SP heeft vragen over handhaving meldplicht datalekken
Sinds januari vorig jaar is de meldplicht datalekken in Nederland van kracht, maar de SP wil nu weten hoeveel bedrijven hiermee bekend zijn en hoe er wordt gehandhaafd. Dat blijkt uit Kamervragen van SP-Kamerlid Hijink aan demissionair minister Kamp van Economische Zaken.
Aanleiding van de vragen is het bericht van de Cyber Security Raad dat Nederlandse bedrijven al dan niet bewust te weinig aan cybersecurity doen. "Hoeveel bedrijven negeren bewust hun verantwoordelijkheden voor wat betreft cybersecurity? Hoeveel van deze bedrijven wentelen de aansprakelijkheid via ontsnappingsclausules af? Hoe handhaaft u op dergelijke, volgens de CSR, illegale ontsnappingsclausules?", stelt Hijink de vraag.
Volgens de huidige wet- en regelgeving hebben bedrijven de plicht om te zorgen voor een adequate digitale beveiliging. Mocht zich toch een incident voordoen, dan hebben zij de plicht de gevolgen ervan te beperken en verdere incidenten te voorkomen. In de praktijk blijkt volgens de Cyber Security Raad dat bedrijven hier onvoldoende van op de hoogte zijn. Dat kan er bijvoorbeeld toe leiden dat bedrijven hun systemen onvoldoende beveiligen en er producten op de markt worden gebracht die onvoldoende tegen aanvallen zijn beveiligd.
Hijink wil dan ook weten welke mogelijkheden consumenten en ondernemers hebben om verwijtbare schade op leveranciers te verhalen en in welke mate hiervan gebruik wordt gemaakt. Kamp moet verder duidelijk maken of de problematiek door zelfregulering kan worden opgelost, of dat er aanvullende wettelijke maatregelen nodig zijn om risico’s voor burgers en bedrijven in te perken. Afsluitend vraagt Hijink of de Autoriteit Persoonsgegevens in staat is om meldingen van datalekken snel en zorgvuldig te verwerken en te monitoren. De minister heeft drie weken de tijd om de vragen te beantwoorden (pdf).
Alleen de laatste Kamervraag van de negen stuks gaat specifiek over de meldplicht datalekken. Alle voorgaande acht vragen hebben het over digitale veiligheid en zorgplicht in brede zin. Het is verleidelijk om te doen alsof de enige plicht rond digitale veiligheid bestaat uit een onlangs ingevoerde meldplicht datalekken, maar dat maakt nog niet dat dat alle plichten omvat die bedrijven moeten naleven en ook betrekking hebben op digitale veiligheid. Denk bijvoorbeeld aan het gebruik van verouderde software met kwetsbaarheden waar de chemische industrie van afhankelijk is en grote schade aan de omgeving kan veroorzaken, zelfrijdende voertuigen met slechte software waardoor zwaar letsel kan ontstaan bij verkeersdeelnemers en modems en andere goedere met een internetkoppeling waar de onveilige software de oorzaak is van ddos aanvallen op bijvoorbeeld waardoor belangrijke diensten uitvallen.
Kokervisie op digitale veiligheid (digitaal, dat was toch alleen privacybescherming) en het wegkijken van mogelijke plichten omdat je slechts een van de bedrijven in het geheel bent zijn klassieke reacties.
Tijd dat elk product met een stekker niet alleen een "KEMA" (ja, oude naam) krijgt maar ook een verplichte pentest en alleen zonder rode bevindingen door mag.
Hoe probleem is dat de overheid totaal geen "macht" ,laat ik zeggen directe invloed heeft op het bedrijfsleven.
Het bedrijfsleven bepaald eigenlijk hoe het in Nederland gaat.
De slager keurt zijn eigen vlees.
Als maatregelen na deze keuring nodig blijken,hangen die eigenlijk volledig af of de winst, marketing van het product daar onder lijd.
Dus gebeurt er steeds onvoldoende.
Een overheid blijft dus steeds achter feiten aanlopen.
Alleen van rampen leert men(wij) c.q. bedrijfsleven en veranderen visies en beleid omdat anders diezelfde winst weer onder druk komt.
Want we willen toch vrijheid,liberalisme,deregulering,geen betutteling?
Nou dan krijgen we dus de huidige zieke wereld.
Moeten we ook niet zitten zeuren.
Ooit gehoord van eisen aan gastoestellen, voertuigveiligheid, speelgoedveiligheid, brandveiligheid? Het meest kansloos is als je blijft verkondigen dat er niets valt te veranderen.
Alles waar een netsteker aanzit, moet volgens NEN-3140 gekeurd zijn, wil je het bedrijfsmatig gebruiken.
Hetzelfde geldt ook voor ladders, trappen, rolsteigers, en voor een groot aantal gereedschappen.
Vergelijk het met de APK, het gaat om veiligheid!
1) Meldplicht datalek binnen 48 uur na constatering
"Na constatering", volgens mij staat dit begrip nogal open voor discussie. Wanneer wordt het lek geconstateerd? Als de inhoud al op dumpert staat?
2) Het gaat om data waarmee 3e partijen schade kunnen toebrengen.
Welke data is dat dan? Telefoonnummers en adtresgegevens stonden van oudsher al in diverse telefoonboeken, dus die vallen er niet onder?
Ik denk dat de wetgever hier eens heel uitvoerig naar moet gaan kijken, en geen dubbelzinnige of vage wetten uitvaardigen waarop handhaving niet eens mogelijk is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
