Bedrijven moeten lekken persoonsgegevens melden aan klanten

Nederlandse bedrijven moeten het voortaan aan klanten melden als door een lek of hack persoonlijke gegevens in handen van derden kunnen zijn gevallen. De meldplicht voor datalekken gaat gelden voor aanbieders van informatiediensten.

Het is nog onduidelijk wie er precies onder vallen, maar het kabinet noemt banken en verzekeringsmaatschappijen als voorbeelden van bedrijven die een meldplicht krijgen. Ook overheidsinstanties vallen onder de nieuwe regels. Wanneer de meldplicht ingaat, is onduidelijk. Het kabinet gaat de Wet bescherming persoonsgegevens aanpassen om de meldplicht erin op te nemen.

De wetswijziging verplicht die bedrijven om niet alleen klanten te melden als door een hack of lek persoonsgegevens kunnen zijn ontvreemd, maar ook toezichthouder College Bescherming Persoonsgegevens moet op de hoogte gesteld worden. Als klanten of het CBP niet op de hoogte worden gesteld, kan een boete worden uitgedeeld. Op dit moment is het melden van datalekken niet verplicht in Nederland. De meldplicht komt niet als een verrassing: de maatregels stond aangekondigd in het regeerakkoord.

Het gebeurt geregeld dat datalekken in de publiciteit komen. Een recent voorbeeld is de ontvreemding van accountgegevens van 77 miljoen leden van PlayStation Network. Andere bekende voorbeelden zijn die van NL Energie, waarbij gegevens van alle klanten op straat kwamen te liggen en Kasboek.nl, dat per abuis financiële gegevens van duizenden klanten openbaarde.

Er is voor privacyvoorvechters niet alleen goed nieuws van het kabinet: in dezelfde wet wordt opgenomen dat camerabeelden die bedrijven en particulieren maken voor hun eigen veiligheid voortaan vier weken mogen worden bewaard. Nu staat die termijn op 24 uur. Met de maatregel wil de overheid cameracontrole aantrekkelijker maken voor bedrijven en particulieren.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 29-04-2011 17:39 35

29-04-2011 • 17:39

35

Lees meer

25 nov 2011

Een datalek: wat nu?

40
Thuiswinkel.org: privacywaakhonden trekken te veel macht naar zich toe
Thuiswinkel.org: privacywaakhonden trekken te veel macht naar zich toe Nieuws van 27 februari 2013
Regering wil boete slechte beveiliging persoonsgegevens verhogen
Regering wil boete slechte beveiliging persoonsgegevens verhogen Nieuws van 13 juli 2012
Overheid mag ingrijpen bij telecomproviders na hack
Overheid mag ingrijpen bij telecomproviders na hack Nieuws van 6 juli 2012
Databasegegevens van Nationale Theaterkassa uitgelekt
Databasegegevens van Nationale Theaterkassa uitgelekt Nieuws van 22 februari 2012
'Hack bij KPN kinderlijk eenvoudig door verouderde software'
'Hack bij KPN kinderlijk eenvoudig door verouderde software' Nieuws van 9 februari 2012
Overheid publiceert wetsvoorstel meldplicht datalekken
Overheid publiceert wetsvoorstel meldplicht datalekken Nieuws van 22 december 2011
Logingegevens Verenigde Naties zijn uitgelekt
Logingegevens Verenigde Naties zijn uitgelekt Nieuws van 30 november 2011
Finse website laat gegevens 70.000 gebruikers uitlekken
Finse website laat gegevens 70.000 gebruikers uitlekken Nieuws van 28 november 2011
'Apple en Sony moeten consumentenvertrouwen terugverdienen'
'Apple en Sony moeten consumentenvertrouwen terugverdienen' Nieuws van 4 mei 2011
CBP en politie in dispuut over rechtmatigheid opvragen gegevens
CBP en politie in dispuut over rechtmatigheid opvragen gegevens Nieuws van 2 mei 2011
Overheid besluit dit jaar over elektronische identiteitskaart
Overheid besluit dit jaar over elektronische identiteitskaart Nieuws van 23 februari 2011
Providers spreken zorg uit over meldingsplicht datalekken
Providers spreken zorg uit over meldingsplicht datalekken Nieuws van 14 januari 2011
Bedrijven en overheden krijgen meldplicht voor datalekken
Bedrijven en overheden krijgen meldplicht voor datalekken Nieuws van 30 september 2010
Bond: Medische gegevens lekken uit via afgedankte pc's Hartstichting
Bond: Medische gegevens lekken uit via afgedankte pc's Hartstichting Nieuws van 8 september 2010
Meer producten en artikelen
Economie en maatschappij Privacy Nederland Wetgeving

Reacties (35)

-Moderatie-faq
35
35
22
2
0
7
Wijzig sortering

Sorteer op:

Weergave:
Motrax 29 april 2011 18:20
Er is voor privacyvoorvechters niet alleen goed nieuws van het kabinet: in dezelfde wet wordt opgenomen dat camerabeelden die bedrijven en particulieren maken voor hun eigen veiligheid voortaan vier weken mogen worden bewaard. Nu staat die termijn op 24 uur.
En wat is hier dan zo slecht aan voor de privacy? Als een bedrijf zich niet houdt aan de 24 uurs termijn, dan zal het bedrijf zich ook wel niet houden aan de 4 weken termijn. Dus het verschil is 0,0.

Ik zou de maatregel willen doortrekken juist. Bedrijven en particulieren worden verplicht om opnames minimaal bijvoorbeeld 2 weken te bewaren.

Nu is het zo dat wanneer je op straat wordt neergeslagen je er als de kippen bij moet zijn om bij de opnames te komen, als je dat als particulier al mag. En aangifte doen bij de politie en dat de politie de opnames als bewijsmateriaal verkrijgt is een kansloos verhaal met de maximale termijn van 24 uur.

Als de minimale termijn van bijvoorbeeld 2 weken wordt doorgevoerd is er veel meer tijd om de opnames te krijgen.

En als er niet is voldaan aan de minimale bewaartermijn dan kan je de gemeente aansprakelijk stellen voor het feit dat er onvoldoende toezicht is gehouden wanneer de opnames weer eens na een dag overschreven zijn...
Arnoud Engelfriet @Motrax29 april 2011 18:59
Ik kan me wezenloos ergeren aan beveiligers die me vertellen dat je beelden niet langer mag bewaren dan 24 uur. Dat is gewoon keihard niet waar. Nergens in de Wbp staat die termijn genoemd.

De enige plek waar dat getal staat, is in de VRIJSTELLING voor het moeten aanmelden van je cameratoezicht bij het College. Wie meldt, mag beelden 3 maanden bewaren als dat nodig is voor whatever doel hij de camera's hanteert.

Een wetswijziging hiervoor is aperte onzin, dat vrijstellingsbesluit kan de minister per direct zelf herzien.
mashell @Motrax29 april 2011 18:28
Als een bedrijf zich niet houdt aan de 24 uurs termijn, dan zal het bedrijf zich ook wel niet houden aan de 4 weken termijn.
Dat is wel wat kort door de bocht. Als een bedrijf een roulatie systeem heeft met 7 tapes, voor elke dag van de week 1 zijn ze nu formeel in overtreding straks niet meer.
bas.kb 29 april 2011 17:50
Nederlandse bedrijven moeten het voortaan aan klanten melden als door een lek of hack persoonlijke gegevens in handen van derden kunnen zijn gevallen.
Ik vind dat deze maatregel ook moet gelden voor overheidsdiensten, en niet alleen voor het bedrijfsleven. Hoe vaak komt het niet voor dat een medewerker van justitie of defensie een usb-stick laat slingeren of zijn PC met HD bij het grofvuil zet?

Kijk eens in het zwartboek datalekken van Bits of Freedom. Daar zie je ook regelmatig falende overheidsdiensten voorbij komen.

https://www.bof.nl/category/zwartboek-datalekken/
wildhagen
@bas.kb29 april 2011 17:52
[...]


Ik vind dat deze maatregel ook moet gelden voor overheidsdiensten
Dat gebeurt toch ook?
Ook overheidsinstanties vallen onder de nieuwe regels
Staat letterlijk in het artikel.
Hoe vaak komt het niet voor dat een medewerker van justitie of defensie een usb-stick laat slingeren of zijn PC met HD bij het grofvuil zet?
En jij denkt dat dat alleen bij overheidsinstanties is? Ik kan je, met 15 jaar ervaring, garanderen dat dat in het bedrijfsleven net zo vaak, zoniet vaker, gebeurt.
n4m3l355 @wildhagen29 april 2011 21:39
Mij lijkt het een voorbarige statement dat het bedrijfsleven nonchalant(er) met gegevens omgaat dan de overheid. Net zoals vele tweakers kan ik niet meer dan enkel het nieuws lezen maar hoevaak ik niet lees dat de overheid een 'oepsie' doet en dan tot in de domste zin door simpelweg tassen met gegevens achter te laten is ongekend. Ook denk ik dat de incentive voor het bedrijfsleven om geheimen geheim te houden beduidend hoger is, uiteindelijk als ik mijn klapper vergeet wanneer ik buiten de deur ben met bepaalde gegevens staat er contractueel hier zelfs ontslag op.
Verder is het leuk dat de overheid dit oplegd dat men zeker na Sony dit verplicht maar in de US kan het best voorkomen dat de lokale geheime dienst het desbetreffende bedrijf wel iets anders verteld. Mij lijkt dan ook doordat lekkages wereldwijd gebeuren geen haalbare zaak deze enkel in NL te melden, naar mijn inziens dient dit op zijn minst op Europees niveau te gebeuren.
Dat gezegd is het wel spijtig dat het talloze keren fout moet gaan alvorens eindelijk de politiek een beetje wakker schud.
Auteurarnoudwokke Redacteur Tweakers @bas.kb29 april 2011 17:53
Even doorlezen:
Ook overheidsinstanties vallen onder de nieuwe regels.
Zo'n inleiding is max drie regels lang - en daar past eenmaal niet elk element in :)
bas.kb @arnoudwokke29 april 2011 18:02
Je hebt gelijk.

Hier paste het wel ;)

nieuws: Bedrijven en overheden krijgen meldplicht voor datalekken
Verwijderd 29 april 2011 17:46
Dat moet toch pijnlijk zijn voor een bedrijf, al hun klanten moeten mailen dat ze hun vertrouwelijke informatie kwijt zijn.. En dat is maar goed ook, dan is de impuls om het goed te beschermen tenminste hoger! Nu kan het maar beter in de doofpot gestopt worden, aangezien de imagoschade dan nul tot nauwelijks is.

Wat is het nut van extra lange opslag van camerabeelden? Het lijkt me toch wel dat een misdrijf binnen 24 uur bekend is, anders klopt er sowieso iets niet.
Beatboxx @Verwijderd29 april 2011 18:10
Een bedrijf dat alleen op werkdagen open is, vrijdag avond een overval die pas maandagochtend wordt opgemerkt?
Zer0 @Verwijderd29 april 2011 21:46
Het lijkt me toch wel dat een misdrijf binnen 24 uur bekend is, anders klopt er sowieso iets niet.
Diefstal bijvoorbeeld kan best pas later, bij het natellen van de voorraad ontdekt worden. Als een medewerker een laptop van de stapel van honderd haalt hoeft dat lang niet altijd binnen 24 uur ontdekt te worden.
wildhagen
29 april 2011 17:44
Goede zaak, nu weet je nooit of je gegevens nu wel of niet op straat liggen, lijkt me met persoonlijke gegevens toch niet erg prettig ivm privacy etc.

Waarom trouwens niet voor ALLE bedrijven, instellingen, clubs etc zo'n meldplicht? Lijkt me dat het net zo kwalijk is als je prive gegevens op straat komen te liggen als het via commerciele bedrijven gaat, dan wanneer het via een verzekeraar gebeurt.
boto @wildhagen29 april 2011 19:16
Een verzekeraar is een commercieel bedrijf.
ari @boto30 april 2011 01:09
De meeste wel, maar niet alle. Univé profileert zichzelf bijvoorbeeld als vereniging zonder winstoogmerk, wat inhoudt dat hun doel is om hun leden zo goed mogelijke producten te bieden. Het zou daarom wel fijn zijn als alle bedrijven/clubs/verenigingen zo'n meldplicht krijgen. Ook bijvoorbeeld de plaatselijke voetbalclub, als die namelijk ook gegevens van oud-leden bewaart dan gaat het snel...
wildhagen
@boto30 april 2011 06:24
Een verzekeraar is een commercieel bedrijf.
Niet allemaal, zoals ari hierboven al opmerkt.

Daarnaast heb je nog meer commerciele bedrijven, zoals winkels, webshops etc etc, en daar geld deze regeling dus niet voor. En wat mij betreft zou het ook voor hen gewoon mogen gelden.

Het is immers net zo erg als je gegevens via hen op straat komen te liggen, als wanneer dat via een verzekeraar o.i.d. gaat.
sjepper 29 april 2011 17:43
Altijd te laat dit soort maatregelen....

Die gegevens liggen nu al op straat......
Verwijderd @sjepper29 april 2011 17:45
er moet altijd eerst iets misgaan voor dat men een oplossing gaat bedenken of maatregelen gaat nemen om het te voorkomen, ik ben al lang blij dat ze nu wakker zijn geworden en iets gaan doen aan het probleem.
mach2 @sjepper29 april 2011 18:37
Anders ook toch, alleen hadden ze het dan meteen moeten melden ;)
MClaeys @sjepper30 april 2011 01:10
Het is ook geen maatregel tegen het uitlekken van gegevens, daar moeten bedrijven zelf doen. Het zorgt dat het minder makkelijk in de doofpot kan, bedrijven MOETEN nu hun klanten inlichten, ik zou het graag weten als mijn gegevens gestolen worden.
dwilmer @sjepper30 april 2011 07:47
Ik denk dat de overheid druk genoeg is het het dempen van putten waar al kalveren in zijn verdronken (om te voorkomen dat er meer volgen), dan te bedenken welke putten er nog meer zijn.

En wat ook zo is: als je iets bedenkt over een meldplicht, neem ik aan dat je eerst vertrouwt op het fatsoen van de bedrijven om het zelf te melden. Nu blijkt dat de bedrijven het uit zichzelf niet doen, wordt het tijd om het via de wet af te dwingen.
BoringDay @dwilmer1 mei 2011 11:44
Een wet of geen wet zal het er door veranderen?
Een bedrijf die zijn netwerk door derden heeft op laten zetten, hoe moet die in staat zijn dit soort situaties te herkennen?

Ik denk dat daarom naast de wet meer ervoor nodig is.
JoepD 29 april 2011 20:39
Ik vraag me af wat de boete is wanneer de bedrijven deze plicht niet nakomen. Als de boete te laag is, zou het me niks verbazen als ze deze op de koop toenoemen en het dus erop gokken de boel niet te melden, onder het mom van imagobescherming.

Het zou niet het gekste zijn dat bedrijven gedaan hebben.
Kosty 29 april 2011 17:43
Ik weet niet hoe het zit in België hiermee, maar dit vind ik wel een goede regeling. Als dat hier in België nog niet moet wordt dat misschien wel eens tijd...
taeke18 @Kosty29 april 2011 17:51
Inderdaad als je een fout maakt moet je er ook voor uitkomen als je een beetje wat bent als bedrijf. Belgie moet dit ook snel doen kunnen die het misschien nog voor zijn alle fouten die hier in NL al zijn geweest -_-' je wordt er gewoon moe van.
BoringDay @taeke181 mei 2011 11:41
Maar welk bedrijf weet wanneer er sprake van een lek aanwezig is?
En welk bedrijf zal dit werkelijk bekend maken? als het bedrijf niks meld is er ook niks bekend.

Niet iedereen is op de hoogte wanneer er data gelekt is of beschikt over de kennis om dit te detecteren.
Neverwinterx @Kosty29 april 2011 18:57
We hebben nog niet eens een regering :p Ik denk dat je wel even zal moeten wachten
bitbot 29 april 2011 21:15
ik vind dit wel een kwalijke zaak
als je beveiliging niet optimaal is dan laat je het toch eerst testen???(of ben ik nu scheef)
huur 1 of 2 hackers kost wel veel misschien maar dan test je het voor dat je in de lucht stuurt want dan weet je zeker of het goed is ja of nee

maar goed we leven nu in een tijd dat geld belangrijker is dan alles he want geld maakt gelukkig zeggen ze /deel mee eens 8)7 \
Zer0 @bitbot29 april 2011 21:50
Beveiliging is een dynamisch iets, iets wat vandaag niet gekraakt kan worden kan dat morgen misschien wel, niemand kan een systeem garanderen wat (in de toekomst) niet gekraakt kan worden, hoeveel geld je er ook tegen aan gooit.

[Reactie gewijzigd door Zer0 op 24 juli 2024 05:21]

Caelestis @Zer030 april 2011 01:58
En zolang de managers zo denken krijg je inderdaad dynamische situaties waarbij het winst van een periode berekent wordt inclusief de bezuinigingen die ALTIJD als eerste bij de IT afdeling op de stoep staat.

Als je de tijd en geld neemt om echte professionals in dienst te nemen en niet voor een project van 3 tot 6 maanden om je beveiliging bij te werken dan kan je makkelijk een waterdichte situatie creëren.

Helaas blijft het altijd bij "Oeps we hadden toch wel dat IT plan moeten invoeren die we al twee jaar in de kast hebben staan maar maakt niet uit we kunnen wel hackers de schuld geven en aan het eind van het jaar toch nog onze bonus krijgen"
Verwijderd @Zer030 april 2011 12:42
Dat valt ook wel mee. Het is gewoon een kwestie van mensen neerzetten die weten waar ze mee bezig zijn en op voorhand allerlei maatregelen implementeren en daar niet down the road over na gaan zitten denken.
Verwijderd @bitbot30 april 2011 12:44
Je weet natuurlijk pas of je beveiliging niet klopt op het moment dat iemand er omheen loopt.... Maar je kan audits laten uitvoeren ja.
Ik denk dat je meer hebt aan it'ers die het betreffende netwerk op hun handje kennen en daar gewoon in blijven investeren.
Verwijderd 29 april 2011 21:26
Alleen Nederlandse bedrijven? Dat zou niet zo handig zijn. Misschien toch maar verkassen naar net over de grens?
Verwijderd 30 april 2011 12:38
Kan dit niet doorgelust worden naar _alle_ bedrijven? Dus ook joop en co als het bestand van 5 medewerkers dat per abuis publiekelijk toegankelijk is?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq