Het zou eigenlijk wel zo eerlijk zijn iedereen dezelfde termijn te geven die de politie zichzelf ook heeft toegedeeld... ondanks dat die de tijd heeft toegedeeld dat volgens bepalingen al 4 jaar geleden in orde had moeten zijn...

Coulance voor bedrijven die een loopje nemen met hun security ? Sorry ?

Niets ervan, als er niet keihard wordt opgetreden tegen malafide bedrijfsvoering, gebeurt er nooit wat.
Als een onderneming / instantie kan aantonen dat zij ALLES in het werk heeft gesteld om overtredingen / misdrijven te voorkomen, vervalt automatische het stukje "verwijtbaarheid."

Niet zeiken maar aanpakken, had al veel eerder moeten gebeuren.

Huh? Coulance? Er veranderd eigenlijk niks, behalve dat je de nu verplicht bent om het verlies of onrechtmatige verwerking van persoonsgegevens te melden bij het CBP of het toekomstige Autoriteit Persoonsgegevens, en dit is nu geborgd in de wet.

Het argument dat organisaties maar drie weken de tijd hebben om de beleidsregels door te voeren in klinkklare onzin. Organisaties dienden bij de verwerking van persoonsgegeven al te voldoen aan de huidige WBP, ook het afsluiten van bewerkingsovereenkomsten was daar al reeds onderdeel van.

Een organisatie die zijn of haar verantwoordelijkheid neemt had daar natuurlijk al in opgenomen dat een bewerker verplicht is de verantwoordelijke op te hoogte te stellen van een eventueel datalek. Echter komt er nu een meldplicht en een termijn waarin dit dient te gebeuren. Dus naast dat je zelf je beveiligingsincidenten met een mogelijk datalek registreert moet je nu , zo mogelijk binnen 72 uur,een weiformulier gaan invullen bij het CBP.

De beleidsregels zijn handvatten die het makkelijker moeten maken voor organisatie om de huidige en de WBP na 1 januari goed te interpreteren.

Door dit bericht van Nederland ICT geeft het aan achter de feiten aan te lopen. Ik vindt dit een behoorlijke afgang voor een organisatie die zich "Branchevereniging van ICT bedrijven in Nederland" noemt.

"De wet, die vanaf 1 januari volgend jaar van kracht wordt, verplicht bedrijven tot het melden van inbreuken op de beveiliging van persoonsgegevens die ernstige nadelige gevolgen kunnen hebben voor betrokkenen", klopt niet geheel. Deze voorwaarden geldt alleen voor het melden aan de betrokkene. De melding aan de AP moet al worden gedaan als een inbreuk ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens.

Dat laatste is al aan de hand als het eigen beleid voorschrijft dat een systeembeheerder geen toegang mag hebben tot bepaalde informatie, en vervolgens blijkt dat deze wel toegang had tot die informatie.

De security markt in NL kan die wet niet eens cateren.. dat gaat jaren duren, if ever, een beetje uitstel maakt derhalve feitelijk niets uit, de wet is onuitvoerbaar (gemaakt) door onwil, verkeerde prioriteiten van de spelers vertegenwoordigd in de uitstel-van-executie bedelende organisatie(s).

En maakbaarheid v/d samenleveing is zo 1950's anywaytjes, niet ?

Dat is behoorlijk zwart/wit bekeken. Misschien dat er in uw beleving alleen maar lakse organisaties zijn, en er geen onderscheid gemaakt hoeft te worden. Er zijn ook organisaties die security wel serieus nemen, en waar toch iets fout gaat. Probeer maar eens een organisatie te draaien met 100+ mensen die allemaal ook security bewust moeten zijn. Dat kost gewoon tijd om alle zaken op orde te krijgen. Bovendien valt te bezien hoe goed zo'n wet in de praktijk werkt, security kun je namelijk niet afdwingen, en daarnaast is het een heel juridisch gedoe om te bepalen of de meldplicht geldt of niet.

