Nieuws
image

Meldplicht datalekken in Staatscourant gepubliceerd

woensdag 16 december 2015, 12:53 door Redactie, 16 reacties

De meldplicht datalekken die vanaf 1 januari 2016 van kracht wordt is in de Staatscourant gepubliceerd (pdf), zodat organisaties er kennis van kunnen nemen. De meldplicht houdt in dat zowel bedrijven als overheden straks melding moeten maken bij de Autoriteit Persoonsgegevens als er een datalek is.

In een aantal gevallen moet het datalek ook aan de mensen bekend worden gemaakt van wie de persoonsgegevens zijn gelekt. "Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker", aldus de Staatscourant.

Organisaties hoeven niet ieder datalek aan de Autoriteit Persoonsgegevens te melden. Volgens de wet moet er een melding worden gemaakt als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens.

Het gaat dan bijvoorbeeld om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging, maar ook gegevens over de financiële of economische situatie van de betrokkene, gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene, gebruikersnamen, wachtwoorden en andere inloggegevens en gegevens die kunnen worden misbruikt voor fraude of identiteitsfraude. Bedrijven die de meldplicht datalekken overtreden kunnen een boete van maximaal 820.000 euro krijgen.

Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete. Bij het opleggen van een bestuurlijke boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval. Een omstandigheid van het geval kan bestaan uit het feit dat de gegevens waarover het gaat niet door derden zijn ingezien.

Image

Reacties (16)
16-12-2015, 13:05 door Anoniem
Dus als een hackers het beveiligingslek niet misbruikt heeft, krijgt het nalatige bedrijf minder straf, want er was geen incident ? Welke, snel met kerstreces gegane, lamme raamambtenaar heeft dit bedacht ?
16-12-2015, 13:19 door Dick99999 - Bijgewerkt: 16-12-2015, 13:29
Grappig zo'n schema dat vragen stelt, maar slechts 1 vervolgstap heeft, en de nee kant weglaat?

Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een 'ernstig' [ed] datalek hebben.
Dit gaat over datalekken de rest gaat over lekken van persoonsgegevens. Gaat het nu om alle lekken, of zijn alleen lekken van persoonsgegevens 'ernstig'?

===toegevoegd
Het origineel geeft uitsluitsel: "Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten."
Ik vind dat echt opvoedkundig, als beveiliger is dat een te beperkte definitie van een datalek, lijkt mij.
16-12-2015, 13:22 door Anoniem
Dit is m.i. vragen om problemen.
Want wie wil nu een bestuurlijke boete oplopen van maximaal 820.000 euro na een lek?
Meldingen blijven daarom niet alleen uit, ze worden gegarandeerd glashard ontkend. Let maar op.
16-12-2015, 14:09 door SPlid
Wat gebeurd er als het data lek is ontstaan door een politie tap ?
16-12-2015, 14:24 door Anoniem
Zorg eerst maar voor een opperating system zonder lekken!
16-12-2015, 14:47 door Anoniem
Door SPlid: Wat gebeurd er als het data lek is ontstaan door een politie tap ?

Dan moet die gemeld worden. Sterker nog, het niet melden betekent dat je het proces niet volgt en kan dus alleen daarom al voor problemen zorgen.
16-12-2015, 14:59 door Ron625
Nu moet ik weer denken aan het EPD :-)
16-12-2015, 15:14 door Anoniem
Door SPlid: Wat gebeurd er als het data lek is ontstaan door een politie tap ?
Politie- en inlichtendiensten vallen buiten deze regeling, daar zijn weer andere wetten en regels voor.

Door Dick99999: Grappig zo'n schema dat vragen stelt, maar slechts 1 vervolgstap heeft, en de nee kant weglaat?
Het is een verkort schema, lees het hele schema eens door.

Door Anoniem: Zorg eerst maar voor een opperating system zonder lekken!
Onzinreactie, heeft er niets mee te maken. Als je security begrijpt, weet je dat dat nooit gaat lukken. Een systeem waar informatie in zit, kan lekken. Of het nou Windows of Linux is, als je niet patcht is je systeem al snel onveilig. Aan de organisatie om hun systemen zo veilig mogelijk te maken. Met de mega-boetebedragen achter dit meldplicht is de kans groot dat bedrijven hun security eindelijk eens wat serieuzer gaan nemen.

Door Anoniem: Dit is m.i. vragen om problemen.
Want wie wil nu een bestuurlijke boete oplopen van maximaal 820.000 euro na een lek?
Meldingen blijven daarom niet alleen uit, ze worden gegarandeerd glashard ontkend. Let maar op.
Totdat intern in de organisatie iemand een melding uitlekt. Of als gegevens op het internet verschijnen en duidelijk herleidbaar zijn tot een organisatie. Waterdicht is het niet, maar wat stel je anders voor?
16-12-2015, 15:15 door Anoniem
Nou ja straks moeten melden?
Wanneer het in de Staatscourant vermeldt is, is het vanaf dat moment verplicht.
Dus wanneer je er nu één ontdekt moet je het melden en niet zelf gaan zitten pielen anders ben je dus de klos.
'T is maar dat je het weet.
16-12-2015, 15:19 door Anoniem
Door SPlid: Wat gebeurd er als het data lek is ontstaan door een politie tap ?
Hoe stel jij je "tappen" voor?
16-12-2015, 15:58 door Dick99999
Door Anoniem:
Door Dick99999: Grappig zo'n schema dat vragen stelt, maar slechts 1 vervolgstap heeft, en de nee kant weglaat?
Het is een verkort schema, lees het hele schema eens door.
Ik had het Staatscourant artikel al doorgelezen, zoals je had kunnen zien. Daarin staat hetzelfde schema. Maar als ze de nee-kant ook hadden weergegeven, zouden ze moeten toegeven dat er ook andere dan privacy lekken kunnen zijn, bijvoorbeeld lekken van ontwerpen van innovatieve producten die een bedrijf heeft gemaakt.
16-12-2015, 16:00 door Anoniem
Door Dick99999:
Door Anoniem:
Door Dick99999: Grappig zo'n schema dat vragen stelt, maar slechts 1 vervolgstap heeft, en de nee kant weglaat?
Het is een verkort schema, lees het hele schema eens door.
Ik had het Staatscourant artikel al doorgelezen, zoals je had kunnen zien. Daarin staat hetzelfde schema. Maar als ze de nee-kant ook hadden weergegeven, zouden ze moeten toegeven dat er ook andere dan privacy lekken kunnen zijn, bijvoorbeeld lekken van ontwerpen van innovatieve producten die een bedrijf heeft gemaakt.
Zie
https://cbpweb.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf
16-12-2015, 17:45 door Dick99999 - Bijgewerkt: 16-12-2015, 17:49
Door Anoniem:
Zie https://cbpweb.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf
Wat een gemiste kans! Moet iedere MKB'er nu 54 pagina's CBP teksten gaan lezen? Had het CBP het Staatscourant artikel niet moeten gebruiken voor een goede samenvatting? Waarom de nee-kant weglaten in een samenvatting? Die nee-kant had duidelijk naar de Telecommunicatiewet voor "Aanbieders van openbare elektronische communicatiediensten" moeten verwijzen.

En zelfs de samenvatting van het gerefereerde document begint foutief! "Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan het College bescherming persoonsgegevens (CBP),1 en in bepaalde gevallen ook aan de betrokkene ....
Weer de insteek dat algemene datalekken gemeld moeten worden bij het CBP, indien een bedrijf persoonsgegevens verwerkt. En wie doet dat niet?

Ook is het woord datalek domweg fout in de CBP context. In IT wordt terecht onderscheid gemaakt tussen data en informatie. En pas als het informatie is, kan bepaald worden of het privacy gevoelige informatie is. Een term als privacy-informatie lek geeft veel beter aan waar het om gaat, volgens mij. En er kan dan geen verwarring ontstaan met het melden van echte datalekken ( ja daar is het data) zoals bij elektronische communicatiediensten. Misschien dat Europa het beter gaat doen.
16-12-2015, 20:26 door karma4 - Bijgewerkt: 16-12-2015, 20:27
Door Dick99999Ook is het woord datalek domweg fout in de CBP context. In IT wordt terecht onderscheid gemaakt tussen data en informatie.
Als je met informatie en gegevens omgaat wet je dat 1 enkel woord veel echt verschillende betekenissen kan hebben. Zelfs als een en het zelfde gegeven verwerkt kan de betekenis per doel veranderen. Het is de context waar het om gaat.
Met associaties tussen begrippen gegevens kom je heel veel betekenissen.
De menselijke taal lost dat ook op met bijvoegelijke naamwoorden zonder nieuwe woorden te verzinnen. Je zou voor elke kleur van een object nieuwe unieke woorden moeten gaan verzinnen. Dat is onzinnig.

OO https://nl.wikipedia.org/wiki/Objectgeori%C3%ABnteerd is een ICT invulling van at concept.
Dat er in de ICT wereld zo veel problemen gemaakt worden over woorden zonder de betekenis te doorgronden is een boel geheimzinningdoenerij en onvolwassenheid. Verwarring met ICT door woordgebruik lijkt soms een doel op zich.

Het gaat hier om "De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp)" Een prima context met een duidelijke omschrijving waar het om gaat.
23-12-2015, 15:14 door Anoniem
mensen moeten zich goed realiseren dat ook een Ransomware aanval, hoewel geen data-privacy lek expliciet, een meldplicht heeft bij het CBP. Aangezien er moeilijk binnen het MKB oplossing op dit vlak aanwezig zijn, en als die er al zijn, vooral de kennis niet, kan dit een gigantisch probleem worden.

Bron: https://www.dearbytes.com/blog/meldplicht-datalekken-ransomware/
28-12-2015, 14:34 door SPlid
Door Anoniem:
Door SPlid: Wat gebeurd er als het data lek is ontstaan door een politie tap ?
Hoe stel jij je "tappen" voor?

Politie breekt in op mijn werkcomputer en download data met persoonsgegevens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure