Organisaties riskeren boete van 450.000 euro bij niet melden datalekken

Organisaties die persoonsgegevens verwerken, riskeren een boete van maximaal 450.000 euro als ze nalaten om datalekken te melden, staat in een wetsvoorstel dat staatssecretaris Teeven van Veiligheid en Justitie vrijdag naar de Tweede Kamer heeft gestuurd.

De meldplicht gaat volgens het wetsvoorstel zowel voor private als publieke organisaties die persoonsgegevens verwerken gelden. Ze moeten de melding doen bij het Cbp bij elke inbreuk 'waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens'. Op het niet naleven van de meldplicht komt een bestuurlijke boete van maximaal 450.000 euro te staan, die het Cbp kan opleggen. Een eerder concept-voorstel vorig jaar december voor de meldplicht datalekken sprak van een maximale boete van 200.000 euro.

Volgens de staatssecretaris is niet noodzakelijk dat de inbreuk het gevolg is van slechte beveiliging. "Denk bijvoorbeeld aan een hack van een ict-systeem dat persoonsgegevens bevat of de diefstal van een laptop of mobiele telefoon uit een afgesloten locker", aldus Teeven. Andere voorbeelden die de staatssecretaris noemt zijn het kwijtraken van een mobiele telefoon of usb-stick en het slordig omgaan met wachtwoorden.

De staatssecretaris heeft zijn voorstel met opzet vrij breed gehouden, om te voorkomen dat bepaalde datalekken buiten de meldplicht vallen. Onder andere de belangenbehartiger van de ict-branche, ICT~Office, had aangedrongen op een beperkte reikwijdte van de wet, zodat die alleen voor 'zware gevallen' zou gelden. Bits of Freedom wilde juist een algemenere benadering waarbij elk datalek onder de meldplicht gebracht zou worden, wanneer dit in verband kan worden gebracht met ongeoorloofde toegang.

Het nadeel van de gekozen regeling is dat er zeer veel meldingen te verwachten zijn. Er komt echter een niet nader uitgelegde 'voorziening om nodeloze meldingen tegen te gaan, in combinatie met voorlichtende maatregelen door het Cbp'.

IT-banen

Reacties (24)

Vicros 21 juni 2013 18:15

Heel leuk en aardig maar melden moet het probleem niet zijn.
Het probleem ligt bij het tegengaan en voorkomen van data lekken.

Opi @Vicros • 21 juni 2013 18:20

De wet lijkt bedoeld om een stimulans te zijn om lekken niet voor zich te houden. Mocht het uitlekken dan kunnen bedrijven naast publiekelijk aan de schandpaal genageld te worden ook een boete verwachten.

Een groter punt van zorg lijkt me de beperkte uitrusting van het CBP. Begin 2012 gaf het CBP al aan dat ze te weinig FTE hebben om de datalekken te onderzoeken (nieuws: CBP: aantal gemelde datalekken te hoog om te onderzoeken.

Jol65 @Opi • 21 juni 2013 20:49

De boete is niet voor het lekken, maar om het verzwijgen ervan. Er staat nergens dat het CBP de lekken gaat onderzoeken. Maar als een betrijf een lek verzwijgt, en het komt toch uit (b.v. omdat een medewerker uit de school klapt) kan het CBP wel ingrijpen.

Bram S @Vicros • 21 juni 2013 18:21

Het idee hierachter is dat organisaties wat moeten doen aan het lek. De meldplicht zorgt ervoor dat het geregistreerd is dat er wat aan de hand is. Zo kan een organisatie de boel niet verdoezelen om reputatieschade te voorkomen. Probleem van al dit soort systemen is natuurlijk de controle erop. Als het CBP niet doorheeft dat er een lek is geweest kan zij ook geen boete opleggen. Misschien een idee op het CBP mensen te betalen voor tips die leiden tot een boete?

edit: Opi was me voor. Maar hij/zij heeft gelijk: bij al dit soort organisaties (CBP, nVWA, NMa, etc) is naast relatief beperkte bevoegdheden de bemensing het grootste probleem. Zonder personeel kan je niet optreden.

[Reactie gewijzigd door Bram S op 31 juli 2024 10:13]

FreezeXJ 21 juni 2013 18:35

Dat betekent dat bedrijven liever een ton zwijggeld betalen (of iemand flink onder druk zetten) dan dat ze deze boete gaan betalen. Als je een lek zwijgend dicht (of doodzwijgt) kom je er goedkoper vanaf.

Sissors @FreezeXJ • 21 juni 2013 18:40

Optie B: ze melden het en betalen geen boete? Tuurlijk kan een bedrijf altijd nog iemand 'zwijggeld' betalen om zijn mond te houden, maar dat kunnen ze nu ook al doen. Het enige verschil is dat als ze nu gepakt worden ze nog eens 450k moeten dokken. Dan is het misschien toch een beter idee het direct te melden, bespaart je weer eens 550k (bij een ton zwijggeld).

Dus als je een lek zwijgend dicht kom je er niet goedkoper vanaf, het is precies even duur tov melden en dichten. Oké het scheelt wat mogelijk negatieve publiciteit, maar je riskeert niet de boete.

[Reactie gewijzigd door Sissors op 31 juli 2024 10:13]

SirBlade @FreezeXJ • 22 juni 2013 00:03

Nee, dit ketekent dat bedrijven gewoon alle niet-verplichte logging gaan uitzetten. Wat je niet weet hoef je immers niet te melden.

Mr.Joker 21 juni 2013 18:08

En als de overheid nou persoonlijke informatie gaat lekken of veiligheidslekken heeft in bepaalde systemen? (DigiD)
Wordt er dan ook gekort op het salaris van de staatssecretaris?

PolarBear @Mr.Joker • 21 juni 2013 18:48

Waarom zou de staatsecretaris hoofdelijk aansprakelijk moeten zijn? Een aantal redenen waarom niet:

Teeven is staatssecretaris van Veiligheid en Justitie maar kan sowieso niet verantwoordelijk worden gehouden voor laten we zeggen lekken bij de belastingdienst oid.
Als de staatssecretaris al verantwoordelijk is dan moet hij verantwoorden naar de Staten Generaal (en kan het hem eventueel zijn baan kosten)
Je moet je even inlezen in wat een rechtspersoon is

Daarnaast, de problemen met DigID zijn publiek gemaakt, er was geen sprake van zaken niet melden of verborgen houden.

webcamjan @PolarBear • 21 juni 2013 19:07

Een staatssecretaris of minister is wel degelijk verantwoordelijk voor zijn afdeling. En kan daarmee zijn baan verliezen.

Er is alleen 1 maar, en dat is dat het nooit of zeer, zeer zelden zal gebeuren.

We hebben het onlangs weer eens mogen zien dat de minister/staatsecretaris niet tenval komt en daar is een reden voor.

Ze zijn hoofdelijk aansprakelijk/verantwoordelijk binnen hun beleid dat staat vast, echter wanneer er stront aan de knikker is en de minister in de kamer uitleg moet geven is er slechts 1 zinnetje welke hij/zij hoeft uit te spreken en de verantwoordeklijkheid is weg.

"Deze informatie is mij niet onder ogen gebracht door mijn ambtenaren". Daarmee kon hij het niet weten omdat hem informatie niet is toegekomen. Op het idee komen van zelf ook wat verder vragen daar hoor je nooit iemand over.
Resultaat men blijft lekker zitten waar men zit. Waarom denk je dat politiek zo zwart/wit is, kleur bekennen is gevaarlijk omdat men dan wel hangt.

Volg dergelijke dingen maar eens op tv, niet om de inhoud maar de manier waarop men te werk gaat, en elke keer kom je het weer tegen.
En dan vinden ze het raar dat de burger het vertrouwen in de politiek kwijtraakt.

Hier zie je het ook, "de maximale boete is..." in het strafrecht zie je het ook maximaal.... en wat krijgt men ? nog geen 10% ervan. Kortom de maximale boete die je ooit zal zien hierin is rond een 50/75.000 en meer niet.

Waar lees ik dat er een minimale boete is welke vermeerderd zal worden met bedrag x naarmate de aard en diepgang van het verlies van data. Dat zou beter zijn.

TheekAzzaBreek @webcamjan • 21 juni 2013 20:46

Klets. Een politicus is nooit hoofdelijk aansprakelijk voor beleidsdaden (of het ontbreken ervan). Je zou nooit meer een minister van financiën of defensie kunnen vinden.

Mizgala28 @Mr.Joker • 21 juni 2013 18:31

Nee want dat zou "oneerlijk" zijn voor hun, zo werkt dat helaas.
Dit is de eerste stap maar of er een volgende komt is maar de vraag...

Jol65 @Mr.Joker • 21 juni 2013 20:45

Lezen. Het is een boete op HET NIET MELDEN van een datalek, niet op het datalek zelf. Dus ja, ook de overheid moet lekken melden. De boete is een stok achter de deur, en wordt niet snel uitgedeeld.

[Reactie gewijzigd door Jol65 op 31 juli 2024 10:13]

Oeroeg 21 juni 2013 18:24

Vraagje: Vallen webwinkels die weten dat ze gehacked zijn hier ook onder?

