Opstelten: meldplichten beveiligingsproblemen niet voor mkb'ers

Kleine en middelgrote bedrijven hoeven zich niet al te veel zorgen te maken over de aankomende meldplicht voor beveiligingsproblemen en datalekken, als het aan minister Opstelten ligt. Het kabinet zou vooral datalekken en beveiligingsproblemen bij grote bedrijven willen aanpakken.

Minister Ivo Opstelten van Veiligheid en Justitie ziet weinig in een voorstel van de Europese Commissie om kleinere en middelgrote bedrijven ook onder een meldplicht voor beveiligingsproblemen te laten vallen. Dat schrijft hij aan de Tweede Kamer.

De minister is bang dat de meldplicht, die in werking treedt als de continuïteit van bedrijven in bepaalde sectoren door een digitale aanval in gevaar komt, mkb'ers te veel geld zou kosten. Volgens hem is bewust gekozen om die bedrijven buiten beschouwing te laten, 'teneinde een balans tussen de administratieve lasten en het doel van het wetsvoorstel te realiseren'.

De meldplicht voor beveiligingsproblemen geldt voor problemen in brede zin, en staat los van de meldplicht datalekken, die enkel van toepassing is bij beveiligingsproblemen waarbij persoonsgegevens in het geding zijn. De meldplicht datalekken geldt wel voor kleine en middelgrote bedrijven, maar desondanks hebben zij niet veel te vrezen, als het aan Opstelten ligt. Volgens de minister zou het ondoenlijk zijn als de toezichthouders elk datalek zouden moeten behandelen, en hoeven dus alleen datalekken met het nodige risico te worden gemeld. Daarvan zullen vooral mkb'ers profiteren, denkt Opstelten.

IT-banen

Reacties (27)

Verwijderd 28 november 2013 19:45

In de categorie MKB vallen alle bedrijven in die minder of gelijk aan 250 werknemers hebben, een jaar omzet hebben minder of gelijk aan 50 miljoen per jaar of een balanstotaal hebben van minder dan 43 miljoen.

http://nl.wikipedia.org/wiki/Midden-_en_Kleinbedrijf

CAPSLOCK2000

Politiek en recht
Netwerk en systeembeheer

28 november 2013 20:27

Ik ben niet tegen een meldplicht voor grote bedrijven, en ik snap dat je in praktijk niet kan verwachten dat kleine bedrijfjes er mee om kunnen gaan.

Maar eigenlijk zijn het juiste de kleine bedrijven waar ik me het meeste zorgen over maak. Als groot bedrijf heb je 100% zeker een beveilingsprobleem. Sorry, het is niet anders, de meeste computersystemen zitten vol gaten. Zelfs wanneer je servers uitstekend beheerd worden dan zit je nog met de computers van je werknemers. Als je die echt goed beveiligd dan worden ze al snel onwerkbaar.

Grote bedrijven komen daar snel achter en leren er mee omgaan. Problemen helemaal uitsluiten lukt je niet, het gaat er om hoe je er op reageert. Daarbij kunnen grote bedrijven betalen voor de experts die je nodig hebt. (Dit schrijvende voel ik mezelf opeens erg naief. Ik hoop dat het waar is).

Juist de kleine bedrijfjes hebben de grootste problemen. Die hebben geen verstand van IT en geen geld voor experts. Ik moet wel toegeven dat het niet realistisch is om te verwachten dat kleine bedrijven uberhaupt door hebben dat er iets mis is, laat staan dat ze het fatsoenlijk kunnen rapporteren.

