image

CBP: nieuwe boetebevoegdheid maakt ons tandeloos

maandag 24 november 2014, 19:07 door Redactie, 9 reacties

Het College bescherming persoonsgegevens (CBP) heeft vraagtekens bij het wetsvoorstel waarin wordt geregeld dat de privacytoezichthouder een bestuurlijke boete voor overtredingen van de privacywetgeving kan opleggen, het zou de privacytoezichthouder namelijk tandeloos maken.

Het wetsvoorstel is vandaag door de staatssecretaris Teeven van Veiligheid en Justitie aan de Tweede Kamer gezonden. Het Cbp mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift. Straks kan dat ook bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens.

Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt. Daarbij kunnen er boetes tot 810.000 euro worden uitgedeeld. De voorgestelde werkwijze in het wetsvoorstel zorgt er volgens het CBP voor dat dat de privacytoezichthouder niet snel en effectief zal kunnen optreden tegen grove schendingen van de privacywetgeving.

Het CBP mag namelijk niet meteen een boete opleggen. Eerst volgt er een zogeheten bindende aanwijzing. Als die niet na een bepaalde tijd is uitgevoerd volgt de boete. "Dit wetsvoorstel leidt niet tot een betere naleving van de Wet bescherming persoonsgegevens", aldus CBP-voorzitter Jacob Kohnstamm. "De roep in de samenleving is om een waakhond met tanden. Nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven."

Reacties (9)
24-11-2014, 19:12 door Zipper
Dus het CBP wordt een papieren tijger, met dank aan staatssecretaris Teeven
24-11-2014, 19:27 door Anoniem
Maar de oude naam houden dan. Is toch gewoon beter.
24-11-2014, 22:45 door Anoniem
Tuurlijk wordt CBP een tandeloze papieren tijger. Precies zoals Teeven dat het liefste heeft. Kunnen AIVD en MIVD gewoon lekker dom alle info en data blijven graaien en duurt dat nog even door vóór ze de bestuurlijke boete krijgen. Komt politiek allemaal hartstikke goed uit zo...
25-11-2014, 03:44 door Erik van Straten - Bijgewerkt: 04-02-2015, 17:09
Quick link naar deze bijdrage: https://www.security.nl/posting/409730/#posting409764

Uit http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2014/11/24/wijziging-van-wet-meldplicht-datalekken/tk-bijlage-2e-nota-van-wijziging-inzake-meldplicht-datalekken.pdf, onderaan pagina 3:
Toelichting
1. Doel van de nota van wijziging
Met deze tweede nota van wijziging wordt uitvoering gegeven aan het regeerakkoord van het kabinet-Rutte II “Bruggen slaan” van 29 oktober 2012 om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsgegevens (hierna ook: Cbp) om bij overtreding van de normen van de Wet bescherming persoonsgegevens (Wbp) een bestuurlijke boete op te leggen.

Dat gaat, volgens de regels in ditzelfde document, dus niet gebeuren, zie artikel 66 lid 3 en 4 uit bovengenoemde PDF:
Artikel 66
1. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a.
2. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.
3. Het College legt geen bestuurlijke boete op wegens overtreding van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd.
4. Het derde lid is niet van toepassing indien de overtreding opzettelijk is gepleegd.
Dat vierde lid zal in het grote merendeel van de gevallen niet te bewijzen zijn, gehackten zullen natuurlijk zeggen dat ze niet wisten dat ze risico's liepen.

Toevallig kreeg ik onderstaande FAQ in handen waar Fred's mensen momenteel aan werken, binnenkort te vinden op http://www.cbpweb.nl/ (het betreft een draft, inhoudelijk kunnen er nog wijzigingen plaatsvinden):

Q: Mijn organisatie/onderneming wil privacygevoelige gegevens verwerken en/of opslaan. Wat moet ik doen?
A: Niets. Met name als beginnende organisatie/onderneming bent u efficiënter/competitiever als u geen beveiligingsmaatregelen neemt. Belangrijk is wel dat u niet opzettelijk privacygevoelige gegevens "lekt", want dan kunt u, indien wij hierachter komen, meteen een boete krijgen (u komt er dan niet vanaf met een waarschuwing).

Q: Helaas is mijn organisatie/onderneming gehackt, de database met privacygevoelige data is gekopieerd en een deel van die gegevens is gepubliceerd op pastebin.com. Moet ik dit incident melden?
(Nb. omdat het slot van onze achterdeur kapot is vreesden we dat onze databaseserver gestolen zou worden; om die reden hebben we de schijven daarin met "Full Disk Encryption" versleuteld.)

A: Nee, want de gegevens waren versleuteld.

Voor meer informatie verwijzen wij u naar de "Nota van wijziging bescherming persoonsgegevens 33662" (http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/brieven/2014/04/17/nota-van-wijziging-bescherming-persoonsgegevens-33662/lp-v-j-0000005448.pdf), onderaan pagina 5:
Het huidige zesde lid bepaalt dat de melding aan de betrokkene achterwege kan blijven indien de verantwoordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens. De reden is dat in dat geval ongunstige gevolgen voor de persoonlijke levenssfeer van de getroffen persoon niet waarschijnlijk zijn. Het is bij nadere beschouwing niet logisch dat de uitzondering alleen wordt gemaakt voor de melding aan de betrokkene en niet voor de melding aan het Cbp.
Indien persoonsgegevens op passende wijze zijn versleuteld, zullen immers ook geen (ernstige) nadelige gevolgen voor de bescherming van deze gegevens te duchten zijn.
In verband hiermee wordt in het zesde lid bepaald dat de meldingsverplichtingen van het eerste en tweede lid niet gelden indien passende technische beschermingsmaatregelen zijn genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.
Deze formulering dekt niet alleen versleuteling maar ook technieken die persoonsgegevens ontoegankelijk kunnen maken als zich een datalek voordoet (bijv. een remote wipe bij een verloren of gestolen smartphone).

Q: Ja, maar ik heb nog wel een beetje moraal en onze klanten zijn erg boos. Daarom overweeg ik dit incident toch te melden, maar ik wil eerst weten wat de consequenties kunnen zijn. Aan welk boetebedrag moet ik denken?
A: U krijgt geen boete. Indien u besluit dit incident te melden, is de consequentie daarvan dat u wel beveiligingsmaatregelen zult moeten nemen. Uitsluitend indien u die maatregelen, binnen een redelijke overeen te komen termijn, niet afdoende implementeert, kunt u een boete opgelegd krijgen.

Q: Aan welke verplichte beveiligingsmaatregelen moet ik denken na het melden van een hack?
A: U moet de gegevens versleutelen.
Tip: gebruik versleuteling van het type "data at rest". Dat is betrekkelijk eenvoudig te implementeren. Mocht u vinden dat dit teveel performance kost, of indien uw systeembeheerder dit gedoe vindt op SAN/RAID systemen, dan kunt er ook voor kiezen om de gegevens zelf te versleutelen. Om te voorkomen dat de data niet meer benaderd kan worden als u de sleutel vergeet (of onder de tram komt) raden wij aan om de sleutel ook bij de data zelf op te slaan. Als alternatief kunt u voor een methode kiezen waarbij de gegevens "anderszins onbegrijpelijk zijn gemaakt" (zie bovenstaande nota), zoals ROT13. Mocht u dan, onverhoopt, onder de tram komen, dan kan iemand van ons college uw nabestaanden helpen de onversleutelde data te reproduceren.
Nb. geen enkele versleuteling zal de kans op diefstal tot 0% kunnen reduceren, alles is te hacken. Wij raden u aan niet meer moeite te doen dan strikt noodzakelijk. Met eenvoudige versleuteling (i.p.v. ROT13 kunt u de meer geavanceerde stream cipher RC4 inzetten) realiseert u een perfecte balans tussen enerzijds nauwelijks efficiëntieverlies, en anderzijds het voordeel dat u toekomstige beveiligingsincidenten niet meer hoeft te melden.

Q: Cybercriminelen hebben toegang verkregen tot onze (xs4all) database met getapte metadata van al onze klanten, alsmede volledige getapte informatie uitgewisseld met servers in Syrië. Wij nemen aan dat wij dit moeten melden?
A: Hmm, moment, even bellen. [...] Ik heb contact gehad met Ivo en Ronald: u hoeft dit niet te melden, sterker, dat is ongewenst omdat dit niet in het algemeen belang is.

Voor meer informatie verwijs ik u naar Artikel 67 uit de PDF genoemd bovenaan deze bijdrage:
Artikel 67
1. Een door het College vastgestelde beleidsregel omtrent de uitleg van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, behoeft de goedkeuring van Onze Minister en Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties.
2. De goedkeuring kan slechts worden onthouden wegens strijd met het recht of het algemeen belang.

Wij wensen u goede zaken toe, zonder zorgen en zonder vervelende interrupties door de Autoriteit persoonsgegevens!

Aanvulling door Fred: Jacob bevestigde onze zienswijze van eerder dit jaar in http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/brieven/2014/04/17/wetsvoorstel-meldplicht-datalekken/lp-v-j-0000005450.pdf. Dat we het niet overal over eens zijn is logisch en duidelijk, maar Jacob moet wel zijn plaats kennen.

Update 2014-11-25 13:13 Quick link toegevoegd. "Data in rest" "Data at rest" en (dank aan 0101 om 10:16!) "Sirië" -> "Syrië".

Aanvulling 2015-02-04 17:09:
Door Redactie: "Dit wetsvoorstel leidt niet tot een betere naleving van de Wet bescherming persoonsgegevens", aldus CBP-voorzitter Jacob Kohnstamm.
De door Redactie gegeven link werkt niet meer doordat CBP haar website heeft gewijzigd. De correcte link luidt nu: https://cbpweb.nl/nl/nieuws/cbp-zet-grote-vraagtekens-bij-wetsvoorstel-boetebevoegdheid.
25-11-2014, 07:56 door Anoniem
De tandeloze tijger krijgt 2 nep tanden aangemeten
25-11-2014, 10:16 door 0101
@Erik kleine typefout: Sirië => Syrië
25-11-2014, 12:05 door Anoniem
Vond het al zo vreemd dat de VVD een toezicht-houder op bedrijven gereedschap zou geven. Gelukkig is mijn idee over de VVD dus niet aangetast.
25-11-2014, 12:06 door Anoniem
Door Erik van Straten:Toevallig kreeg ik onderstaande FAQ in handen waar Fred's mensen momenteel aan werken, binnenkort te vinden op http://www.cbpweb.nl/ (het betreft een draft, inhoudelijk kunnen er nog wijzigingen plaatsvinden):

Die FAQ is hilarisch. Je kunt je wel voorstellen dat intern de FAQ er zo uitziet. Dat doe ik ook nog wel eens om zaken duidelijk te maken richting het management. Ik ben alleen bang dat er voor publicatie nogflink wat aan gewijzigd zal worden.

Peter
25-11-2014, 13:17 door Erik van Straten
Door 0101: @Erik kleine typefout: Sirië => Syrië
Ziet er idd raar uit... Fixed, thanks!

Door Peter: Die FAQ is hilarisch.
Thanks!

Door Peter: Je kunt je wel voorstellen dat intern de FAQ er zo uitziet. Dat doe ik ook nog wel eens om zaken duidelijk te maken richting het management. Ik ben alleen bang dat er voor publicatie nogflink wat aan gewijzigd zal worden.
:-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.