image

Autoriteit Persoonsgegevens onderzoekt niet alle datalekken

woensdag 30 december 2015, 09:41 door Redactie, 3 reacties

De Autoriteit Persoonsgegevens, zoals het College bescherming persoonsgegevens (CBP) vanaf 1 januari gaat heten, zal niet alle meldingen van datalekken onderzoeken die in het kader van de meldplicht datalekken worden gedaan. Dat laat CBP-voorzitter Jacob Kohnstamm tegenover BNR weten.

Vanaf 1 januari 2016 zijn alle bedrijven en overheden die persoonsgegevens verwerken verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Bij het opstellen van de wetgeving ging het ministerie van Veiligheid en Justitie in eerste instantie uit van 60.000 meldingen per jaar. Dat getal is echter zonder duidelijke onderbouwing naar 6.000 bijgesteld, aldus Kohnstamm.

Mogelijk komt de Autoriteit Persoonsgegevens straks mensen tekort om alle meldingen te onderzoeken. Het ministerie van Veiligheid en Justitie heeft afgesproken om eerst de situatie te monitoren en aan de hand daarvan te bepalen of er mensen bij moeten komen. Een houding die volgens Kohnstamm riskant is. Hij wijst naar de Britse Autoriteit Persoonsgegevens die na de invoering van de meldplicht datalekken in Groot-Brittannië werd overspoeld door meldingen.

Toch verwacht Kohnstamm niet dat dit in Nederland zal gebeuren. De Autoriteit Persoonsgegevens heeft namelijk een programma ontwikkeld om meldingen te filteren, zodat alleen de meldingen overblijven waarbij burgers direct moeten worden gewaarschuwd of er onzorgvuldig gehandeld is. "Het is niet zo dat de wet ons verplicht om alle meldingen te onderzoeken. We zullen er zeker een aantal uit pakken waarvan we denken dat er meer aan de hand is. Maar de meldplicht is in eerste instantie bedoeld voor de verantwoordelijke van de database", aldus de CBP-voorzitter. Hij stelt dat de wet vooral preventief moet werken.

Reacties (3)
30-12-2015, 10:33 door Anoniem
Dus het blijft een papieren tijger. Inmiddels dan met melktandjes. Jammer. Gemiste kans.
30-12-2015, 16:06 door Anoniem
Eerst pappen en nathouden,en even de kat uit de boom kijken (monitoren),
de nederlandse naieve nuchterheid,dus eerst id fraude slachtoffers,en de uitslag daarvan eerst bekijken,
want dit kan wel eens serieus zijn en dan pas actie.
30-12-2015, 21:18 door Cybercrimepreventie.com
De gehele meldplicht schiet zijn doel ook voorbij. Het doel is om bedrijven Informatiebeveiliging serieus te laten nemen door het nemen van goede en gestructureerde maatregelen.

Echter, de beleidslijnen van deze meldplicht hebben puur de focus op het binnen 72uur melden van een datalek. Vervolgens kan de autoriteit persoonsgegeven er voor kiezen om te onderzoeken of men nalatig is geweest.

Ik hoop dat iedereen de beleidslijnen dan ook echt goed gaat opvolgen. o.a. de verplichting om b.v. perongeluk verkeerd verstuurde e-mails en/of gestolen/verloren smartphones te melden zal voor heel veel drukte zorgen bij de autoriteit persoonsgegevens.

Ik ben meer een voorstander van een verplichte audit bij bedrijven, een audit op:
- Procedures;
- Maatregelen;
- Pentesten;
- Vulnerability management;
- Patchmanagement;
- Awareness trainingen.

Uiteraard geeft dit ook geen 100% garantie maar het brengt in ieder geval de volwassenheid van Informatiebeveiliging en de daadwerkelijk genomen maatregelen in kaart.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.