Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties

Het Kabinet heeft wijzigingen doorgevoerd in een wetsvoorstel voor de meldplicht van datalekken. Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als 'ernstig' zijn te kwalificeren.

De meldplicht moet zowel voor private als publieke organisaties gaan gelden die persoonsgegevens verwerken. Volgens het oorspronkelijke wetsvoorstel, waarin wijzigingen in zowel de Wet bescherming persoonsgegevens als de Telecommunicatiewet doorgevoerd moeten worden, moesten zij een melding maken bij het CBP bij elke inbreuk 'waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens'. Als de meldplicht niet zou worden nageleefd zou er door het CBP een bestuurlijke boete van maximaal 450.000 euro opgelegd kunnen worden.

In een bijgesteld wetsvoorstel van staatssecretaris van Veiligheid en Justitie Fred Teeven dat naar de Kamer is gestuurd is de meldplicht afgezwakt. Voortaan zou alleen een 'ernstig datalek dat nadelige gevolgen heeft voor de bescherming van verwerkte persoonsgegevens' bij het CBP gemeld moeten worden. De bijstelling zou gedaan zijn om de administratieve lasten en de 'nalevingskosten' voor bedrijven niet te hoog te laten worden. Eerder gaf minister Ivo Opstelten van Veiligheid en Justitie soortgelijke signalen af.

Volgens de brief van Teeven blijft ondanks de wijziging het evenwicht met de belangen van de burger, die overigens bij een ernstig lek ook geïnformeerd moet worden, overeind. Als voorbeeld noemt de staatssecretaris de hack op een gemeentelijke website waarop inschrijvingen zijn te vinden voor een gratis jeugdpas: een dergelijke inbraak zou niet als 'ernstig' gezien worden en er zou dus geen meldplicht gelden. Het CBP zou echter kritisch staan tegenover de voorgestelde wetswijzigingen.

Moderatie-faq Wijzig weergave

Reacties (53)

Velen zullen zich afvragen waarom er verschil is tussen:
'waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens'
en:
'ernstig'
De afzwakking is dan ook in de oorspronkelijke wijzigingsnota geformuleerd als:
die ernstige nadelige gevolgen heeft
waaruit blijkt dat het echt om een afzwakking gaat.

Elders wordt ook "geconstateerde en vermoede gevolgen" veranderd door "gevolgen". Volgens de wijzigingsnota:
[...] strekken de
onderstaande wijzigingen ertoe, de meldplicht datalekken te verduidelijken en te
vereenvoudigen en daarmee voor de praktijk beter hanteerbaar te maken.
Verder proef ik in de toelichting ook enigszins de stemming dat er niet teveel moet worden gemeld, omdat dat duur is om te administreren.


Tja, het kan natuurlijk niet zo zijn dat je denkt: I'll put my money where my mouth is. Het moet allemaal veiliger en transparanter, maar alleen als het niet te duur wordt. Waar hebben we die reactie nou nog meer gezien (kenniseconomie, anyone)?

[Reactie gewijzigd door Lord_Farin op 17 april 2014 23:35]

Beetje apart dat bij het opslaan van telefonie en internet data de providers van de overheid een dikke vinger kregen en verplicht moesten opslaan én zelf ook nog betalen. En nu mag het allemaal niet teveel gaan kosten.
Belang (lees ¤¤¤) van de bedrijven is dus blijkbaar belangrijker dan verlies of onrechtmatige verwerking van persoonsgegevens. En persoonsgegevens zijn de gegevens van Jan Lul, Henk, Ingrid. Wederom weer zeer duidelijk dat Fred T. weinig opheeft met het 'bescherming' van de burgers...
Op zich heel mooi dit wetsvoorstel, maar je kan je afvragen in hoeverre het meerwaarde heeft ten opzichte van de Europese Privacy Verordening(EPV) (COM 2012 011) die er aan zit te komen, welke direct in alle lidstaten leidend wordt wanneer deze is aangenomen. Ook daarin staat een meldplicht datalekken besproken en zijn de boetes die kunnen worden gegeven een stuk materiëler van aard. Na de laatste amendementen door LIBE staan deze namelijk op EUR 100.000.000 of 5% van de wereldwijde omzet. De nuance die nu dus wordt gemaakt met betrekking tot "ernstige" datalekken is geen fluit meer waard wanneer de EPV wordt aangenomen waarin deze nuance niet wordt gemaakt (sterker nog Artikel 31 is daar nog een stuk stelliger in)

[Reactie gewijzigd door DivWhis op 17 april 2014 20:30]

Klopt helemaal en had het zelf niet beter kunnen zeggen. Helaas duurt het zeker nog tot januari 2017 voordat de boetes kunnen worden geheven (er geld na aannemen van de wet een overgangstermijn van 2 jaar) . Tot die tijd zitten we met deze wet :(
Oftwel er wordt geen enkel lek gemeld, vanwege dat er geen enkele ernstig is. 'Het gaat namelijk alleen om persoonsgegevens van klanten die gestolen zijn, de bedrijfsvoering is niet in gevaar geweest' -> niet ernstig. Maar als je gegevens gejat zijn zit je wel met de ellende, en je weet dan niet eens waarom.
Vanaf wanneer is een lek ernstig? Dat wordt weer voer voor het gerecht, bijgevolg zal het dus nog wel een paar jaar duren alvorens er duidelijkheid is vanaf wanneer een lek gemeld moet worden...
Als voorbeeld noemt de staatssecretaris de hack op een gemeentelijke website waarop inschrijvingen zijn te vinden voor een gratis jeugdpas: een dergelijke inbraak zou niet als 'ernstig' gezien worden en er zou dus geen meldplicht gelden.
Als gehacked worden al niet als een datalek wordt gezien, is dit voorstel compleet nutteloos.
Neem bijvoorbeeld het 'lek' bij LaCie waarbij een ruim een jaar lang persoonlijke + creditcard gegevens konden worden ingezien.

Volgens het voorbeeld van de staatssecretaris hoeft LaCie zo'n lek dus NIET te melden. Nu heeft de staatssecretaris een groot grijs gebied toegevoegd aan het voorstel waardoor bedrijven een lek niet melden en achteraf zich verschuilen achter de 'onduidelijkheid' van de wet.

Waarom worden bedrijven, stichtingen en verenigingen niet verplicht om elk lek, ongeachte de reden daarvan, te melden. Niet alleen kan er dan veel sneller een trend in het soort lekken worden herkend, maar het maakt bedrijven duidelijk dat een lek eenvoudig kan ontstaan. Echter als je gehackt wordt buiten je schuld om moet je natuurlijk niet een boete krijgen. Echter moet de consument hiervan wel op de hoogte worden gesteld..

Als bedrijven de beveiliging van hun website (en data) serieus nemen, zou er geen extra administratieve lasten moeten bijkomen..
Nu heeft de staatssecretaris een groot grijs gebied toegevoegd aan het voorstel ...
Wat mij betreft zijn er twee uitersten:
1. De staatssecretaris heeft dat niet in de gaten en is dus incompetent.
2. De staatssecretaris heeft dat wél in de gaten maar heeft verzwegen redenen om het zo te doen en is dus onbetrouwbaar.

Waar de waarheid tussen die uitersten ligt kan ik niet inschatten, maar dat maakt voor de conclusie niet uit: opzouten!
[...]
Waarom worden bedrijven, stichtingen en verenigingen niet verplicht om elk lek, ongeachte de reden daarvan, te melden. Niet alleen kan er dan veel sneller een trend in het soort lekken worden herkend, maar het maakt bedrijven duidelijk dat een lek eenvoudig kan ontstaan. Echter als je gehackt wordt buiten je schuld om moet je natuurlijk niet een boete krijgen. Echter moet de consument hiervan wel op de hoogte worden gesteld..

Als bedrijven de beveiliging van hun website (en data) serieus nemen, zou er geen extra administratieve lasten moeten bijkomen..
Ik denk dat bedrijven zich dat helemaal scheel betalen alleen al om al die lekken te melden, ik kan me voorstellen dat 't niet wenselijk ALLES te moeten melden, maar ik vind het raar dat 't criterium 'ernstig' zo onduidelijk is, dat je effectief alle lekken kan afromen tot net onder de maatstaf en je dus eigk niets hoef te melden...dan kun je die wet net zo goed niet doorvoeren. De enige die je ermee beschermt zijn de bedrijven tegen hun eigen faillure 8)7
Niet alleen zou er een boete moeten zijn voor datalekken (dat is reactief). Er zou ook een boete moeten komen op het onzorgvuldig omspringen met data: denk bijvoorbeeld aan de kwestie bij de NZA. Nu kunnen die nog niet aangepakt worden met een boete - het moet eerst tot een echt lek komen, maar ja dan is het kwaad natuurlijk al geschiedt.

[Reactie gewijzigd door ZeroSect0r op 17 april 2014 20:47]

Een boete is overdreven, directe meldplicht aan iedereen die er mogelijk (extra) schade van ondervind is in mijn ogen wel nodig. Juist dat is dus niet meer.
Ik ben tegen een meldplicht want mensen worden daar melddoof van. (Hoi cookiewet.) En hier kun je vaak weinig doen. "Goedendag, uw naam en huisadres is mogelijk gestolen door een Oekraiense hacker". Ja en nu? Verhuizen? Of zelfs met een mailadres, moet ik dan een ander adres nemen elke keer als ergens een nieuwsbrief-database is gehackt?

Veel liever verhaal ik die schade op de zwakbeveiligde nieuwsbriefdatabasebeheerder. Nu is die moelijk aan te tonen, dus daarom vind ik dat je in de wet moet zetten "Een persoonsgegeven is ¤150 waard" en dan krijg ik dus ¤150 net als alle andere 123.000 mensen die op die NB staan. Ik denk dat de beheerder dan wel preventief gaat investeren in beveiliging. (Uiteraard hoeft geen schade te worden betaald bij overmacht.)
Melddoof kan men in elk geval nog steeds wel zelf beslissen wat je doet. Het betekent bv dat je de gevolgen van bv een fake identity enigzins kunt bestrijden doordat je iets in handen hebt om mee te zeggen: kijk, dit en dit is er toen op straat komen te liggen... je kunt er niet meer vanuit gaan dat die gegevens uitsluitend aan mij toebehoren.

En als het gaat om belangrijke gegevensverwerkers (zorg!) kunnen daar tenminste eindelijk concretere cijfers over komen. Dan wordt niet-melden en niet-aanpakken een ietsje minder voordelig. Nu is de strategie om te blijven ontkennen en liegen gewoon heel vruchtbaar, het kost je niks, uiteindelijk zeg je een beetje sorry, en elke keer dat je ermee wegkomt is mooi meegenomen.

Voor diverse gegevens mag de lat trouwens wel wat hoger liggen. Als het gaat om gegevens die potentieel van grote invloed zijn (bv maken dat je wordt afgewezen voor aanvullende zorgverzekering of levensverzekering), die je chantabel maken, of eenvoudig misbruikt kunnen worden voor identiteitsfraude met grote gevolgen is 150 euro niet echt een realistisch bedrag.
Niet alleen zou er een boete moeten zijn voor datalekken (dat is reactief). Er zou ook een boete moeten komen op het onzorgvuldig omspringen met data: denk bijvoorbeeld aan de kwestie bij de NZA. Nu kunnen die niet aangepakt worden nog met een boete - het moet eerst tot een echt lek komen, maar ja dan is het kwaad natuurlijk al geschiedt.
Dus als iemand jouw systeem hacked heb je niet alleen de schade van de inbraak, maar je moet ook een boete betalen omdat er ingebroken is en een boete omdat je dat hebt laten gebeuren?

Laten we dan ook meteen boetes maken voor het open laten staan van je deur, het hebben van goedkope sloten!
Er is een verschil, achter jouw voordeur staan je eigen spullen.

Echter als het een organisatie is welke gegevens van andere verwerkt.... helemaal als je niet om zo'n organisatie heen kan vanwege een verplichting bijv.
Bijv.NZA dus.
als er bij een storage unit slechte sloten zijn, en de spullen van mensen worden gestolen kan je er ook donder op zeggen dat de eigenaar van deze storage unit gezeik krijgt. dit is vergelijkbaar.

lastige is in dit geval dat er nu een subjectieve waarde (ernstig) wordt geintroduceerd.
nu wordt het dus een discussie of het lek "ernstig genoeg" was inplaats van simpelwe was er een lek ja nee.

kortom meer gezeur, veel beter om gewoon een binaire regel te hebben in dit geval,
als er een lek is moet je het bekend maken, als het niet ernstig is dan kan je dat ook gewoon zeggen. als klant zou ik dat waarderen.
dit zal wel weer vanuit de vvd komen die willen hardwerkende ondernemers natuurlijk niet belasten met de veel te zware taak om daadwerkelijk verantwoording af te leggen voor hun wanbeleid als het gaat om vertrouwelijkheid van data...

wat dat betreft mag rutte eigenlijk niets zeggen over de sp als zou die er alleen zijn om mensen te stemuleren om lui te zijn... want feitelijk doen ze het zelf ook maar dan voor een rijkere / gemakzuchtigere / en meer elitaire groep.

ik hoop (maar die zal wel ijdel zijn), dat de 2e kamer deze weiziging weer ongedaan makt voor ze hem goed keurt.
Ik zou gewoon naar een commissie toe gaan die evalueert of 'wanbeleid' is gevoerd. Dit gebeurd al jaren bij corruptie en bedrijven die het schip in gaan, dus waarom niet met dit soort zaken ?
omdat dat verantwoordelijkheid ineens bij de klant legt.
ik moet ineens elke keer als er een lek is (en dat terwijl ik daar niet eens over geinformeerd wordt tenzij het bedrijf dit "ernstig" acht. lees practisch nooit.) naar een commissie, dan moet ik bewijs leveren, mijn eigen tijd opofferen om een bedrijf een boete te laten betalen waar ik zelf niets van krijg.

kost je tijd geld moeite frustratie, liever een dagje uit met je kids/familie/vrienden.

nee bedrijven moeten verplicht worden deze lekken te melden, dat is de eerste stap, of ze dan ee boete moeten betalen, dat mag wat mij betreft opgelost worden met een zaak over nalatigheid. want zelfs de beste beveiliging kan gekraakt worden, en soms kan je er gewoon niets aan doen. maar als er sprake is van nalatigheid zou de bewijslast bij het bedrijf moeten liggen om aan te tonen dat daar geen sprake van is.

meer lasten op de burger leggen heef tin elk geval geen zin.
Als jij gevoelige persoonlijke informatie van mensen verwerkt dan hoort daar een zekere verantwoordelijkheid bij, dus ja, als jij die gegevens ergens neerlegt en je laat de deur openstaan dan zou dat wat mij betreft strafbaar mogen zijn. Uiteraard is dat totaal niet te vergelijken met het open laten staan van je eigen voordeur aangezien je daar vooral jezelf mee hebt en niet talloze andere mensen.
Let ook op dat ZeroSect0r zegt onzorgvuldig omspringen met data, dat wil niet zeggen dat elke hack automatisch ook jouw schuld is. Maar als je nu bv nog geen enkele stap ondernomen hebt om iets tegen heartbleed te doen (google het maar) bv terwijl daardoor allerlei gevoelige informatie toegankelijk wordt voor de verkeerde mensen, ja dan ben je gewoon fout bezig. Was jij echter gehackt waarbij gebruik was gemaakt van die heartbleed vulnerability voordat deze bug algemeen bekend werd dan is dat een heel andere zaak en kan het je veel minder aangerekend worden.
Let ook op dat ZeroSect0r zegt onzorgvuldig omspringen met data, dat wil niet zeggen dat elke hack automatisch ook jouw schuld is

Dit!

En dan neem je ook de waarde van de gegevens mee vs de beveiliging. Denk aan een lijst met email-adresen is wat anders dan een lijst met credit-card gegevens, en dat is weer minder dan BSN, inkomens, medische gegevens, etc.

Een webshop die gehacket wordt omdat een stuk software niet up to date was en waarbij een mailinglijst verloren ging is immers minder erg dan als bijvoorbeeld jouw medische gegevens op straat liggen.

Simpel voorbeeld: Er zijn helaas nog zat bedrijven die gegevens onversleuteld opslaan of versturen. In deze tijd zou bijvoorbeeld elke laptop en PC van elke medewerker standaard met Bitlocker of verwant product beveilig moeten zijn, indien er gevoelige gegevens opgeslagen (of zelfs maar gecached) worden. Het kwijtraken of de diefstal van een laptop/PC is dan opeens geen automatisch potentieel datalek meer, maar enkel een ordinaire diefstal.
Of de USB stick die nog steeds onversleuteld in de PostNL enveloppe gaat |:(
Natuurlijk, als jij gevoelige informatie van mij bewaart en je hebt een slecht slot/laat je deur open staan verdien jij een boete.
Je vergelijking met het open laten staan van deuren en het hebben van goedkope sloten slaat nergens op. Met het open laten staan van je eigen deur of het hebben van een goedkoop slot in je eigen deur heb je namelijk alleen jezelf als er wordt ingebroken.

Instanties als de NZA slaan echter niet data over zichzelf op, maar data over anderen, derde partijen.

De vergelijking klopt dus pas als jij iemand betaald die jouw deur beheert en er voor zorgt dat jouw deur steeds op slot zit. Laat diegene dat na, dan ja, dient diegene de schade te vergoeden.

Persoonlijk vind ik een boete voor het onzorgvuldig omspringen met data helemaal geen gek idee. In zowel het geval van dataverlies als in de vergelijking met deuren en sloten moet natuurlijk wel aangetoond worden dat de beherende partij schuldig is. Als er bijvoorbeeld data kon worden gestolen door een zero-day exploit of de dief binnen gekomen is door een raam is de beherende partij natuurlijk niet altijd verantwoordelijk.
Als jij als bedrijf de info van je gebruikers gewoon in plain text hebt opgeslagen en iemand kan dmv een simpele lek of zelfs een slecht wachtwoord in het systeem komen dan vind ik dat het bedrijf hier zeker een boete voor mag en moet krijgen.
Het open laten staan van je autodeur kan je wel degelijk een boete opleveren..
Laten we dan ook meteen boetes maken voor het open laten staan van je deur, het hebben van goedkope sloten!
Een verhuurder van opslagunits kan inderdaad aansprakelijk gesteld worden voor het niet nemen van adequate beveiligingsmaatregelen. De klant verwacht dat zijn spulletjes er veilig staan.

Of je nu de persoonsgegevens of spulletjes van een ander beheert, je bent verantwoordelijk voor de bescherming ervan.
Het verschil is met jouw achterdeur dat alleen jouw spullen dan gestolen worden. Met data is het eigenlijk ook nog eens data van andere, dus dan ben je daar verantwoordelijk voor.
Maar als b.v. een ander vraag om zijn spullen bij jouw neer te zetten en dan wordt het spul gestolen dan ben je daar aansprakelijk voor.

Kortom, als jij met je eigen spullen onvoorzichtig omgaat is dat jouw probleem totdat er ineens ook andere gedupeerde zijn.
Wat daalt het niveau toch ontzettend op T.net...
Als je een metafoor gebruikt als wijze van vergelijking, zorg dan dat ie op zijn minst alle elementen heeft. (en wat nuancering zou ook niet misstaan)

Als je persoonsgegevens verwerkt heb je een bepaald (vaak essentieel) voordeel aan het ter beschikking krijgen van die gegevens. Zorg dan op zijn minst dat dit veiliggesteld wordt.

Als je spullen van een ander achter je voordeur bewaard, ben je zelf verantwoordelijk voor de schade hieraan als je de deur openlaat, ja.
Ik kan me toch niet geheel aan de indruk onttrekken dat Teeven en Opstelten gewoon geen zin hebben dat ze zelf te vaak in verlegenheid worden gebracht / iets moeten doen aan handige gaten.
De belangen van ons als burger lijken er niet heel erg mee gediend.
Ik vind een meldplicht als er data gestolen is zeker wel in het belang van de burger! Zowel voor bedrijven als de overheid. Ik zie niet in hoe het kabinet onjuist gebruik zouden kunnen maken van deze regeling. Jij ziet dat probleem duidelijk wel. Leg eens uit waarom een dergelijke wet niet goed is voor burgers?
De meldplicht lijkt me goed, de afzwakking niet.

En het lijkt me overduidelijk dat de overheid helemaal geen zin heeft in te veel aandacht voor hun falen. Over het waarom kun je speculeren, maar als je kijkt hoe de overheid met technische storingen, lekken, belangenverstrengeling, corruptie en ander falen omgaat (en niet te vergeten met de mensen die dat aan de orde proberen te zeggen) kun je toch wel een bepaald patroon zien: doofpot, negeren, ontkennen, glashard ontkennen en pas als het echt niet anders kan zeg je een soort van sorry, waar de onoprechtheid vanaf spat, en doe je wat volstrekt abstracte beloften.

En de dubbele standaard is schrijnend: de burger mag niks te verbergen hebben, is steeds vaker schuldig zonder proces of tot het tegendeel bewezen is, wordt met wantrouwen en straf en repressie benaderd. Het bedrijfsleven en de overheid echter verdedigen hun rechten om van alles en nog wat geheim te houden fanatiek, toezicht en handhaving schieten schromelijk tekort en de consequenties voor overtreders zijn gering.
Is er sprake van een dubbele standaard? Burgers hoeven niets te melden als ze acties utivoeren. De werklast is ondermeer bij de providers neergelegd om data op te slaan voor het geval dat. De werklast bij de meldplicht licht met name bij de overheid. En daar kan het kabinet een stuk minder makkelijk omheen met de wetgeving. Als ze alles zouden moeten registreren zou dat behoorlijk veel centen en uren gaan kosten aan werk voor ambtenaren. En dat is nu niet waar men bij het kabinet niet dol op is: als het de overheid geld gaat kosten.
hoe anders dan dubbele standaard kun je het noemen als, men enerzijds vind dat de bevolking niets te verbergen mag hebben (onder het mom van terrorisme bijv), terwijl datalekken 'alleen gemeld hoeven worden, als die enstig zijn' en wat is dan ernstig...

"nou dat zal ik u eens vertellen meneertje' ernstig is wanneer 'de heer snowden' zich ermee gaat bemoeien" tot die tijd is het hooguit zorgelijk.

bovenstaande is natuurlijk enigzins fictief, maar ik durf er wel vergif op in te nemen dat het zo gaat worden,
"Hey henk, zet die issue maar op 'groot' ipv 'ernstig', anders motten we 't escaleruh!"
"Ja Arie gelijk hebbie. Dat kost ons tijd en moeite en geld, dus we stoppen het in de doofpot. Die paar burgers die mogelijk problemen krijgen door het lekker van data door ons nemen we maar voor lief. En ze motten helemaal niet weten dat wij er een zooitje van maken. Want dat gaat de Fredje niet fijn vinden. Die hebben we toch mooi geholpen met dat laten verdwijnen van die telefoonopnames".
(Henk en Arie ergens in een ICT-ruimte van justitie :P)

Afijn. In hoeverre heeft/had dit ook betrekking op de overheid eigenlijk? Zwakt men het mogelijk daarom af om zichzelf niet in de vingers te snijden...

[Reactie gewijzigd door ManiacsHouse op 17 april 2014 20:44]

dus stel je vindt een lek zonder het zelf te bessefen en toch ernstig is kun je 450.000 euro op hoesten?
dus stel je vindt een lek zonder het zelf te bessefen en toch ernstig is kun je 450.000 euro op hoesten?
als je daarmee verzaakt om het te melden en het komt uit dat je het HAD kunnen melden op 1 of andere manier... dan ja dan kan je idd de poen ophoesten.

maar ENKEL als er is bewezen dat je het op 1 of andere manier HAD kunnen achterhalen/weten dat dit lek aanwezig was binnen je onderneming/organisatie/bedrijf.

'wat niet weet wat niet deert' - nederlandse uitspraken
450.000 is een maximumbedrag he.
ja maar ik bedoel het onwetend vinden dus dat je het vindt maar zelf niet doorhebt
de vraag is wat is ernstig ... en wat is "gevoelige data" ...
bijvb je burgerservicenummer wordt beschouwd als gevoellig .. toch staat het open en bloot op al je passen .. met een zzp'er het op z'n facturen zetten ... en eigenlijk zou het ook helemaal niet gevoelig moeten zijn. Een ieder die denkt dat dat nummer kan dienen en derhalve gebruikt voor authenticatie mag wat mij betreft prima het schip in gaan.
Een ieder die denkt dat dat nummer kan dienen en derhalve gebruikt voor authenticatie mag wat mij betreft prima het schip in gaan

Goed punt trouwens. Te vaak wordt een BSN gebruikt als authenticatie, terwijl het enkel ooit bedoeld is als identificatie.

Ofwel, in analogie, een BSN is zeg maar een email-adres. Liever wil je het niet in handen van spammers, maar toch, een kwaadwillende kan met enkel dat email-adres nog niet in je account zonder paswoord. Zou zijn BSN ook moeten zijn. Er zou altijd een paswoord, of andere beveiliging moeten zijn.

( Toch is bij een BSN wel degelijk enige gevoeligheid, want het is een ID dat vaak gekoppeld is aan private zaken. Dus de combinatie van BSN met die andere gegevens maakt het vaak gevoelig omdat het hetleidbaar is. Denk aan medisceh gegevens waar enkel een referentie met een verzekerde nummer is vs diezelfde gegevens waar de BSN bij staat. )
Een ieder die denkt dat dat nummer kan dienen en derhalve gebruikt voor authenticatie mag wat mij betreft prima het schip in gaan

Goed punt trouwens. Te vaak wordt een BSN gebruikt als authenticatie, terwijl het enkel ooit bedoeld is als identificatie.

Ofwel, in analogie, een BSN is zeg maar een email-adres. Liever wil je het niet in handen van spammers, maar toch, een kwaadwillende kan met enkel dat email-adres nog niet in je account zonder paswoord. Zou zijn BSN ook moeten zijn. Er zou altijd een paswoord, of andere beveiliging moeten zijn.

( Toch is bij een BSN wel degelijk enige gevoeligheid, want het is een ID dat vaak gekoppeld is aan private zaken. Dus de combinatie van BSN met die andere gegevens maakt het vaak gevoelig omdat het hetleidbaar is. Denk aan medisceh gegevens waar enkel een referentie met een verzekerde nummer is vs diezelfde gegevens waar de BSN bij staat. )
Dat heet nu function creep, die vinger afdrukken in je paspoort waren ter voorkoming van fraude, maar omdat ze die databank toch hadden konden ze die meteen gebruiken voor 't oplossen van misdaden. Idem voor bijv. je rijbewijs..overal en nergens kun je je these days met rijbewijs legitimeren, terwijl dat ding uitsluitend bedoeld is om aan te tonen dat jij voertuigen van een bepaalde klasse te mogen besturen. Waarom, omdat het handig is en het is er toch al..dus waarom ook niet?

Function creep is dé reden waarom ik zo min mogelijk gegevens vastgelegd wil hebben bij eender gecentraliseerde organisatie, privaat of publiek: hoe minder ze weten hoe minder ze kunnen besluiten om het 'ook maar voor zus en zo te gebruiken, want we hebben die gegevens toch'.

't credo 'ik heb niets te verbergen' zou eerder moeten worden: ik heb NOG niets te verbergen, want de overheid&bedrijfsleven mined al je data in semi onschuldige projecten, maar x kabinetsperiodes later is er wel weer een nieuwe Teeven die die data voor iets anders kan gebruiken. Zo werd in 1939 de persoonskaart ingevoerd, niemand had problemen met het vermeldden van iemands religie op deze kaart, tot de Duitsers kwamen en 't systeem misbruik werd om iedere jood van mijlen ver aan te zien komen. Een extreem voorbeeld ofc, maar wel degelijk een die in mildere variant bij elke kabinetswisseling voor kan komen...

[Reactie gewijzigd door Rey Nemaattori op 18 april 2014 10:28]

Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als 'ernstig' zijn te kwalificeren.
Nou zakt mijn broekje weer af. Op welke partij moet ik nou stemmen voor een meer transparant beleid - whatsoever - ?
Óf je introduceert meldplicht, of niet. Want wie gaat bepalen hoe ernstig een datalek precies is? En op grond waarvan? en ernstig voor wie? Voor u en mij, of voor de overheid?
Daar gaan ze, per geval, natuurlijk eerst 8 weken onderzoek naar doen 8)7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True