PolarBear @Oeroeg • 21 juni 2013 18:54

Ja (sowieso kunnen webwinkels met een stuk minder persoonlijke data af, geboortedatum etc zijn vaak niet relevant).

dvdmeer 21 juni 2013 19:09

Ben eigenlijk wel benieuwd wat wordt verstaan onder persoonlijke data? Een Active Directory, gekoppeld aan Exchange Server, bevat ook best wel wat user informatie. Gezien heel veel bedrijven wel zo'n setup hebben, dan zouden de hoeveelheid bedrijven opeens wel een heel stuk groter worden.
Kan me voorstellen dat als hier verplichtingen bij zouden komen om een minimum level aan beveiliging te gaan regelen dat het voor MKB bedrijven wel heel duur gaat worden.
Maar een stuk extra verantwoording voor bedrijven is niet gek. Als je ziet hoeveen bedrijven er nog steeds een zooitje van maken dan kan een stukje verplichting vanuit de overheid geen kwaad.

EvilWhiteDragon @dvdmeer • 21 juni 2013 19:33

Een bedrijf krijgt de boete niet voor gehackt zijn he, een bedrijf krijgt de boete omdat ze het niet melden aan het CPB en/of de getroffen personen. Het is mij alleen niet echt duidelijk of het alleen aan het CPB gemeld moet worden of ook de getroffen personen. Dat laatste *lijkt* mij wel, maar staat niet zo in het artikel.

Anoniem: 449164 22 juni 2013 00:11

Dit is natuurlijk complete ruk, een systeempje van een klein bedrijf dat niets meld.

boete: €450 000

Een groot bedrijf dat niets meld:

€450 000

het mag wel wat gedetailleerder worden van mij, bijvoorbeeld naar hoeveel gegevens er zijn gelekt waarvan het niet is doorgegeven.

Alex3 @Anoniem: 449164 • 22 juni 2013 16:27

Het is allemaal nog wat vaag. Laatst vond ik de adreslijst van krantebezorger voor mijn deur. Geldt dat nu ook als informatielek?

SPee 21 juni 2013 23:06

Het grootste probleem hiermee is: Hoe komen ze achter alle datalekken

Als niemand iets meldt, dan is de kans dat iemand er achter komt klein.
Tenzij hackers nog extra hun slachtoffers onder druk van zetten; "je bent gehackt, maar hebt het niet gemeld. Betaal ons of we geven je aan."

Of moet iedereen die iets met persoonsgegevens doet zich verplicht bij het CBP melden en waar het CBP regelmatig een audit uitvoert?

Anoniem: 316234 22 juni 2013 03:15

De tweakers hebben het hier ook over zwijg geld, dit is nog iets van begin 2000. De "standaard" procedure op een datalek melding is bij de meeste bedrijven als volgt:

1. Doodzwijgen
2. Bij aanhouden contact / opbellen > ontkennen dat er iets mis is of 'we zijn ermee bezig'
3. Bij opsturen bewijs > Downplayen, nog steeds ontkennen, of 'we zijn ermee bezig'
4. Bij aanhouden contact na opsturen bewijs > dreiging met advocaten/justitie, of 'Bedankt, we zijn ermee bezig. We houden u op de hoogte'

Uiteindelijk is het de melder die vaak aan het kortste eind trekt, aangezien de meeste lekken alleen vergaard/getest kunnen worden door de wet te overtreden (bijv. Art. 138a/b, Wetboek van strafrecht). Het bedrijf kan hierna mogelijk een strafrechtelijke procedure starten.

Ja, zelfs een SQL injection kan gezien worden als hacken omdat je hiermee de 'beveiliging' doorbreekt van een website. Beoordeling is allemaal afhankelijk van de "IT onderlegde" (http://www.dummies.com/ho...-dummies-cheat-sheet.html) rechters.

Geef ons hackers eerst onschendbaarheid en dan gaat er een flinke beerput open.

Disclaimer; dit geldt niet in of voor elke situatie en is alleen ter voorbeeld. Gezien het tijdstip, type en spelfouten voorbehouden.

[Reactie gewijzigd door Anoniem: 316234 op 31 juli 2024 10:13]

Anoniem: 268714 21 juni 2013 18:09

Goed idee, goed voor de veiligheid en voor de belastinginkomsten en werkgelegenheid! Hah

Beveiligers inhuren, belasting innen bij niet melden van lekken en betere veiligheid door inhuren van experts

$_/-\o_$

Op dit item kan niet meer gereageerd worden.

Organisaties riskeren boete van 450.000 euro bij niet melden datalekken

Lees meer

IT-banen

Reacties (24)

Sorteer op:

Weergave: