Regering wil boete slechte beveiliging persoonsgegevens verhogen

Door Arnoud Wokke, vrijdag 13 juli 2012 17:37, 67 reacties • Feedback

De regering wil de boete voor slechte beveiliging bij bedrijven die persoonsgegevens laten lekken opschroeven. Waar bedrijven in een concept-wetsvoorstel 200.000 euro boete konden krijgen, wordt dat in het definitieve voorstel 450.000 euro.

De boete kan opgelegd worden aan elk bedrijf waarvan persoonsgegevens zijn uitgelekt. Een eerder concept-voorstel vorig jaar december voor de meldplicht datalekken sprak van een maximale boete van 200.000 euro. In het voorstel dat binnenkort naar de Tweede Kamer wordt gestuurd staat een hogere maximale boete van 450.000 euro. Het wetsvoorstel is nog niet openbaar en wordt pas gepubliceerd als het naar de Kamer wordt gestuurd.

De meldplicht geldt voor alle bedrijven die informatiediensten aanbieden en daarom persoonsgegevens bewaren. De bedrijven moeten daarvoor volgens het wetsvoorstel goede beveiligingsmaatregelen treffen. Als bij een datalek blijkt dat het bedrijf niet voldoende maatregelen had getroffen om de privacygevoelige gegevens te beschermen, kan het College Bescherming Persoonsgegevens een boete opleggen.

Deze meldplicht voor datalekken wijkt af van die in de Telecomwet: die geldt alleen voor enkele sectoren, zoals telecomproviders en aanbieders van gas, water en licht. Daarvoor gelden aanvullende bepalingen: als die bedrijven worden gehackt, mag de overheid die bedrijven dwingen bepaalde maatregelen te nemen.

De afgelopen jaren is het aantal datalekken dat in de media komt fors toegenomen. Door die uitgebreide media-aandacht is ook het bewustzijn rondom beveiliging van persoonsgegevens toegenomen. Dat heeft ertoe geleid dat het demissionaire kabinet de meldplicht datalekken opnam in het regeerakkoord. Overigens kan het cbp niet alle gemelde datalekken onderzoeken, zo erkende minister Teeven al eerder.

Reacties (67)

+2 Alpha Bootis
16 juli 2012 10:45

Boete moet afhangen van het bedrijf en de formaat van de lek. Ik vind het raar dat er sprake is van een minimum of maximum.
Boer Henny en co die via een onhandig lekje wat klantdata van wat melkvee houders op internet zet is van een heel ander niveau dan het klantenbestand van Microsoft. Laatstgenoemde gaat ook weinig merken van 200.000 of zelfs 450.000 euro terwijl die melkveehouder met een boete van 5000 euro al over de kop kan in barre tijden.

Populistisch stemwin gedoe is het. Je moet wel erg simpel zijn om dit te lezen en dan te denken, wow dat hebben ze mooi voor elkaar.

[Reactie gewijzigd door Alpha Bootis op 16 juli 2012 10:46]

0 bantoo
13 juli 2012 17:40

Maximum boete mag nog veel hoger van mij, 200000 is voor sommige bedrijven een peulenschil en vergelijking met de kosten om fatsoenlijk personeel in te huren om je beveiliging te regelen.

Wolfos
@bantoo • 13 juli 2012 18:32

Moet er gewoon van afhangen hoeveel dat bedrijf aan omzet maakt. Dat de website van de pizzatent op de hoek gehackt word, tja, die hebben zoveel geld niet. Voor sommige bedrijven is zelfs €450k een peuleschil, idd.

mad_max234
@Wolfos • 13 juli 2012 22:55

Vind website die gehackt word een slachtoffer(zeker de eerste keer), behoort helemaal geen boete te krijgen. Men behoort gewoon van de spullen af te blijven, en binnen dringen van website is al strafbaar. Is beetje omgekeerde wereld dat website die slachtofferen is geworden van hacker beboet gaat worden. Dat zal niet gebeuren hoop ik anders zijn we ver gezonken in Nederland! Laat politie en overheid maar druk maken om de dader die het heeft gedaan.

En snap dat bedrijf plichten hebben maar je kan je gewoon niet overal voor indekken. Zolang de overheid niet komt met voorbeeldsysteem hoe het wel moet vind ik dat ze eerst naar zichzelf moet kijken. Want is bij deze zelfde overheid een gatenkaas, gaan de ministers dan uit eigen portemonnee de boete betalen die ze zichzelf moeten opleggen.

Een van de vele voorbeelden
http://www.security.nl/ar...s_door_DigiD-blunder.html

[Reactie gewijzigd door mad_max234 op 13 juli 2012 22:59]

Nounours
@mad_max234 • 15 juli 2012 09:19

Sorry, een website of beheerder die NALATIG is is geen slachtoffer en dan is het natuurlijk volkomen terecht dat ze een boete krijgen.
over het algemeen krijgen bedrijven (erg goed) betaald voor het beheren en beveiligen van gegevens, naast deze zakelijke verantwoordelijkheid is er een wettelijke en morele plicht om andermans zaken te beschermen doen ze dat niet (goed genoeg) mogen ze van mij een flinke tik krijgen.
Men behoort gewoon van de spullen af te blijven, klinkt natuurlijk erg leuk en moralistisch, maar in de echte wereld weten we allemaal dat dit niet gebeurt. - Dus beveiligen.
Neemt niet weg dat ik het met je eens ben dat Men gewoon van de spullen af hoort te blijven, de hacker is natuurlijk ook fout bezig en behoort ook vervolgt te worden.

-edit-
een voorbeeldsysteem of richtlijnen zouden een goed idee zijn, maar komend van de overheid? Zoals je zelf al aangeeft zijn ze niet echt een toonbeeld van hoe het moet en tot nu toe is geen enkel overheids IT project geslaagd geloof ik (ns, digid, paspoort)

[Reactie gewijzigd door Nounours op 15 juli 2012 09:29]

EzMe
@mad_max234 • 14 juli 2012 02:34

Slachtoffer worden is voor highprofile bedrijven vaak een kwestie van tijd. Zorgen dat ze hun zaakjes goed op orde hebben is echter een must. Dat er tegenwoordig nog steeds bedrijven zijn zoals yahoo die geen passwords salten vind ik onbegrijpbaar. Ik ben daarom van mening dat deze best gestraft mogen worden.

Major 7
@Wolfos • 14 juli 2012 11:07

450K€ is voor sommige andere bedrijven zoveel dat ze na een hack gelijk falliet zijn.
Als je een klein bedrijfje hebt en je persoonsgegevens zijn gehackt, dan kun je meteen opdoeken met zo'n hoge boete.
Maar wat veel erger is, de regering zou eens hand in eigen boezem moeten steken.
Neem nou bijvoorbeeld vandaag in de Telegraaf:
http://www.telegraaf.nl/b...op_pas_kopieerbaar__.html
Deze hack dateerd al van 2008, VIER jaar geleden en is nog steeds toepasbaar.

Een gehackt paspoort vind ik wel iets belangrijker dan een gehackt facebook account o.i.d.

+1 mschol
@bantoo • 13 juli 2012 18:20

er staat dan ook dat de maximale boete van 200.000 naar 450.000 is gegaan..

hoewel ik het een goed streven vind, is het wellicht effectiever de boete te bepalen a.d.h.v. de inkomsten/grootte van het bedrijf, met een hoog maximum (b.v. 1 miljoen)

+1 jvd-nl
@mschol • 13 juli 2012 18:42

Resultaat is dan dat het beheren van de persoonsgegevens in een aparte rechtspersoon (bv stichting) wordt ondergebracht. Die rechtspersoon brengt dan kosten in rekening voor het beheer, maar die omzetgetallen blijven relatief natuurlijk enorm laag.

MadEgg

@jvd-nl • 13 juli 2012 18:45

Tja, maar dat wordt dan dus uit naam van het moederbedrijf gedaan, dus dan moet er natuurlijk naar de omzet van dat moederbedrijf gekeken worden.

+2 Gert
@MadEgg • 16 juli 2012 11:17

Nee, want die stichting is gewoon een leverancier van diensten en zo ver ik weet ben je als klant niet aansprakelijk voor wat je leverancier uitspookt.

Zou raar zijn dat ik een nieuwe boom moet betalen als de AH met zijn busje met mijn boodschappen een boom omver rijdt.

ADQ
@bantoo • 13 juli 2012 19:00

Men zit in de Kamer nog steeds vast aan de gulden? 1 miljoen gulden is (afgerond) 450.000 euro. En dat bedrag gebruiken ze overal.
Oh, wacht, dat staat waarschijnlijk nog in een Wetboek van Strafrecht of zo.....

Op zich een goed idee, vooral ook vanwege dit op nu.nl:

Publieke bedrijven die veel persoonsgegevens beheren zijn bijvoorbeeld de Belastingdienst of uitkeringsinstantie UWV. In de commerciële sector moet dan gedacht worden aan onder meer supermarkten die gegevens bewaren van hun klanten of verwerkers van salarisgegevens.

Ze pakken zichzelf dus ook, en de grote bedrijven. Maar ik vraag me af wat de boetehoogte zou zijn als (slechte gedachte) tweakers gehackt wordt. VNU is groot genoeg, maar willen ze dan nog door met deze site als ze de maximale boete krijgen?

NESFreak
@ADQ • 13 juli 2012 19:54

UWV en de belastingdienst. Kun je die twee überhaupt een boete opleggen?

Hoe zorgt de regering zelf dat het verantwoord met persoonsgegevens omgaat?

Kees de Jong
@bantoo • 13 juli 2012 20:12

Leuke inkomsten voor het rijk.

Het zou wat eerlijker zijn uiteraard als het bedrijf in kwestie betaalt naar draagkracht als voorbeeld een bepaald percentage van de netto winst..

Diegenen die daadwerkelijk hierdoor getroffen worden zien denkelijk geen cent hiervan hun kant opkomen.

Edit: typo

[Reactie gewijzigd door Kees de Jong op 14 juli 2012 04:31]

+1 avanhel
@bantoo • 15 juli 2012 11:15

Eigenlijk vind ik het beter als ze en afhankelijke boete opgeven in plaats van een vaste boete. Ik zat te denken aan bijvoorbeeld 1 % van je jaaromzet als boete. Dit zal namelijk elk bedrijf op een vergelijkbare manier treffen.
Als trouwens is aangetoond dat de hacker zonder kwade bedoelingen contact heeft gezocht met het bedrijf en deze is afgewezen zou de boete moeten worden verdubbeld.

Countess
@bantoo • 13 juli 2012 20:48

ik vraag me af of hier uberhoupt wel een boete op moet staan. de schade aan je reputatie lijkt me al genoeg. als je er ook nog een boete op zet gaan bedrijven helemaal er alles aan doen om het stil te houden.

en criminelen gaan daar gebruik van maken door die bedrijven af te persen, voor de helft van het maximum boete bedrag bijvoorbeeld.

ocf81
13 juli 2012 17:44

Eindelijk wordt er werk gemaakt van de bescherming van privacy met iets wat hopelijk op privacy by design gaat aansporen. Hopelijk wordt het gebruik van door hacks verkregen data ook ooit eens strafbaar gesteld zodat het misbruik ook daadwerkelijk aangepakt kan worden.

[Reactie gewijzigd door ocf81 op 13 juli 2012 17:45]

WK100
@ocf81 • 13 juli 2012 17:49

Maar hoe ga je dan bewijzen dat de data door hacks is verkregen, en niet van een legitiem iets?

ocf81
@WK100 • 13 juli 2012 18:02

Je neemt alle computers en alle mailaccoiunts van de aangeklaagde partijen in beslag en analyseert ze en vervolgens ga je de hele keten op dezelfde manier af?

ADQ
@ocf81 • 13 juli 2012 19:42

Zou dit er ook onder vallen?
'naam-nummer-controle' ING? Dat is geen hack, maar het "minder legaal" gebruiken van een controle feature van een bank.
nieuws: 'Hacker steelt gegevens miljoen ING-klanten' - update
Je verkrijgt echter wel persoonsgegevens.

ocf81
@ADQ • 13 juli 2012 20:10

Je kan er redelijkerwijs vanuit gaan dat het niet de bedoeling is om op die manier aan die gegevens te komen, dus ik zou dan zeggen dat het ook niet zou mogen. Uiteindelijk geldt persoonsgegevens zijn persoonsgegevens en daar moet je niet mee aan de haal gaan zonder toestemming.

0 VNA9216
@ocf81 • 14 juli 2012 10:08

Alleen ben ik wel benieuwd of de overheid zichzelf nu flink gaat beboeten. De chip in mijn paspoort die ik verplicht van de overheid moet hebben is gewoon op afstand uit te lezen, hierop staat zelfs mn BSN, geboortedatum, pasfoto, vingerafdruk etc. Als er een partij laks is met de privacy en het niet goed beveiligd heeft is het onze oh zo geweldige overheid wel.

0 Gert
@ocf81 • 16 juli 2012 11:22

Komt natuurlijk ook omdat allerlei instanties willen dat je gegevens x jaar bewaart.

Als je bijvoorbeeld bij een bestelling alleen zou hoeven te bewaren wat er is besteld, en niet door wie noch de manier van betalen, zou je al die gegevens weg kunnen mikken nadat het lever proces is afgehandeld.
Maar ja, dan gaan klanten ook weer huilen dat ze een jaar later niet nog eens lekker de factuur kunnen downloaden.

+1 herbalx
13 juli 2012 17:57

Volgens mij wordt in de EU gesproken over boetes van 10% van de omzet. Hierbij wordt een meer passende boete per bedrijf opgelopen. Een redelijke goede manier van beboeten....

Echter verhoud de boete zich dan niet toch de schade die mogelijk is of wordt geleden. Een kleine bedrijf met een kleine omzet kan best de gegevens van 1 Miljoen mensen verwerken c.q. opgeslagen hebben. De potentiele schade is dan groter als bij een zeer grokot bedrijf die de gegevens van 1000 mensen lekt.

Mogelijk moet men de boete koppelen het aantal personen waarvan de informatie gelekt is, het type informatie en de hoeveelheid per individu.

Als ik eerlijk ben vind ik daarmee niet dat een dergelijk incident is afgedaan. Het bedrijf heeft zich wel eens waar niet aan de regelens gehouden en heeft daar een boete voor gekregeken maar de werkelijke (potentieele) slachtoffer zijn de mensen waarvan de gegevens gelekt zijn.
Zij zullen worden geconfronteerd met misbruik van de gegevens en zij zullen de daadwerkelijk schade lijden. Deze schade is zeer moeilijk vooraf te calculeren omdat men niet weet hoelang en hoeveel de gegevens misbruikt worden, dit kan éénmalig zijn maar kan ook jaren tot niet tientalle jaren aanhouden (voor geinteresseerde, google eens op Ron Kowsoleaa als voorbeeld). Wat gebeurt er met de (potentieel) gedupeerde?

Want op deze manier verdwijnt het boete geld in de zakken van de overheid terwijl dit alleen de controlerende partij is en de burgers juist de partij zijn die het risico loopt op mogelijk misbruik met schade tot gevolg

+1 theemstra
@herbalx • 13 juli 2012 18:05

Dan zijn er toch ook manieren om die boetes eenvoudig te omzeilen?
Je zet dan een extra BV op, met als enige 'klant' het grote bedrijf die zn gegevens wil beveiligen.
Dan is 10% van de omzet natuurlijk velen malen minder dan 10% van de omzet van het grote bedrijf...

+1 herbalx
@theemstra • 13 juli 2012 18:12

Niet helemaal, jij als gebruik sluit een overeenkomst met het grote bedrijf. Aan de hand daarvan heeft het grote bedrijf een verantwoordelijk ten opzichte van jou. de extra BV in dit geval heeft een overeenkomst na te leven met het grote bedrijf en niet met de klant.

Als de extra BV dan in de fout gaat bij het beveiligen van de persoongegevens is het grote bedrijf in dit verhaal aansprakelijk ten opzicht van de gebruikers. Het is de verantwoordelijkheid van het grote bedrijf om haar gegevens te beveiligen conform de daaraan gestelde eisen.

Als het grote bedrijf ervoor kiest haar gegevens onder te brengen in de extra BV is dat de verantwoordelijkheid van het grote bedrijf om beveiligingsmaatregelen af te dwingen, te implementeren en te controleren. (bijv. middels audits)

Voorbeeld: Je maakt een account aan bij google (of welke andere willekeurige partij) en google brengt deze gegevens onder bij Janssen BV en Janssen BV wordt gehackt of lekt op andere wijze deze gegeven, dan moet je google aansprakelijk stellen en google moet op haar beurt Janssen BV aansprakelijk stellen.

+1 theemstra
@herbalx • 13 juli 2012 18:19

Ja, maar het ging hier niet om de persoon waarvan de gegevens van gestolen zijn, dat die iemand aansprakelijk moet stellen (lijkt mij), het gaat er om wie de boete krijgt.
Het lijkt mij in ieder geval logisch als ik een bedrijf in huur om de gegevens van mijn klanten te laten beheren (wat ik nooit zou doen), dat ik dan niet verantwoordelijk ben voor de gevolgen van een lek bij dat bedrijf...

0 herbalx
@theemstra • 13 juli 2012 19:06

Je bent dan wel verantwoordelijk ten opzichte van je klanten.

+1 The Zep Man
13 juli 2012 18:19

De regering wil de boete voor slechte beveiliging bij bedrijven die persoonsgegevens laten lekken opschroeven. Waar bedrijven in een concept-wetsvoorstel 200.000 euro boete konden krijgen, wordt dat in het definitieve voorstel 450.000 euro.

Dit gaat niets uitmaken, omdat het risico dat het uitkomt dat iets is uitgelekt klein is. Je leest het van een aantal gevallen in het nieuws, maar veel gevallen worden stil gehouden. De boete is alleen maar een extra reden om dit stil te houden. En als het toch uitkomt: Wir haben es nicht gewusst, waardoor ze onder de meldplicht uitkomen en alleen maar de boete moeten betalen.

Een alternatief dat wel werkt: stel functies binnen een bedrijf hoofdelijk aansprakelijk. Begin bij de CxO/directie en werk vanaf daar naar beneden totdat het aantoonbaar is dat de betreffende werknemerslaag geen onderdeel meer was van de beslissingen omtrent het onderwerp. Iedereen vanaf de top tot die laag kan dan persoonlijk beboet worden. In de VS was al bewezen dat dit systeem werkt bij stugge bedrijven die hun financiële boekhouding niet op wilden krijgen.

[Reactie gewijzigd door The Zep Man op 13 juli 2012 18:28]

+1 theemstra
@The Zep Man • 13 juli 2012 18:21

Het is nu zo dat als er een lek is, dat je dat verplicht moet melden, dat staat in de nieuwe Telecomwet. Daar onderuit proberen te komen zal je vroeg of laat toch in de problemen brengen denk ik.

+1 The Zep Man
@theemstra • 13 juli 2012 18:23

Het is nu zo dat als er een lek is, dat je dat verplicht moet melden, dat staat in de nieuwe Telecomwet. Daar onderuit proberen te komen zal je vroeg of laat toch in de problemen brengen denk ik.

Welk deel van "Wir haben es nicht gewusst" begrijp je niet? Je kan niet iets melden als je er niets vanaf weet. En niemand kan bewijzen dat jij ergens wel wat van af weet wanneer hierover niets te vinden is.

In de situatie dat het lek uitkomt zou dan alleen de boete van maximaal € 450.000 betaald moeten worden en wordt de boete voor het negeren van de meldplicht vermeden, omdat het niet te bewijzen is dat deze genegeerd werd.

[Reactie gewijzigd door The Zep Man op 13 juli 2012 18:28]

+1 raro007
13 juli 2012 17:42

straks hoef je niet voor elke website je persoonse gegevens in te voeren omdat ze bang zullen zijn dat ze gehackt woorden en een boete oplopen.

[Reactie gewijzigd door raro007 op 13 juli 2012 17:42]

bwerg
@raro007 • 13 juli 2012 17:49

Als ze serieus twijfelen over of ze eigenlijk wel een goede beveiliging kunnen regelen, dan is dat wel een verbetering. Nu zie je vaak bedrijven die het niet eens proberen, en gewoon "die handige buurjongen" lijken in te huren voor een website. En dan met SQL-injectie of door een volgnummertje in de URL te veranderen binnenkomen, zonder dat dat bedrijf zich enige zorgen hoeft te maken (wel de hacker aanklagen natuurlijk hé!). Nee, dank je.

Overigens boeit de hoogte van de boete mij weinig: hoe wordt dit gehandhaafd? Wordt dit ook actief gecontroleerd (audits, ofwel een poging tot hacken door een controleur, al dan niet steeksproefgewijs)? Het is voor burgers die twijfelen over beveiliging van hun gegevens, niet toegestaan om dit te doen... En als er inderdaad in de wet staat "De boete kan opgelegd worden aan elk bedrijf waarvan persoonsgegevens zijn uitgelekt" dan is dat natuurlijk mosterd na de maaltijd. Die boete moet al voor het lekken gegeven kunnen worden, als gebrekkige beveiliging is aangetoond.

[Reactie gewijzigd door bwerg op 13 juli 2012 17:54]

+1 subnet 12
13 juli 2012 17:54

Als de regeringen nu al eens moesten beginnen met het veilig omgaan van persoonsgegevens. We zouden al in een betere wereld leven.

Als je af en toe ziet, wat voor oude software en apparatuur er bij de overheid nog draait, waar vertrouwelijke informatie op bewaart wordt of gebruikt wordt, verwondert het me iedere dag dat je niet gewoon op google iemands belastingsaangifte kunt opvragen.

+1 n4m3l355

Economie en maatschappij

@subnet 12 • 13 juli 2012 18:18

Dit is ook eigenlijk de hilariteit in dit hele verhaal. Natuurlijk had deze regel eigenlijk al 10 jaar geleden in plaats moeten zijn maar waarom ontbreekt de grootste verzamelaar van persoonlijke gegevens? De overheid beschikt over talloze databases die toch met enige regelmaat niet zo positief in het nieuws komen. BIj een bedrijf al zou deze wetgeving ontbreken rollen er koppen wanneer zoiets gebeurd, bij de overheid... niets.

Verder klinkt zo'n regel mooi zeker richting het publiek maar waarom nu pas? Daarnaast hoe denkt men zo'n regel uit te voeren. Ook vraag ik me af of zoiets publicaties ten goede komt, nu publiceer je zonder gevolgen dat er een hack is geweest. Ik kan me goed voorstellen in de toekomst dat men misschien overweegt om het dan maar stil te houden als bedrijf zijnde ...

+1 demilord
13 juli 2012 18:25

Geldt dit ook voor instanties en gemeente sites en digid e.d.?

0 theemstra
@demilord • 13 juli 2012 18:31

Tuurlijk! Die staan niet boven de wet.

mcDavid
@theemstra • 13 juli 2012 20:07

Er wordt anders wel specifiek over bedrijven gesproken. What about particulieren, verenigingen, enz?

DaMayan
13 juli 2012 18:33

Ik weet eigenlijk niet of dat wel terecht is.
Natuurlijk is het de verantwoordelijk van het bedrijf om persoonsgegevens goed te beveiligingen. Maar aan de andere kant is praktisch niets 100% hack-proof. Moet je dan als bedrijf die (toevallig?) aangevallen wordt gelijk een zware boete krijgen?

Eigenlijk zou de regering met preventieve maatregelen moeten komen. Best-practices en uitleg wat je wel of niet moet doen aanbieden bijvoorbeeld. Of in de extreme misschien wel periodieke controles uitvoeren en desnoods daarop beboeten. Ik vind het een beetje raar om te beboeten nadat al slachtoffer bent geworden van een willekeurige hacker.

+1 falconhunter
13 juli 2012 18:42

Let op de terminologie... "bedrijven die persoonsgegevens laten lekken". Wat is lekken in dit verband? Slechte beveiliging waardoor een hacker inbreekt (strafbaar, maakt weinig uit wat je beveiliging is)? Een disk die niet gewist is met het vuil meegeven?

Als een hacker door een bug in software binnenkomt kan de beheerder de makers van de software aansprakelijk stellen (dit is reeds enige malen gedaan) voor de boete. Volgens de wet ook als er recentelijk een bugfix is gedaan want het oplossen van een probleem betekent niet dat je voor de schade niet verantwoordelijk bent voor wat er daarvoor is gebeurt. Je bent als maker verantwoordelijk voor het informeren van je gebruikers volgens de wet. Ik weet niet of dit een goede wet is en ik weet zeker dat veel tweakers zich niet geheel realiseren wat de gevolgen zijn.

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Regering wil boete slechte beveiliging persoonsgegevens verhogen

Lees meer over

Nieuwste IT Banen

LOI ICT Opleidingen

Gerelateerde content

Sorteer op:

Weergave:

Reacties (67)