Nieuws

CBP publiceert regels voor meldplicht datalekken

woensdag 9 december 2015, 09:46 door Redactie, 8 reacties

Het College bescherming persoonsgegevens (CBP) heeft vandaag de regels voor de meldplicht datalekken gepubliceerd, die vanaf 1 januari 2016 van kracht wordt. Organisaties zijn dan verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, de nieuwe naam van het CBP.

De nu gepubliceerde definitieve beleidsregels (pdf) helpen organisaties bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Of organisaties verplicht zijn om een melding van een datalek te doen hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt.

Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek "waarschijnlijk ongunstige gevolgen zal hebben" voor hun persoonlijke levenssfeer.

"De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen", zegt CBP-voorzitter Jacob Kohnstamm. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is 820.000 euro.

Microsoft patcht 71 lekken, publiceert 135 patches in 2015

Adobe dicht recordaantal lekken in Flash Player

Reacties (8)

09-12-2015, 12:39 door Anoniem

... en wie gaat bepalen of het lek "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens" ?

- Het betrokken bedrijf zal niets willen toegeven, want schade.
- De ontdekker van het lek zal weinig kunnen melden, want computervredebreuk en schade.
- De toezichthouder zal het tot de bodem gaan uitzoeken ?

Wat een slechte grap is dit.

09-12-2015, 14:01 door Anoniem

Gaan ze ook de Richtsnoeren publiceren. Hier werd op de infosecurity beurs in Utrecht ook gesproken. Die waren toen nog in concept. Dit waren mooie handvatten voor bedrijven. Waarin met logisch voorkomende scenario's werd gewerkt.
m.b.t. de eerste reactie.

Tuurlijk wil een bedrijf het wel melden denk ik. Want niet melde en het komt uit is de schade en schande groter.
de ontdekker kan niet melden want computervredebreuk. Dat valt wel mee zolang je een lek ontdekt maar niet benut. Wel is het zaak dat je gebruik maakt van de procedure responsible disclosure. Daarbij doen bedrijven er verstandig aan zich hierin te gaan verdiepen.
Het laatste punt lijkt me wel spannend. Hoe ga je dit controleren en borgen als autoriteit.
laten we wel wezen. In NL zij de meeste organisaties nou niet bepaald de vlotste op het terrein van controle en handhaving.

09-12-2015, 15:06 door Anoniem

Er zijn nog wel onduidelijkheden:

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker.

Ik gebruik de positieve definitie van "hacker". Als iemand mij in het kader van ons Responsible Disclosure beleid meldt dat er toegang is tot persoonsgegevens zou dit hier onder kunnen vallen. Maar heeft hij ingebroken?

Ze noemen wel "inbraak door een hacker", maar laten (expliciet?) "inbraak door criminelen" of zelfs "inbraak door AIVD" weg. Als ik voorbeelden zou noemen, zou ik toch wel de criminelen willen noemen. Ik snap het als ze AIVD of politie niet in de voorbeelden willen noemen.

Peter

09-12-2015, 22:01 door Anoniem

De definitieve richtsnoeren zijn vandaag gepubliceerd, nadat er eerder reacties van verschillende bedrijven zijn gegeven.

Het CBP bepaald of een datalek gemeld had moeten worden, dit kan bij nader onderzoek naar boven komen. Of bij het vernemen dat er een datalek is geweest en deze niet gemeld is. Het niet melden zorgt voor een hoge boete, wel melden betekend niet direct een boete.

10-12-2015, 08:57 door Anoniem

[cynische mode] Oh, is dat alles? Ik maakte me al zorgen of alle semi-legale/illegale verwerkingen van persoonsgegevens ook als datalek zouden worden gezien, zoals eerder wel besproken was, maar dat is dus niet zo. Kunnen we weer lekker achterover leunen want dan is het weer business as usual. Wel ff voorkomen dat een ander niet bij de gegevens kan of dat iemand ze op een stickie zet, maar voor de rest niets aan het handje.[/cynische mode]
Eigenlijk best wel een kansloze wet dit want het gaat het echte probleem met het onzorgvuldig verzamelen of verwerken van persoonsgegevens niet aanpakken of oplossen. Zolang het maar niet openbaar wordt is er dus niets te vrezen voor organisaties. Was ook niet echt te verwachten van zo'n kansloze toko als het CBP om nu eens fors in te grijpen en de privacy van de burgers te gaan waarborgen.

10-12-2015, 11:52 door Anoniem

Zolang het maar niet openbaar wordt is er dus niets te vrezen voor organisaties

Tja, de wet gaat dan ook over lekken van informatie, en dan wordt het per definitie wel openbaar. Jij wilt bedrijven ook straffen wanneer er geen informatie op straat komt te liggen, in het kader van de meldplicht datalekken ? Vreemde reactie.

Was ook niet echt te verwachten van zo'n kansloze toko als het CBP om nu eens fors in te grijpen en de privacy van de burgers te gaan waarborgen.

Lekker inhoudelijk deze kritiek. Wat je merkt is dat het bedrijfsleven zich juist wel zorgen maakt om deze nieuwe wet, en de hoge boetes waarmee men geconfronteerd kan worden. En dat om de privacy juist wel te waarborgen. Maarja, klagen is altijd leuk, is het niet ?

10-12-2015, 11:55 door Anoniem

Ze noemen wel "inbraak door een hacker", maar laten (expliciet?) "inbraak door criminelen" of zelfs "inbraak door AIVD" weg. Als ik voorbeelden zou noemen, zou ik toch wel de criminelen willen noemen.

Een crimineel die op systemen inbreekt, en daar data van steelt die is een hacker. Je bent wat dat betreft spijkers op laag water aan het zoeken....

Het gaat hier natuurlijk niet over ethische hackers, die geen privacy gevoelige gegevens stelen en openbaren, lijkt mij vrij duidelijk.

10-12-2015, 21:29 door Anoniem

In de beleidsregels wordt heel duidelijk gesproken dat het alleen om beveiligingsincidenten gaat maar een onrechtmatige verwerking leidt vrijwel nooit tot een beveiligingsincident dus hoeft er niet gemeld te worden. Dat vind ik een hele kwalijke zaak want er was wel afgesproken met het CBP dat dit wel in de beleidsregels zou terug komen (ik heb input gegeven op het eerste concept van de beleidsregels). Dat hebben ze waarschijnlijk, door heel veel lobby werk van datzelfde bezorgde bedrijfsleven,eruit gehaald, vandaar de kansloze organisatie.
De ernst van die beveiligingsincidenten geloof ik wel maar zorgelijker voor de privacy zijn de veelal onrechtmatige verzamelingen en verwerkingen van (bijzondere) persoonsgegevens, zoals Zembla onlangs in het nieuws bracht. In principe zou dit door art. 8 WBP niet toegestaan moeten zijn maar omdat het nu niet wordt gezien als een datalek, terwijl het dat wel is, zal het CBP, of straks AP, zich niet gaan inspannen om dit aan te pakken. De wet had juist een mooi handvat geweest om dergelijke ongewenste verzamelingen van bijzondere persoonsgegevens eens en voor altijd aan banden te leggen. Zembla gaf alleen maar een topje van de ijsberg want er wordt zoveel onrechtmatig verzameld door het zogenaamde bezorgde bedrijfsleven dat er door de boetes waarschijnlijk bedrijven op de fles zouden gaan. Als toezichthouder op de privacy moet je dan juist ballen tonen en je rug recht houden door je ongenaakbaar op te stellen.
Maar ook in deze bananen republiek spreken de euro's harder dan de belangen van de burgers.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Mijn NAS bevat een backdoor. Is de fabrikant aansprakelijk?

17-04-2024 door Arnoud Engelfriet

Juridische vraag: Ik zit met het volgende. Ik heb dus een D-Link NAS waar een backdoor account in aanwezig is. Nu begrijp ik ...

9 reacties

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s

10-04-2024 door Arnoud Engelfriet

Juridische vraag: Diverse media meldden dat WhatsApp van de Europese Unie haar dienst moet openstellen voor andere apps, zoals ...

12 reacties

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

CBP publiceert regels voor meldplicht datalekken

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren