image

Toezichthouder ontvangt 3400 meldingen van datalekken

zondag 4 september 2016, 10:55 door Redactie, 12 reacties

Sinds de invoering van de meldplicht datalekken begin dit jaar heeft de Autoriteit Persoonsgegevens ruim 3400 meldingen ontvangen. In Nederland zijn er zo'n 130.000 a 135.000 instanties die persoonsgegevens verwerken en dus in potentie met een datalek te maken kunnen krijgen dat ze moeten melden.

Het aantal van ruim 3400 is dan ook aan de lage kant, zo laat de toezichthouder tegenover BNR weten. Begin april had de Autoriteit Persoonsgegevens nog 1000 meldingen van datalekken binnengekregen. Destijds liet vicevoorzitter Wilbert Tomesen weten dat veel van de meldingen over verloren of gestolen laptops gingen en smartphones die niet versleuteld waren. Nu noemt Tomesen ook ransomware die gegevens versleutelt en adressenbestanden die niet deugen.

Ook in mei meldde de toezichthouder dat waarschijnlijk niet alle datalekken worden gemeld. "Als je bedenkt dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken, kan het bijna niet anders dan dat er meer datalekken zijn", verklaarde Tomesen toen. Bedrijven die een datalek niet melden kunnen een boete van 820.000 euro krijgen of 10% van de jaaromzet. Vooralsnog zijn er geen boetes uitgedeeld.

Reacties (12)
04-09-2016, 12:12 door Anoniem
Als de AP dan ook even laat weten of en wat er met een melding gedaan wordt dan willen mensen een volgende keer nog wel de moeite nemen een nóg een melding te doen.

Ik heb een melding gemaakt van een veiligheids issue bij een ziekenhuis, gemeld mij het ZH zelf, de AP en CBP en van geen enkele instantie ook maar iets gehoord, issue is wel opgelost.
04-09-2016, 12:57 door Anoniem
Door Anoniem: Als de AP dan ook even laat weten of en wat er met een melding gedaan wordt dan willen mensen een volgende keer nog wel de moeite nemen een nóg een melding te doen.

Ik heb een melding gemaakt van een veiligheids issue bij een ziekenhuis, gemeld mij het ZH zelf, de AP en CBP en van geen enkele instantie ook maar iets gehoord, issue is wel opgelost.

Profiteren van andermans inspanningen, maar als de dood zijn om op de gemaakte fouten aangesproken worden. Waar maak je je druk om, vraag je je dan inderdaad af...
04-09-2016, 14:51 door Anoniem
Als ja als AP wil dat het door dringt dat er verplicht melding gemaakt moet worden bij een datalek dan doe je weinig moeite om dat te kenbaar te maken door alleen wat cijfertjes te publiceren en te zeggen dat waarschijnlijk niet iedereen melding doet.

Het zou meer dan alleen prettig zijn als de AP eens met een ruim overzicht van voorbeelden komt van lekken die gemeld moeten worden. Bijvoorbeeld bij het versturen van iemands adresgegevens per mail, het niet gebruiken van bcc bij het verzenden van nieuwsbrieven of de namenlijst van de leerlingen van een basisschool op de website zetten. Dat lijken typisch lekken waarbij de veroorzaker kan denken dat het heel normaal is dat dat soort fouten gemaakt worden en niet het melden waard zijn.
04-09-2016, 16:20 door Anoniem
Ik heb een melding gemaakt van een veiligheids issue bij een ziekenhuis, gemeld mij het ZH zelf, de AP en CBP en van geen enkele instantie ook maar iets gehoord, issue is wel opgelost.
De bedoeling is dat degenen die persoonsgegevens verwerken en die een lek geconstateerd hebben dit zelf melden.
Het gaat daarbij niet om "de moeite willen doen" maar om een wettelijke verplichting.
04-09-2016, 17:02 door John Do
De boete voor het niet melden... is helemaal geen €820.000 maar slechtsss max €500.000. Het is namelijk een overtreding van de 2e categorie. Maar goed, dat even terzijde ;)
04-09-2016, 17:08 door Anoniem
Door Anoniem: Als de AP dan ook even laat weten of en wat er met een melding gedaan wordt dan willen mensen een volgende keer nog wel de moeite nemen een nóg een melding te doen.

Ik heb een melding gemaakt van een veiligheids issue bij een ziekenhuis, gemeld mij het ZH zelf, de AP en CBP en van geen enkele instantie ook maar iets gehoord, issue is wel opgelost.

De beste stuurlui staan hier toch aan de wel. [1] De AP heeft een kleine bezetting, dus heeft niet overal tijd voor. [2] Het is nieuwe regelgeving, het kost tijd om er systemen voor te ontwikkelen. [3] Aan de nieuwsberichten van de AP is te zien dat er prioriteit wordt gegeven aan de belangrijkste overtredingen.
Overigens zijn ziekenhuizen al op hun vingers getikt. Uiteindelijk gaat het er om dat privacy en security worden verbeterd. Als je schrijft dat het issue is opgelost, is het doel bereikt.
04-09-2016, 22:33 door Anoniem
Door Anoniem: De beste stuurlui staan hier toch aan de wel. [1] De AP heeft een kleine bezetting, dus heeft niet overal tijd voor. [2] Het is nieuwe regelgeving, het kost tijd om er systemen voor te ontwikkelen. [3] Aan de nieuwsberichten van de AP is te zien dat er prioriteit wordt gegeven aan de belangrijkste overtredingen.
Overigens zijn ziekenhuizen al op hun vingers getikt. Uiteindelijk gaat het er om dat privacy en security worden verbeterd. Als je schrijft dat het issue is opgelost, is het doel bereikt.

De beste stuurlui staan hier wel zeker. Het idee is namelijk dat er een redelijke straf wordt gekoppeld aan het rondstrooien van gegevens. op zich een prima gedachte. Maar dat gebeurt dus in de praktijk niet. Ook deze instantie is een papieren tijger, en heeft OP zeker een punt. Ik onderstreep dit uit eigen ervaring.
05-09-2016, 09:36 door devias
De beste stuurlui staan hier toch aan de wel. [1] De AP heeft een kleine bezetting, dus heeft niet overal tijd voor.
Zeg maar gerust dat ze nergens tijd voor hebben. De AP wordt door onze regering bewust klein gehouden. De mate van effectief toezicht op de markt is NIHIL. Bij ons is 99% niet voorzien van een bewerkersovereenkomst. Ze zouden op zijn minst aan alle bedrijven een enquete kunnen sturen met de vragen:
- bewerk jij gegevens bij externen,
- zijn die externe bedrijven gevestigd in de EU of daarbuiten
- heb jij dan ook een bewerkersovereenkomst voor die data + meldplicht security incidenten?

Het effectiefst op het gebied van toezicht is de AFM. Die zorgt er bij ons eerder voor dat klanten vragen gaan stellen. LOL.
05-09-2016, 09:42 door devias
Was het niet laatst de rechter die de AP terugfloot omdat ze hun werk niet goed deden? Omdat ze bij de OV chipkaart, het meest gebruikte registratiesysteem (naast de telco's), het niet over anonimiteit wilden hebben?

Het AP is echt f***ed up. Treurig maar waar. Ik wil echt dat het anders is, maar ik zie het niet gebeuren. Zelf vinden ze overigens ook dat het niet lekker werkt: https://www.rendement.nl/nieuws/id17425-autoriteit-persoonsgegevens-kan-werk-niet-aan.html
05-09-2016, 10:22 door Anoniem
Door Anoniem: Als de AP dan ook even laat weten of en wat er met een melding gedaan wordt dan willen mensen een volgende keer nog wel de moeite nemen een nóg een melding te doen.

Ik heb een melding gemaakt van een veiligheids issue bij een ziekenhuis, gemeld mij het ZH zelf, de AP en CBP en van geen enkele instantie ook maar iets gehoord, issue is wel opgelost.

AP is de CBP, alleen nieuwe naam ;-)
05-09-2016, 17:37 door John Do
Waarom zeuren op AP? Je wilt als respectabel bedrijf toch sowieso zorgvuldig met klantgegevens omgaan? Wordt tijd dat de WBP als lust ipv last word gezien.
05-09-2016, 18:17 door karma4
Door John Do: Waarom zeuren op AP? Je wilt als respectabel bedrijf toch sowieso zorgvuldig met klantgegevens omgaan? Wordt tijd dat de WBP als lust ipv last word gezien.
De lust kost geld en is daarmee een last. Net zoals ict een kostenpost is zonder baten. Het is de praktijk van budgettering en boekhouden. Suc6 gegarandeerd dat het niet zo goed gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.