Als ik het voorstel goed lees is het ook niet de bedoeling dat alle problemen worden gemeld. Melden hoeft alleen als het voortbestaan van het bedrijf in gevaar komt. Als het zo erg is dat je hele bedrijf in gevaar komt dan kan een belletje naar een meldpunt er ook nog wel van af. Sterker nog, je kan als klein bedrijf dan maar beter alarm slaan en om hulp vragen, anders gaat je bedrijf kapot.

tikkietrugjaap 28 november 2013 21:31

Lekker bezig weer Ivo. MKB de hand boven het hoofd houden want ja, verkiezingen komen er sneller aan dan je zou denken. Wat een walgelijke vent is t toch.
Altijd handig om nog voordat een wet wordt aangenomen alvast conclusies te trekken en uitzonderingen te maken. Vooral als die uitzondering dan voor een groep is die het grootste deel van het totale bedrijvenbestand van NL beslaat.

LauPro 28 november 2013 19:11

En wat zijn 'kleine mkb bedrijven' dan precies? Want ik denk dat er veel providers/bedrijven zijn die honderd duizenden klanten hebben maar misschien uit niet meer dan 30-50 man bestaan.

Verder zie ik de meldplicht niet echt als een gevaar voor het MKB. Ik denk eerder dat als er bendes zich gaan focussen op het afpersen van dergelijk bedrijven naar aanleiding van een lek dat ze een groter probleem hebben!

terror538 @LauPro • 28 november 2013 22:27

Huisartsen, apotheken, tandartsen allemaal MKB ers. Psychologen psychiaters etc. etc. Allemaal beroepsgroepen waar wij juist wel deze meldplicht zouden willen hebbenaar dus niet krijgen dankzij Opstelten.

Zer0 @terror538 • 29 november 2013 00:21

Sorry, maar lekker vanuit die groepen boeien me niet zo omdat criminelen/hackers niet veel met die gegevens kunnen. Financiële gegevens zoals creditcard en rekeningnummers hebben ze niet, en die vind ik veel belangrijker.

sprankel @Zer0 • 29 november 2013 02:37

Een lijst emailadressen van wie viagra koopt in de apotheek willen die criminelen wel hoor.
Of een lijst van kankerpatienten of mensen die wachten op een donor? Valt veel geld mee te verdienen voor een oplichte, die mensen hebben immers veel over voor een oplossing en willen steenvast geloven in een andere optie.

En wat als zo een lijst op internet staat en iedereen kan zien dat jij behandeld bent geweest voor herpes?

En mijn oude tandarts heeft wel degelijk mijn rekeningnummer. Rekening kwam immers per factuur en overschrijvingsbriefje. (voor mocht mensen teveel betaald hebben of mocht iets achteraf minder of meer terugbetaald worden afhankelijk of de ziekenkas het goedkeurde)

Ik zal het anders zeggen, medische gegevens zijn zeer gewild, soms nog meer dan financiele. Omdat er met medische eenvoudiger poen te scheppen valt immers meeste mensen worden achterdochtig als het over financiele dingen gaat (bijvoorbeeld de bank die belt of een dokter uit Amerika die je dossier doorgestuurd kreeg van een collega hier omdat die dacht dat de "wonderdokter" je mogelijk kon helpen)

Zer0 @sprankel • 29 november 2013 07:11

Kun je voorbeelden geven van dergelijke praktijken? De beveiliging bij de beroepsgroepen is niet zo hoog, dus als criminelen dergelijke gegevens graag zouden gebruiken hadden ze allang ingebroken en de gegevens misbruikt. Ik kan me geen enkele zaak herinneren waarin dit gebeurt is.

Vayra @Zer0 • 29 november 2013 14:00

Medische gegevens vallen niet voor niets onder de privacywetgeving en een medisch dossier is niet voor niets strikt persoonlijk.

Voorbeelden zat:
- je wilt je verzekeren tegen een dure behandeling, maar de verzekeraar weet via een achterdeur dat jij 100% kans hebt dat je die ook nodig gaat hebben. Wat gebeurt er met jouw premie? Of misschien krijg je wel uberhaupt geen dekking.

- Jouw werkgever weet krijgt van jouw medische achtergrond, dit kan een aanleiding zijn voor ontslag of een hulptraject waar je zelf nooit om hebt gevraagd, of zelfs als er niets gebeurt, een scheef oog van de baas.

