Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Praktijk voorbeelden boete of aanwijzing t.g.v. meldplicht datalekken

18-04-2016, 16:58 door Bothooz, 11 reacties
Beste security.nl lezers

Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent meldplicht datalekken.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?

Op onze grote vriend Google is hier niet echt wat te vinden. Bij jullie gevallen bekend? Als je iets weet graag het linkje erbij zetten.
Reacties (11)
18-04-2016, 17:21 door Anoniem
Ik moet je teleurstellen met voorbeelden, mede doordat die wetgeving relatief nieuw is. De zin "Leuk hierbij zou zijn als we het management achter ons krijgen." valt me echter wel op. Is dit niet gewoon een wettelijke verplichting, waarbij het niet heel relevant is of het leuk is of management achter je staat? Staan ze niet achter je, dan dragen zij uiteindelijk toch de gevolgen als het een keer fout gaat en er niets is geregeld. Het klinkt bijna als "we moeten management overtuigen om dit in te richten", hoewel ik dat verkeerd op kan vatten. Hier zijn ze toch hopelijk zelf mee gekomen?
19-04-2016, 08:55 door Vandy - Bijgewerkt: 19-04-2016, 08:55
Door Bothooz: Beste security.nl lezers

Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent meldplicht datalekken.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?

Op onze grote vriend Google is hier niet echt wat te vinden. Bij jullie gevallen bekend? Als je iets weet graag het linkje erbij zetten.
Zoals anoniem 18-4 17:21 al opmerkte, het gaat om een wettelijke verplichting. Met vervanging van een paar woorden in jouw verhaal hoop ik dat je zelf ook het absurde van de situatie inziet, en dat het management prima kan beslissen "fuck die hele wet" maar dat ze dat mogelijk wel gaat opbreken in de toekomst:

"Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent het dumpen van chemisch afval.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het dumpen?"
19-04-2016, 09:13 door Bothooz
Uiteraard heeft het management een aantal verplichtingen op dit gebied. En maatregelen zullen echt wel door gevoerd worden. Echter, als je het management weet te overtuigen dat de wet niet zomaar een 'moetje' is bereik je veel meer. Tevens zijn er 400 paar ogen die naar het management als voorbeelden kijken. Als zij zien van pff onzin heb ik geen zin in, dan zie ik de geïmplementeerde maatregelen mislukken.

Mijn punt is, ondanks ongelukkige woordkeuze, dat ik verder wil kijken dan alleen het management, maar dat ik met dit verder kijken wel het management wil gebruiken..
19-04-2016, 11:19 door Anoniem
Men heeft aangekondigd dat na de invoering het eerste half jaar ze coulant omgaan met uitdelen van boetes en er zijn dus nog geen boetes uitgedeeld. Verwachting is wel dat na het eerste halfjaar ze zullen volgen, al is het maar om een statement te maken.
19-04-2016, 16:14 door Anoniem
Door Anoniem: Men heeft aangekondigd dat na de invoering het eerste half jaar ze coulant omgaan met uitdelen van boetes en er zijn dus nog geen boetes uitgedeeld. Verwachting is wel dat na het eerste halfjaar ze zullen volgen, al is het maar om een statement te maken.

Waar heb je dat gevonden? Ik zie juist meer dat het AP (of voorheen CBP) juist niet coulant zou zijn.
https://executive-people.nl/542320/cbp-stelt-zich-niet-coulant-op-bij-invoering-van-meldplicht-datalekken.html
https://www.computable.nl/artikel/nieuws/overheid/5662557/250449/cbp-niet-coulant-bij-meldplicht-datalekken.html
http://www.marqit.nl/newsitem/19632

Wat ik dat wel weer opvallend vind is, het AP/CBP geeft aan niet coulant te zullen zijn. Echter, tot op heden zijn er geen gevallen bekend van boetes of aanwijzingen. Nu zullen bij lange na niet alle berispingen openbaar komen. Maar je zou toch zeggen dat er dan ondertussen wel wat te vinden zou zijn.
20-04-2016, 14:07 door Anoniem
Zie ook de stukken over Privacy (Baseline, Grip op..., etc) op de site van het Centrum voor Informatiebeveiliging en Privacybescherming, www.cip-overheid.nl.

Het zijn helder geschreven stukken die goed uitleggen wat je rond privacywetgeving moet doen, en waarin je ook motivatie kan vinden die verder gaat dan "het mot nou eenmaal".

En een datalek kan heel wat meer schade geven dan de bestuurlijke boete, denk aan het afbreukrisico als gegevens van klanten of patienten op straat komen te liggen. Vertrouwen komt te voet en gaat te paard. Nog afgezien van je morele plicht als bedrijf om zorgvuldig om te gaan met spullen (gegevens) van anderen, zie maatschappelijk verantwoord ondernemen.

Ook zul je als een betrokkene daarom vraagt, diens gegevens moeten kunnen ophoesten en als je systemen daar niet op ingericht zijn dan moet je maar hopen dat ze dat niet met teveel tegelijk doen.

Komt bij dat je gegevensverwerking inrichtingen zo dat je goed aan de WBP kan voldoen, ook voordelen biedt omdat je makkelijker fouten kan detecteren en corrigeren en de algemene beheerbaarheid vergroot wordt. Het is dus veel meer dan "hoera we voldoen aan de WBP".
20-04-2016, 14:35 door SecOff - Bijgewerkt: 20-04-2016, 14:41
Door Bothooz: Beste security.nl lezers

Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?
Kijk gewoon even op http://autoriteitpersoonsgegevens.nl onder actueel. Daar staan voldoende voorbeelden van bindende aanwijzingen en het opleggen van een last onder dwangsom. Dat is wel niet n.a.v. een melding datalek maar juist het NIET melden van een datalek zal in de praktijk leiden tot een boete.
21-04-2016, 18:04 door Anoniem
Brenno de Winter -- Meldplicht Datalekken

https://www.youtube.com/watch?v=RRSRqnckHi4
09-05-2016, 10:16 door Anoniem
KPN:
https://www.acm.nl/nl/publicaties/publicatie/14314/ACM-beboet-KPN-voor-onvoldoende-beveiliging-klantgegevens/

Weliswaar niet via boetebevoegdheid CBP, maar wel relevant in deze context.
10-05-2016, 16:06 door Anoniem
Door Bothooz: Beste security.nl lezers

Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent meldplicht datalekken.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?

Op onze grote vriend Google is hier niet echt wat te vinden. Bij jullie gevallen bekend? Als je iets weet graag het linkje erbij zetten.


Eigenlijk is het helemaal geen kwestie van het management achter U te krijgen, het is simpel om te beargumenteren dat het bestuur van de wetgeving dient te weten van en zodoende dus ook dat ze aan deze verplichtingen gebonden is.
Als ze per se een voorbeeld willen mag je vervolgens een-iedere rechtzaak oppakken van wanbestuur; want daar komt het op het moment van (moedwillig) negeren van deze wetgeving simpelweg op neer. Dan zullen ze in het vervolg ook niet snel zulke domme vragen durven stellen.
10-05-2016, 17:24 door cjkos
Het kan wel kloppen dat er nog geen boetes ingesteld zijn, volgens de EU richtlijn hoeft het pas in 2017/2018ten uitvoer gebracht te worden.

Of de wet ook inderdaad dan ook pas actief gemonitord wordt??

https://www.huntonprivacyblog.com/2015/06/02/new-dutch-law-introduces-general-data-breach-notification-obligation-higher-sanctions/

Maar mocht je bedragen willen hebben om het managemt te overtuigen:

Failure to provide notification of data security breaches will be subject to a fine of up to € 810,000 or 10% of the organization’s annual net turnover. The new Law also will empower the DPA to impose higher fines for other violations of the Dutch Data Protection Act. The amount of administrative fines will be increased to:

•€ 20,250 for violations already subject to a fine (e.g., failure for non-EU data controllers to appoint a local representative when using means of data processing in the Netherlands or failure to comply with cross-border data transfer restrictions), and

•a maximum of € 810,000 or 10 % of the organization’s annual net turnover for other violations of the Dutch Data Protection Act.

De wet is een uitbreiding van een bestaande wet uit 2011 (EU 2009)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.