Ze moeten de zaak eens omdraaien. (Dat krijg ik dagelijks van mijn managers te horen.) Ze moeten eerst aantonen, dat zij aan de verplichtingen van de wet kunnen voldoen, alvorens het internet op te gaan. Kortom: vergunningsplichtig maken, dus controle vooraf, in plaats van achteraf zuchtend en steunend, want: kost geld, de gaten te dichten.
Als vergunning is afgegeven en er is een lek, dan kunnen ze zeggen, dat ze er alles aan hebben gedaan om dat te voorkomen. Daarbij kan dan rekening worden gehouden bij de strafmaat.

Vandaag is het 10 december, dus ongeveer 6 maanden nadat deze meldplicht bekend is gemaakt. Wanneer 6 maanden niet voldoende is om de zaken te regelen, wat is dan wel voldoende? Of wil ICT Nederland nog een paar jaar extra nergens verantwoordelijk voor zijn, ondanks het opzichtige falen van de beveiliging?

Tijd voor bijltjesdag!

Heb je wel eens IT projecten gedaan in Nederland - consensusland? 6 maanden is net genoeg voor een PvE o.i.d.
Triest maar waar.

Dit was het eerste wat ik ook dacht.. Naar mijn mening moet het gewoon een kwestie van "wie niet luisteren wil moet maar voelen" worden. Als jij persoonsgegevens gebruikt hoor je dit behoorlijk te beveiligen en op de stoel in de hoek met de hoed op te gaan zitten zodat iedereen je kan uitlachen wanneer je dit niet goed doet.. zo leerde we dat ook op de basisschool.

Ik wil graag een data lek melden. Alle software bij ons heeft een vulnerability en ben gehackt door de FBI. Dus ik heb een threat en een vulnerability,

Ik ben tegen coulance.

Jarenlang heb ik met tranen in mijn ziel moeten aanzien dat bedrijven kozen voor een beleid dat vooral money driven was waarbij de grenzen overtreden. En dit was het grootste ICT bedrijf van Nederland en bijna heel Nederland (particulieren en bedrijven) neemt wel een dienst van ze af. De arrogantie die ook die managers ten toon spreidden heb ik geen woorden voor.

Omdat ze werkten bij de grootste ICT leverancier van Nederland (dienstensector) denken ze dat ze alles kunnen maken.

Vele specialisten hebben een geheimhoudingscontract moeten tekenen met als straf 4 jaar gevangenisstraf

Ik heb samen met een collega security specialist melding gemaakt van zaken die gewoon echt niet door de beugel konden en beiden zijn gewoon aan de kant geschoven.

Ik hoop dat ze keihard afgestraft worden en nu eens alles boven tafel komt.

Maar recentelijk hebben ze al een miljoenen claim gekregen..ga zo door.

En datzelfde bedrijf bemoeit zich nu ook ineens met security..kotsen moet ik er van.

TEGEN COULANCE

Denk je dat beveiliging statisch is ? Het lek van morgen is vandaag nog niet bekend. Daarnaast worden infrastructuren aangepast, dagelijks worden changes uitgevoerd, waarbij fouten kunnen worden gemaakt, en ga zo maar door. Een controle is altijd goed, maar zal geen rekening houden met wijzigingen in de toekomst, en evenmin met nog niet bekende bedreigingen. Periodieke controles lijken mij zinniger ;)

Als je in staat bent om een systeem op te tuigen en aan te sluiten op internet, dan zou je ook in staat (MOETEN) worden geacht dit op een verantwoorde manier te doen. Zo simpel kunnen dingen zijn. Het gaat hier om de verantwoordelijkheid van andermans persoonsgegevens.

Bravo ! Zo lijkt er geen bedrijf te zijn dat eerlijk is in zijn stommiteiten op dat gebied. Ze liegen allemaal!

"Meester, ik heb mijn werkstuk niet af want ik wilde buiten spelen. Geeft u me nu een 6?"