Quick link naar deze bijdrage:
https://www.security.nl/posting/409730/#posting409764Uit
http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2014/11/24/wijziging-van-wet-meldplicht-datalekken/tk-bijlage-2e-nota-van-wijziging-inzake-meldplicht-datalekken.pdf, onderaan pagina 3:
Toelichting
1. Doel van de nota van wijziging
Met deze tweede nota van wijziging wordt uitvoering gegeven aan het regeerakkoord van het kabinet-Rutte II “Bruggen slaan” van 29 oktober 2012 om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsgegevens (hierna ook: Cbp) om bij overtreding van de normen van de Wet bescherming persoonsgegevens (Wbp) een bestuurlijke boete op te leggen.
Dat gaat, volgens de
regels in ditzelfde document, dus
niet gebeuren, zie artikel 66 lid 3 en 4 uit bovengenoemde PDF:
Artikel 66
1. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a.
2. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.
3. Het College legt geen bestuurlijke boete op wegens overtreding van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd.
4. Het derde lid is niet van toepassing indien de overtreding opzettelijk is gepleegd.
Dat vierde lid zal in het grote merendeel van de gevallen niet te bewijzen zijn, gehackten zullen natuurlijk zeggen dat ze niet wisten dat ze risico's liepen.
Toevallig kreeg ik onderstaande FAQ in handen waar Fred's mensen momenteel aan werken, binnenkort te vinden op
http://www.cbpweb.nl/ (het betreft een draft, inhoudelijk kunnen er nog wijzigingen plaatsvinden):
Q: Mijn organisatie/onderneming wil privacygevoelige gegevens verwerken en/of opslaan. Wat moet ik doen?A: Niets. Met name als beginnende organisatie/onderneming bent u efficiënter/competitiever als u geen beveiligingsmaatregelen neemt. Belangrijk is wel dat u niet opzettelijk privacygevoelige gegevens "lekt", want dan kunt u, indien wij hierachter komen, meteen een boete krijgen (u komt er dan niet vanaf met een waarschuwing).
Q: Helaas is mijn organisatie/onderneming gehackt, de database met privacygevoelige data is gekopieerd en een deel van die gegevens is gepubliceerd op pastebin.com. Moet ik dit incident melden?
(Nb. omdat het slot van onze achterdeur kapot is vreesden we dat onze databaseserver gestolen zou worden; om die reden hebben we de schijven daarin met "Full Disk Encryption" versleuteld.)A: Nee, want de gegevens waren versleuteld.
Voor meer informatie verwijzen wij u naar de "Nota van wijziging bescherming persoonsgegevens 33662" (
http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/brieven/2014/04/17/nota-van-wijziging-bescherming-persoonsgegevens-33662/lp-v-j-0000005448.pdf), onderaan pagina 5:
Het huidige zesde lid bepaalt dat de melding aan de betrokkene achterwege kan blijven indien de verantwoordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens. De reden is dat in dat geval ongunstige gevolgen voor de persoonlijke levenssfeer van de getroffen persoon niet waarschijnlijk zijn. Het is bij nadere beschouwing niet logisch dat de uitzondering alleen wordt gemaakt voor de melding aan de betrokkene en niet voor de melding aan het Cbp.
Indien persoonsgegevens op passende wijze zijn versleuteld, zullen immers ook geen (ernstige) nadelige gevolgen voor de bescherming van deze gegevens te duchten zijn.
In verband hiermee wordt in het zesde lid bepaald dat de meldingsverplichtingen van het eerste en tweede lid niet gelden indien passende technische beschermingsmaatregelen zijn genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.
Deze formulering dekt niet alleen versleuteling maar ook technieken die persoonsgegevens ontoegankelijk kunnen maken als zich een datalek voordoet (bijv. een remote wipe bij een verloren of gestolen smartphone).
Q: Ja, maar ik heb nog wel een beetje moraal en onze klanten zijn erg boos. Daarom overweeg ik dit incident toch te melden, maar ik wil eerst weten wat de consequenties kunnen zijn. Aan welk boetebedrag moet ik denken?A: U krijgt
geen boete. Indien u besluit dit incident te melden, is de consequentie daarvan dat u
wel beveiligingsmaatregelen zult moeten nemen. Uitsluitend indien u die maatregelen, binnen een redelijke overeen te komen termijn, niet afdoende implementeert, kunt u een boete opgelegd krijgen.
Q: Aan welke verplichte beveiligingsmaatregelen moet ik denken na het melden van een hack?A: U moet de gegevens versleutelen.
Tip: gebruik versleuteling van het type "data at rest". Dat is betrekkelijk eenvoudig te implementeren. Mocht u vinden dat dit teveel performance kost, of indien uw systeembeheerder dit gedoe vindt op SAN/RAID systemen, dan kunt er ook voor kiezen om de
gegevens zelf te versleutelen. Om te voorkomen dat de data niet meer benaderd kan worden als u de sleutel vergeet (of onder de tram komt) raden wij aan om de sleutel ook bij de data zelf op te slaan. Als alternatief kunt u voor een methode kiezen waarbij de gegevens "anderszins onbegrijpelijk zijn gemaakt" (zie bovenstaande nota), zoals ROT13. Mocht u dan, onverhoopt, onder de tram komen, dan kan iemand van ons college uw nabestaanden helpen de onversleutelde data te reproduceren.
Nb.
geen enkele versleuteling zal de kans op diefstal tot 0% kunnen reduceren, alles is te hacken. Wij raden u aan niet meer moeite te doen dan strikt noodzakelijk. Met eenvoudige versleuteling (i.p.v. ROT13 kunt u de meer geavanceerde stream cipher RC4 inzetten) realiseert u een perfecte balans tussen enerzijds nauwelijks efficiëntieverlies, en anderzijds het voordeel dat u toekomstige beveiligingsincidenten niet meer hoeft te melden.
Q: Cybercriminelen hebben toegang verkregen tot onze (xs4all) database met getapte metadata van al onze klanten, alsmede volledige getapte informatie uitgewisseld met servers in Syrië. Wij nemen aan dat wij dit moeten melden?A: Hmm, moment, even bellen. [...] Ik heb contact gehad met Ivo en Ronald: u hoeft dit niet te melden, sterker, dat is ongewenst omdat dit niet in het algemeen belang is.
Voor meer informatie verwijs ik u naar Artikel 67 uit de PDF genoemd bovenaan deze bijdrage:
Artikel 67
1. Een door het College vastgestelde beleidsregel omtrent de uitleg van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, behoeft de goedkeuring van Onze Minister en Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties.
2. De goedkeuring kan slechts worden onthouden wegens strijd met het recht of het algemeen belang.
Wij wensen u goede zaken toe, zonder zorgen en zonder vervelende interrupties door de Autoriteit persoonsgegevens!
Update 2014-11-25 13:13 Quick link toegevoegd. "Data in rest" "Data at rest" en (dank aan 0101 om 10:16!) "Sirië" -> "Syrië".
Aanvulling 2015-02-04 17:09:
Door Redactie: "Dit wetsvoorstel leidt niet tot een betere naleving van de Wet bescherming persoonsgegevens", aldus CBP-voorzitter Jacob Kohnstamm.
De door Redactie gegeven link werkt niet meer doordat CBP haar website heeft gewijzigd. De correcte link luidt nu:
https://cbpweb.nl/nl/nieuws/cbp-zet-grote-vraagtekens-bij-wetsvoorstel-boetebevoegdheid.