image

Wetsvoorstel meldplicht datalekken naar Tweede Kamer

vrijdag 21 juni 2013, 16:04 door Redactie, 14 reacties

Staatssecretaris Teeven van Veiligheid en Justitie heeft vandaag het wetsvoorstel meldplicht datalekken naar de Tweede Kamer gestuurd. Zowel private als publieke organisaties die persoonsgegevens verwerken worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden.

Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker.

Boete
De meldplicht moet voor een betere bescherming van persoonsgegevens zorgen. Volgens de staatssecretaris kunnen door beveiligingsfouten grote hoeveelheden persoonsgegevens op straat belanden. Organisaties waar deze gegevens zijn gelekt, zijn vervolgens verplicht om de toezichthouder - het College bescherming persoonsgegevens (Cbp) - in te lichten.

Daarnaast ontvangt in veel gevallen ook degene wiens persoonsgegevens het betreft een melding. Hierbij geldt wel dat het datalek 'ongunstige gevolgen' voor de persoonlijke levenssfeer moet hebben. Worden gedupeerden niet door een organisatie ingelicht, dan kan het Cbp een boete van maximaal 450.000 euro opleggen.

Reacties (14)
21-06-2013, 16:29 door Sarodj
Dus je komt straks in de situatie dat je verplicht bent een lek te melden maar de kans hebt om ervoor vervolgt te worden? Beetje dubbel dit..
21-06-2013, 16:58 door yobi
Een stap in de goede richting. Bedrijven zullen nu meer gemotiveerd worden om hun systemen te laten controleren (pentesten). Bijvoorbeeld door Certified Secure, Fox-IT, Digital Investigation, Madison Gurkha, enz....
21-06-2013, 17:08 door Anoniem
Goede ontwikkeling.
Had eigenlijk nog wel bij gemogen dat bedrijven nu ook verplicht moeten worden om actief in de gaten te houden wat er allemaal op en emt hun systemen en data gebeurd.

Zit nu wel een gaatje dat ze kunnen roepen dat ze het gewoon niet gezien of gemerkt hebben.

Niet zo goed voor de reputatie maar scheelt een boete van 450.000,-
21-06-2013, 17:20 door Anoniem
Door Sarodj: Dus je komt straks in de situatie dat je verplicht bent een lek te melden maar de kans hebt om ervoor vervolgt te worden? Beetje dubbel dit..
"Vervolgd", en ja, dat is een beetje dubbel. De overheid is nou eenmaal een klein beetje te makkelijk met vanalles maar "verplicht" te maken, en vraagt zich niet af waarom iemand zich daar ook maar aan zou willen houden. "We stellen het verplicht" en daarmee houdt het nadenken subiet op.
21-06-2013, 19:29 door Anoniem
Door yobi: Een stap in de goede richting. Bedrijven zullen nu meer gemotiveerd worden om hun systemen te laten controleren (pentesten).

Dat is niet hetzelfde. Er zijn ongetwijfeld veel ex-hackers die graag met hun tooltjes spelen, maar dat is niet de manier om een systeem te controleren. Dat doe je met een audit. Bepaald geen junior taak, daar heb je echte kennis en inspanning voor nodig.
22-06-2013, 07:34 door Anoniem
"Dat is niet hetzelfde. Er zijn ongetwijfeld veel ex-hackers die graag met hun tooltjes spelen, maar dat is niet de manier om een systeem te controleren. Dat doe je met een audit. Bepaald geen junior taak, daar heb je echte kennis en inspanning voor nodig."

Meen jij dat een pentest een junior taak is waar je geen echte kennis en inspanning voor nodig hebt ? Een goede pentest is ietsje moeilijker dan een audit...
22-06-2013, 08:32 door Anoniem
hahahaha

serieus hey, het hoeveelste voorstel is dit nou?

lelelele wat een verstand hey, en nog gewoon doorkeutelen ook met z'n allen nou?
22-06-2013, 09:09 door Anoniem
Door Sarodj: Dus je komt straks in de situatie dat je verplicht bent een lek te melden maar de kans hebt om ervoor vervolgt te worden? Beetje dubbel dit..

Ik heb met enige regelmaat met mijn neus in de (wet)boeken gezeten. Ik ben geen Arnoud Engelfriet, maar van wat ik heb gezien krijg ik de indruk dat men dat gewoonlijk oplost door een clausule dat de ene wet voorrang heeft op de andere. In dit geval schat ik dat het voorstel zal zijn om verplicht te zijn datalekken te melden tenzij het expliciet verboden is.

Overigens, indien dit klopt is het wel bepaald onverwachte daadkracht met betrekking tot privacybescherming. Zo onverwacht dat het verdacht is. Kan iemand met een stofkam over dit voorstel gaan?
22-06-2013, 10:18 door Anoniem
Door Anoniem:
Door yobi: Een stap in de goede richting. Bedrijven zullen nu meer gemotiveerd worden om hun systemen te laten controleren (pentesten).

Dat is niet hetzelfde. Er zijn ongetwijfeld veel ex-hackers die graag met hun tooltjes spelen, maar dat is niet de manier om een systeem te controleren. Dat doe je met een audit. Bepaald geen junior taak, daar heb je echte kennis en inspanning voor nodig.

Al jaren zijn er normeringen die met audits worden getoetst, maar dat is niet voldoende, zo blijkt bijna iedere maand weer.... Audits zijn vaak gericht op deelsystemen, implementaties of processen. Dan mis je gegarandeerd stukken waar een hacker graag gebruik van maakt. Lekken in de informatiebeveiliging preventief opzoeken en dichten is belangrijk omdat je dan het gedrag van een hacker het beste simuleert. En daaruit blijkt dat er altijd wel mogelijkheden zijn om 'binnen' te komen. Daarop actie ondernemen helpt direct aan betere beveiliging.
22-06-2013, 12:40 door schele
Door Anoniem: .

Zit nu wel een gaatje dat ze kunnen roepen dat ze het gewoon niet gezien of gemerkt hebben.

Niet zo goed voor de reputatie maar scheelt een boete van 450.000,-

Die datalek meldingsplicht staat niet in de wet bescherming persoonsgegevens, dat persoonsgegevens met de gepaste technische en organisatorische maatregelen beschermd moeten worden wel. Monitoringstools en logging hoort daarbij. Een bedrijf kan dus niet zeggen "oeps, niet gezien" want dan zitten ze ook fout. Helaas mag de CBP daar dan inderdaad geen boete voor uitschrijven, maar het bedrijf kan wel vervolgd worden voor niet nakomen WBP en de schade die daaruit voortkwam.

Deze meldingsplicht is ook niet echt bedoeld om datalekken te voorkomen m.i., maar wel om er voor te zorgen dat er transparantie is over die lekken en dat bedrijven daardoor verplicht worden snel actie te ondernemen volgend op het lek.
22-06-2013, 15:41 door [Account Verwijderd] - Bijgewerkt: 16-08-2013, 15:50
[Verwijderd]
22-06-2013, 16:03 door [Account Verwijderd] - Bijgewerkt: 16-08-2013, 15:50
[Verwijderd]
23-06-2013, 10:39 door Anoniem
Wat mij elke keer weer verbaast, is dat er een maximum boete wordt opgelegd. 450.000 Euro is voor het MKB een behoorlijk bedrag; voor kleine bedrijven is het een doodssteek; voor grote bedrijven, als multi-nationals, is het peanuts.
Laten we maar hopen dat er vanuit de transparantie, die zo ontstaat, een afschrikwekkend effect ontstaat, want de boete zal dat niet bewerkstelligen. In ieder geval niet voor de bedrijven die de meeste informatie van ons hebben, bedrijven als Google, Apple, Microsoft, Amazon, etc.
24-06-2013, 09:25 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.