Autoriteit Persoonsgegevens onderzoekt niet alle datalekken
De Autoriteit Persoonsgegevens, zoals het College bescherming persoonsgegevens (CBP) vanaf 1 januari gaat heten, zal niet alle meldingen van datalekken onderzoeken die in het kader van de meldplicht datalekken worden gedaan. Dat laat CBP-voorzitter Jacob Kohnstamm tegenover BNR weten.
Vanaf 1 januari 2016 zijn alle bedrijven en overheden die persoonsgegevens verwerken verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Bij het opstellen van de wetgeving ging het ministerie van Veiligheid en Justitie in eerste instantie uit van 60.000 meldingen per jaar. Dat getal is echter zonder duidelijke onderbouwing naar 6.000 bijgesteld, aldus Kohnstamm.
Mogelijk komt de Autoriteit Persoonsgegevens straks mensen tekort om alle meldingen te onderzoeken. Het ministerie van Veiligheid en Justitie heeft afgesproken om eerst de situatie te monitoren en aan de hand daarvan te bepalen of er mensen bij moeten komen. Een houding die volgens Kohnstamm riskant is. Hij wijst naar de Britse Autoriteit Persoonsgegevens die na de invoering van de meldplicht datalekken in Groot-Brittannië werd overspoeld door meldingen.
Toch verwacht Kohnstamm niet dat dit in Nederland zal gebeuren. De Autoriteit Persoonsgegevens heeft namelijk een programma ontwikkeld om meldingen te filteren, zodat alleen de meldingen overblijven waarbij burgers direct moeten worden gewaarschuwd of er onzorgvuldig gehandeld is. "Het is niet zo dat de wet ons verplicht om alle meldingen te onderzoeken. We zullen er zeker een aantal uit pakken waarvan we denken dat er meer aan de hand is. Maar de meldplicht is in eerste instantie bedoeld voor de verantwoordelijke van de database", aldus de CBP-voorzitter. Hij stelt dat de wet vooral preventief moet werken.
de nederlandse naieve nuchterheid,dus eerst id fraude slachtoffers,en de uitslag daarvan eerst bekijken,
want dit kan wel eens serieus zijn en dan pas actie.
Echter, de beleidslijnen van deze meldplicht hebben puur de focus op het binnen 72uur melden van een datalek. Vervolgens kan de autoriteit persoonsgegeven er voor kiezen om te onderzoeken of men nalatig is geweest.
Ik hoop dat iedereen de beleidslijnen dan ook echt goed gaat opvolgen. o.a. de verplichting om b.v. perongeluk verkeerd verstuurde e-mails en/of gestolen/verloren smartphones te melden zal voor heel veel drukte zorgen bij de autoriteit persoonsgegevens.
Ik ben meer een voorstander van een verplichte audit bij bedrijven, een audit op:
- Procedures;
- Maatregelen;
- Pentesten;
- Vulnerability management;
- Patchmanagement;
- Awareness trainingen.
Uiteraard geeft dit ook geen 100% garantie maar het brengt in ieder geval de volwassenheid van Informatiebeveiliging en de daadwerkelijk genomen maatregelen in kaart.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
