.

Ook in Nederland gaat de regering de meldplicht invoeren. In Duitsland, Spanje, het Verenigd Koninkrijk en Ierland is de verplichte notificatie voor isp's en telco's al in de wet opgenomen.

Moderatie-faq Wijzig weergave

Reacties (28)

Ook zijn providers bang over de impact van de meldingen op hun naam en de relatie met klanten.
Dat lijkt me precies het idee. Naming&Shaming. Wil je die aantasting van je goede naam voorkomen, dan maak je het voorkomen van lekken eens prioriteit #1, in plaats van #549.

Overigens is het jammer dat alleen access providers en isp's hiertoe verplicht zijn. Waarom niet gewoon alle bedrijven + overheden?
Wat betreft alle bedrijven denk ik dat dat gewoon heel slecht te realiseren zal zijn. Bedrijven zou namelijk een uitermate vage term zijn, want wanneer ben je een bedrijf? ISP's en telecomproviders zijn harde begrippen.

Maar bedrijf? Tsja, is je buurmeisje welk gedrukte shirts met haar paard erop verkoopt om d'r site in de lucht te houden.... een bedrijf?

Zodra je geen sterke scheiding maakt zul je vele gevallen krijgen waarin het onduidelijk zal zijn of het van toepassing is of niet. Wat uiteindelijk nodeloze kosten met zich mee zal brengen om dat weer verder uit te zoeken, plus mensen nodeloos zou verassen die geen idee hadden.

Zeker met 'bedrijven' welk enkel op het web bestaan, er zijn zoveel mensen met een of andere commerciele insteek online en de veiligheid van het gros hiervan is zo klote, dat het niet haalbaar zou zijn om ze allemaal op 1 hoop te gooien.
Bedrijven zou namelijk een uitermate vage term zijn, want wanneer ben je een bedrijf?

Als je bij de KvK bent ingeschreven, toch?
Bij de KvK staan ook stichtingen en verenigingen ingeschreven. Dus die stelling gaat al niet op. ;)

Daarnaast, ook particulieren kunnen een website starten, mensen dwingen in te loggen en gegevens kwijtraken. Waarom zou zo'n website dan niet aan de regels hoeven te voldoen? Of je voetbalvereniging? Of stichtingen als Brein?

In mijn ogen zegt iemand die roept "Alle bedrijven" in feite "iedereen die persoonlijke informatie van anderen heeft." En dan zeg ik dat je logischerwijs zelfs het verliezen van een mobiele telefoon (met adresboek en SMS en emails) als datalek moet kwalificeren. Dat gaat dus niet werken en dus moet de wetgeving gericht zijn op bedrijven die erg veel en erg gevoelige informatie hebben. Probleem is dat ik dan denk aan bedrijven als de AH met hun klantenkaart, verzekeraars en banken. En die blijven hier buiten schot.
Dat is toch gemakkelijk: Zodra je persoonlijke identificerende data (zoals de Amerikaanse SSN), medische data (gelijk wat) of financiële data (kredietkaart nummers etc.) opslaat moet je lekken aangeven. Als je gewoon naam, adres, telefoon nummer opslaat (data die publiek toegankelijk is) dan moet je de lekken niet aangeven. Persoonlijke e-mails etc. hoeven geen datalek te zijn, echter als je een e-mailtje kwijt raakt met een Excel document van alle patiënten van een psychiatrisch instituut moet je dit wel aangeven.

Wat momenteel het moeilijkste te bewaken is is financiele data. Het zou moeten mogelijk zijn om zelf je elektronische betalingen te maken aan een bedrijf zonder dat zij de informatie van je bank nodig hebben. Het enige dat ze zouden nodig hebben is je naam, adres en klantnummer die je via een gestructureerd stuk data bij de betaling gebruikt om je betaling te identificeren. Een alternatief is dat je random banknummers toegewezen krijgt die enkel werken voor de betaling van een enkel bedrijf. Mijn bank kan dit momenteel voor VISA, gewoon op de website een knopje drukken en ik krijg een VISA nummer die slechts geldig is voor een bepaalde som of een bepaalde tijd.

[Reactie gewijzigd door Guru Evi op 15 januari 2011 08:28]

Waarom niet gewoon alle bedrijven + overheden?
Omdat het publiek er dan pas achter komt hoe slecht onze samenleving en de productie ervan in elkaar zit. Er zijn maar weinig bedrijven die het ECHT goed doen.
"Ze vrezen onder andere aantasting van hun goede naam."

Als dat zo is dan zullen ze deze goede naam ook niet verdient hebben.... (lees dat ze deze dus verdient hebben door het achterhoduen van hun datalekken/fouten)
Zolang zelfs een ISP als XS4ALL last heeft van datalekken, vraag ik me af of je lekken kunt voorkomen. Vandaar dat er wetgeving in de maak is die het bezit van gelekte data strafbaar stelt.
En zo houden we elkaar leuk bezig met wetten maken die goed bedoeld zijn, goed scoren in de media, maar onmogelijk te handhaven zijn (en dus het probleem niet oplossen):
- een wet op het bezit van gelekte data (privacy inbreuken, goedemorgen)
- een wet op het melden van datalekken (die je niet wist dat je had)

[Reactie gewijzigd door Dreamvoid op 14 januari 2011 15:23]

Dat is de core business van overheden in al hun vormen: het maken van allerlei regels.

Als ze daar mee op zouden houden zou het maar zo eens kunnen dat mensen zich gaan afvragen waar ze al die ambtenaren voor nodig hebben en waarom meer dan de helft van hun inkomen afgepakt wordt om de overheid te betalen...

Overheden zorgen dus wel dat ze bij elk incident zeggen "wel verdorie, daar gaan we gauw regels voor maken".

Burgers zijn hier ook schuldig aan door schijnveiligheid van de overheid te eisen, in plaats van te accepteren dat er gewoon dingen mis kunnen gaan waar de overheid ook niets aan kan doen ongeacht de hoeveelheid regels die ze maken en de hoeveelheid geld die daaraan verspild wordt.

[Reactie gewijzigd door Vizzie op 14 januari 2011 15:27]

Ik heb bij een handjevol bedrijven gewerkt, waaronder isp's, en steeds vind ik weer bugs. Soms grote of kleine, maar ze zijn er altijd. En ik weet zeker dat een of andere wetgeving hier niks aan gaat doen. Mensen zijn gewoon niet perfect, laat staan de programma's die ze maken. Dit is alsof je een wet maakt tegen zwaartekracht.
Ik zie meer in een wet die zwaartekracht verplicht stelt. Ik denk dat daar brede steun voor is: het moet maar eens uit zijn met al dat gedogen. Er moeten dan natuurlijk wel controleurs worden opgeleid, die het land rondlopen en overal controleren of voorwerpen zich wel aan de wet van de zwaartekracht houden. Ballonnen krijgen na een grondige technische inspectie een ontheffing en een keurmerk, met natuurlijk een accijnsheffing.

[Reactie gewijzigd door Dreamvoid op 14 januari 2011 16:47]

Laat ons hopen dat die wetgeving dan websites zoals wikileaks niet ook aantast.
Wat heeft WIkiLeaks hiermee te maken?

Het gaat er hier om dat een bedrijf het meld als er informatie is gelekt (of kan lekken), en het niet in een doofpot terecht komt.
Op dit moment wordt het alleen bekend als het al te laat is.

WL plaatst alleen informatie die al gelekt is, maar niemand wist dat die informatie ook daadwerkelijk weg (lees: gekopieerd) was. In dit geval zou het amerikaanse leger dus moeten melden dat de informatie buiten de deur terecht was gekomen al voordat het op WL kon komen. Mits ze het natuurlijk wisten.
Daar is het o.a. ook voor bedoeld. Als je het nu niet kan verbieden dan maak je een wet die het strafbaar maakt.
Zou het voorkomen van datalekken gewoon veel vaker gebeuren dan wij nu nog vermoeden?
Dat ligt er maar aan wat je vermoeden is. Maar dat het veel vaker gebeurt dan naar buiten wordt gebracht is wel zeker.
Het kan moeilijk minder vaak gebeuren dan het nu naar buiten komt.
Als je niet lekt, hoef je ook niet bang te zijn dat je naam wordt aangetast. Een recent voorbeeld is het Vodafone lek.

Het zal de telecom- en internet providers nog meer aansporen om gewoon een goede beveiliging te hebben.
Hoewel Vodafone juist er een positieve twist aan heeft kunnen geven door te laten zien hoe daadkrachtig ze zijn in deze zaak.
ik denk dat als alle bedrijven het moeten doen en vervolgens het ook daadwerkelijk doen het niet zoveel doet met een goede naam. als je je zaken op orde hebt en niet veel meer lekken hebt dan andere bedrijven je gewoon goed zit.
wat ik dan weer wel fout vind vanuit de overheid is dat openheid/aangeven voorrang heeft op oplossen. het lijkt me vrij belangrijk om meteen het lek te dichten en dan pas engerie te steken in het voorlichten van de mensen/overheid.
Wanneer een bedrijf verplicht wordt om een lek te melden, zijn ze wegens hun naam ook zichzelf verplicht om het lek te dichten. Reputatie is erg belangrijk voor een bedrijf en het is eigenlijk de enige factor waarbij een bedrijf de privacy van zijn klant boven het geld van zijn klanten zet.
Ook zijn providers bang over de impact van de meldingen op hun naam en de relatie met klanten.
Een goede naam moet je -verdienen-. Het is niet meteen zo dat als je iets opricht je de beste bent en dan blijkt langzaam dat je dat eigenlijk niet bent.

Je moet juist op 0 beginnen en dan naar betrouwbaarheid toe werken, mensen hebben het recht te weten wie goed omgaat met zijn klantenbestand en wie niet, zodat ze zelf kunnen kiezen met wie ze in zee gaan.

Jammer dat het je goede naam schaadt, maar doe dan niets wat je naam KAN schaden.
Ook zijn providers bang over de impact van de meldingen op hun naam en de relatie met klanten.
Een provider die openheid geeft kan juist aantrekkelijk zijn voor klanten. Het betekent dat als er weinig meldingen zijn, de provider zijn zaken goed op orde heeft (Aangenomen dat hij alles eerlijk meldt).
Het enige probleem met die goede naam, dat ik zie, is dat mogelijk niet elke instelling even eerlijk is over de voorgekomen dataleken.
Dan zou een eerlijke provider juist slechter lijken door het aantal datalekken dat ze melden. Terwijl de gigant die alles stilhoud er goed vanaf komt.
Dit gaat alleen werken wanneer die oneerlijkheid afgestraft kan worden.
Als je wilt dat je naam niet wordt aangetast, moet je maar geen datalekken veroorzaken. Dit is alleen maar meer openheid naar de klanten, en dit zal de kwaliteit verbeteren. Op deze manier hechten bedrijven meer prioriteit aan datalekken, iets dat erg belangrijk is
Ik heb er vertrouwen in. De Nederlandse wet is heel rechtvaardig, vooral tegenover slachtoffers. Nederlanders zelf zijn heel dapper. Ze grijpen direct in als ze zien dat er onrecht wordt aangedaan. Ook zijn Nederlanders heel gul.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True