- Je wilt solliciteren maar jouw medische gegevens liggen op straat, je hebt onlangs Pfeiffer gehad of bent om andere medische redenen een tijd uit de roulatie geweest. Veel succes.

Dit zijn precies de redenen dat er zoveel weerstand was tegen het invoeren van het EPD. Medische gegevens cq informatie is goud waard - dit geldt overigens in toenemende mate voor alle vormen van informatie. Informatie is en wordt steeds meer een machtsmiddel.

[Reactie gewijzigd door Vayra op 23 juli 2024 14:39]

FallingLeaves @Zer0 • 29 november 2013 08:58

Idd, denk aan budgetbeheerders en beschermingsbewindvoerders...
veel eenmanszaken (vaak zonder personeel), maar veel informatie van zeer vertrouwelijke aard (inkomens, schuldenposities, regelmatig medische gegevens, pincodes en dergelijke...).

In de handen van de 'juiste' mensen toch gegevens met een zekere waarde, en grote gevolgen voor betrokkenen als er iets mee gebeurd, ook al zijn het geen grote bedrijven.

Sergelwd @LauPro • 28 november 2013 19:15

En wat zijn 'kleine mkb bedrijven' dan precies?

Kleine midden klein bedrijven bedrijven bestaan niet...
En ik denk dat die ook niet interessant zijn qua beveiligingslekken. Wat zou je ook moeten met een beveiligingslek bij de plaatselijke bakkerij

RaZ @Sergelwd • 28 november 2013 21:33

En maak van die bakker eens een apotheker of een huisartsenpost... Dan praat je over totaal andere soort data..

Zelf jaren op een printafdeling gewerkt, en elk jaar "even" 1,6 miljoen acceptgiro's printen.. Dan heb je echt alle informatie van mensen. rekeningnummers, bsn-nummers..

En ja, als je dan een personeelsblad van een politiekorps moet printen en adresseren.. Die info krijg je zelfs met hun dienstnummer erbij he... Krijg je een bon, kan je zonder problemen "even" verhaal halen bij hem/haar thuis..

Ook kleine bedrijven kunnen gigantische waardevolle data hebben...

The Lord @Sergelwd • 28 november 2013 19:59

Het gaat om de hoeveelheid data en de schade; niet om de grootte van een bedrijf.

Een bakkerij gaat wat ver, maar er zijn vast zat MKB te vinden die veel persoonsgegevens hebben en dus kunnen 'lekken'.

Rare vogel die Opstelten af en toe.

Webgnome @The Lord • 29 november 2013 06:08

Waarom gaat een bakkerij wat ver? Als door een datalek bij dat bakkerijtje op de hoek bekend wordt wie wanneer welk brood heeft gekocht lijkt dat in eerste instantie geen probleem (wie is daar nou in geinterreseerd ) maar het is en blijft een datalek dat voorkomen had kunnen worden.

Daar moet het over gaan. Niet over of dat het voor het bedrijf niet goed uitkomt ( zoals ik het nu lees) of dat de impact niet al te groot is. Wie bepaald immers of dat zo is? De hele maatschappij zal moeten inzien dat datalekken gewoon niet meer mogen voorkomen in deze tijd. In ieder geval niet de 'plain text' en sql injection achtige datalekken..

MAar goed het gaat hier wel over opstelten... aan de ene kant wil hij geen datalekken maar nog niet zo lang geleden had hij het er vrolijk over om bepaalde gegevens gewoon maar even te koppelen in het kader van 'terrorisme/kinderporno'.

indigo79 @Webgnome • 29 november 2013 09:10

Waarom gaat een bakkerij wat ver? Als door een datalek bij dat bakkerijtje op de hoek bekend wordt wie wanneer welk brood heeft gekocht

Mijn bakkerij registreert niet welk brood ik koop en vermits ik contant betaal zelfs niet dat ik er geweest ben. Ze kunnen natuurlijk de verkoopsters in de winkel ontvoeren om te weten te komen wie normaal welk brood koopt, maar er is andere wetgeving om daar tegen op te treden. Daarom gaat een bakkerij wat ver. ;-)

Voor de rest wel mee eens dat er redelijk veel kleine bedrijven zijn die wel gevoelige persoonsgegevens opslaan. Denk aan artsen die hun patiëntendossiers (in België) nog zelf opslaan (soms op papier, soms elektronisch), aan advocatenkantoren, ...

SPee @Sergelwd • 28 november 2013 20:04

Door automatisering kun je juist met weinig personeel veel gebruikers/klanten bedienen.
Een plaatselijke bakker met een lek is dan ook geen probleem.
Een kleine payroll bedrijf of ISP met een lek is een groter probleem.

the-dark-force @Sergelwd • 28 november 2013 21:57

een kleine legale vuurwapenhandel bijvoorbeeld zal wel data bijhouden van personen die een wapen o.i.d. gekocht hebben als daar adres gegevens bijzitten dan kunnen die personen beter verhuizen of wachten op een inbraak...

Verwijderd 28 november 2013 19:09

Meldplicht voor bedrijven? Denk dat 't meldpunt het al druk genoeg kan hebben met de meldingen vanuit de overheid zelf..

Sergelwd @Verwijderd • 28 november 2013 19:10

De problemen bij de overheid zelf willen ze hoogstwaarschijnlijk ook niet aanpakken maar juist verdoezelen...

ilaurensnl @Sergelwd • 29 november 2013 04:25

Lijkt mij juist andersom, wanneer er data verloren gaat worden er vaak sorry gezegd, maar het is mogelijk dat een derde partij mogelijk jou data heeft. Met een meldpunt pakken ze dat aan(en onderzoeken de probleem, misschien een NSA gebeuren om te kijken wat verloren is en niet), althans dat denk ik. Maar natuurlijk is de overheid nooit helemaal fris.. dus het lijkt me inderdaad niet raar dat ze dingen willen verdoezelen.

MrQuincle 28 november 2013 20:09

Heb zelf het ethische beleid opgesteld voor een MKB'tje die we hebben opgestart. Ik snap niet waarom beveiligsproblemen niet gemeld zouden moeten worden. Het lijkt er haast op dat de overheid bang is voor een stortvloed van meldingen...

Eloy 28 november 2013 20:22

Maar volgensmij zijn nou juist de kleinere slecht beveiligd tegen bijvoorbeeld SQL injecties...

kodak 28 november 2013 20:27

Als je als bedrijf een beveiligingsprobleem wilt melden moet je die wel registreren. En als je dat goed wilt registreren dan heb je een security officer nodig. En als je een security officer hebt dan moet die wel goed de eigen organisatie kennen. En wie zijn eigen organisatie kent weet dat het grootste deel bestaat uit personen die niets van beveiliging snappen, is lastig is vervelend is rompslomp. Ja tenzij je er zelf dood door kan gaan of je baan kan verliezen.
Nou zie ik dat niet 123 bij het kleinbedrijf - dat was toch tot rond de 100 man? Maar bij een beetje middenbedrijf mag je het toch wel verwachten, en helemaal bij het grootbedrijf. Maar dat is verwachten, en helaas lijkt dat niet heel handig als je een meldplicht hebt.
Waar heeft de minister aangegeven dat grootbedrijven hun security op orde hebben om aan deze meldplicht te voldoen? of gaan we er gemakshalve van uit dat als je x moet doen y spontaan op orde is?

walkstyle 28 november 2013 20:32

Waarom zou je dat melden, net of hun helpen om het op te lossen ?

mg794613 28 november 2013 21:25

Opstelten! Diginotar was ook een MKB. Het is weer duidelijk dat hij met dingen speelt waar hij niks vanaf weet.

Op dit item kan niet meer gereageerd worden.

Opstelten: meldplichten beveiligingsproblemen niet voor mkb'ers

Lees meer

IT-banen

Reacties (27)

Sorteer op:

Weergave: