Nieuws

CBP publiceert regels voor meldplicht datalekken

woensdag 9 december 2015, 09:46 door Redactie, 8 reacties

Het College bescherming persoonsgegevens (CBP) heeft vandaag de regels voor de meldplicht datalekken gepubliceerd, die vanaf 1 januari 2016 van kracht wordt. Organisaties zijn dan verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, de nieuwe naam van het CBP.

De nu gepubliceerde definitieve beleidsregels (pdf) helpen organisaties bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Of organisaties verplicht zijn om een melding van een datalek te doen hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt.

Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek "waarschijnlijk ongunstige gevolgen zal hebben" voor hun persoonlijke levenssfeer.

"De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen", zegt CBP-voorzitter Jacob Kohnstamm. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is 820.000 euro.

Microsoft patcht 71 lekken, publiceert 135 patches in 2015

Adobe dicht recordaantal lekken in Flash Player

Reacties (8)

09-12-2015, 12:39 door Anoniem

... en wie gaat bepalen of het lek "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens" ?

- Het betrokken bedrijf zal niets willen toegeven, want schade.
- De ontdekker van het lek zal weinig kunnen melden, want computervredebreuk en schade.
- De toezichthouder zal het tot de bodem gaan uitzoeken ?

Wat een slechte grap is dit.

09-12-2015, 14:01 door Anoniem

Gaan ze ook de Richtsnoeren publiceren. Hier werd op de infosecurity beurs in Utrecht ook gesproken. Die waren toen nog in concept. Dit waren mooie handvatten voor bedrijven. Waarin met logisch voorkomende scenario's werd gewerkt.
m.b.t. de eerste reactie.

Tuurlijk wil een bedrijf het wel melden denk ik. Want niet melde en het komt uit is de schade en schande groter.
de ontdekker kan niet melden want computervredebreuk. Dat valt wel mee zolang je een lek ontdekt maar niet benut. Wel is het zaak dat je gebruik maakt van de procedure responsible disclosure. Daarbij doen bedrijven er verstandig aan zich hierin te gaan verdiepen.
Het laatste punt lijkt me wel spannend. Hoe ga je dit controleren en borgen als autoriteit.
laten we wel wezen. In NL zij de meeste organisaties nou niet bepaald de vlotste op het terrein van controle en handhaving.

09-12-2015, 15:06 door Anoniem

Er zijn nog wel onduidelijkheden:

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker.

Ik gebruik de positieve definitie van "hacker". Als iemand mij in het kader van ons Responsible Disclosure beleid meldt dat er toegang is tot persoonsgegevens zou dit hier onder kunnen vallen. Maar heeft hij ingebroken?

Ze noemen wel "inbraak door een hacker", maar laten (expliciet?) "inbraak door criminelen" of zelfs "inbraak door AIVD" weg. Als ik voorbeelden zou noemen, zou ik toch wel de criminelen willen noemen. Ik snap het als ze AIVD of politie niet in de voorbeelden willen noemen.

Peter

09-12-2015, 22:01 door Anoniem

De definitieve richtsnoeren zijn vandaag gepubliceerd, nadat er eerder reacties van verschillende bedrijven zijn gegeven.

Het CBP bepaald of een datalek gemeld had moeten worden, dit kan bij nader onderzoek naar boven komen. Of bij het vernemen dat er een datalek is geweest en deze niet gemeld is. Het niet melden zorgt voor een hoge boete, wel melden betekend niet direct een boete.

10-12-2015, 08:57 door Anoniem

[cynische mode] Oh, is dat alles? Ik maakte me al zorgen of alle semi-legale/illegale verwerkingen van persoonsgegevens ook als datalek zouden worden gezien, zoals eerder wel besproken was, maar dat is dus niet zo. Kunnen we weer lekker achterover leunen want dan is het weer business as usual. Wel ff voorkomen dat een ander niet bij de gegevens kan of dat iemand ze op een stickie zet, maar voor de rest niets aan het handje.[/cynische mode]
Eigenlijk best wel een kansloze wet dit want het gaat het echte probleem met het onzorgvuldig verzamelen of verwerken van persoonsgegevens niet aanpakken of oplossen. Zolang het maar niet openbaar wordt is er dus niets te vrezen voor organisaties. Was ook niet echt te verwachten van zo'n kansloze toko als het CBP om nu eens fors in te grijpen en de privacy van de burgers te gaan waarborgen.

10-12-2015, 11:52 door Anoniem

Zolang het maar niet openbaar wordt is er dus niets te vrezen voor organisaties

Tja, de wet gaat dan ook over lekken van informatie, en dan wordt het per definitie wel openbaar. Jij wilt bedrijven ook straffen wanneer er geen informatie op straat komt te liggen, in het kader van de meldplicht datalekken ? Vreemde reactie.

Was ook niet echt te verwachten van zo'n kansloze toko als het CBP om nu eens fors in te grijpen en de privacy van de burgers te gaan waarborgen.

Lekker inhoudelijk deze kritiek. Wat je merkt is dat het bedrijfsleven zich juist wel zorgen maakt om deze nieuwe wet, en de hoge boetes waarmee men geconfronteerd kan worden. En dat om de privacy juist wel te waarborgen. Maarja, klagen is altijd leuk, is het niet ?

10-12-2015, 11:55 door Anoniem

Ze noemen wel "inbraak door een hacker", maar laten (expliciet?) "inbraak door criminelen" of zelfs "inbraak door AIVD" weg. Als ik voorbeelden zou noemen, zou ik toch wel de criminelen willen noemen.

Een crimineel die op systemen inbreekt, en daar data van steelt die is een hacker. Je bent wat dat betreft spijkers op laag water aan het zoeken....

Het gaat hier natuurlijk niet over ethische hackers, die geen privacy gevoelige gegevens stelen en openbaren, lijkt mij vrij duidelijk.

10-12-2015, 21:29 door Anoniem

In de beleidsregels wordt heel duidelijk gesproken dat het alleen om beveiligingsincidenten gaat maar een onrechtmatige verwerking leidt vrijwel nooit tot een beveiligingsincident dus hoeft er niet gemeld te worden. Dat vind ik een hele kwalijke zaak want er was wel afgesproken met het CBP dat dit wel in de beleidsregels zou terug komen (ik heb input gegeven op het eerste concept van de beleidsregels). Dat hebben ze waarschijnlijk, door heel veel lobby werk van datzelfde bezorgde bedrijfsleven,eruit gehaald, vandaar de kansloze organisatie.
De ernst van die beveiligingsincidenten geloof ik wel maar zorgelijker voor de privacy zijn de veelal onrechtmatige verzamelingen en verwerkingen van (bijzondere) persoonsgegevens, zoals Zembla onlangs in het nieuws bracht. In principe zou dit door art. 8 WBP niet toegestaan moeten zijn maar omdat het nu niet wordt gezien als een datalek, terwijl het dat wel is, zal het CBP, of straks AP, zich niet gaan inspannen om dit aan te pakken. De wet had juist een mooi handvat geweest om dergelijke ongewenste verzamelingen van bijzondere persoonsgegevens eens en voor altijd aan banden te leggen. Zembla gaf alleen maar een topje van de ijsberg want er wordt zoveel onrechtmatig verzameld door het zogenaamde bezorgde bedrijfsleven dat er door de boetes waarschijnlijk bedrijven op de fles zouden gaan. Als toezichthouder op de privacy moet je dan juist ballen tonen en je rug recht houden door je ongenaakbaar op te stellen.
Maar ook in deze bananen republiek spreken de euro's harder dan de belangen van de burgers.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Wie wordt de volgende president van de Verenigde Staten?

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

CBP publiceert regels voor meldplicht datalekken

Wie wordt de volgende president van de Verenigde Staten?

Wachtwoord Vergeten

Password Reset

Registreren