Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Praktijk voorbeelden boete of aanwijzing t.g.v. meldplicht datalekken
Beste security.nl lezers
Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent meldplicht datalekken.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?
Op onze grote vriend Google is hier niet echt wat te vinden. Bij jullie gevallen bekend? Als je iets weet graag het linkje erbij zetten.
Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent meldplicht datalekken.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?
Op onze grote vriend Google is hier niet echt wat te vinden. Bij jullie gevallen bekend? Als je iets weet graag het linkje erbij zetten.
Reacties (11)
Ik moet je teleurstellen met voorbeelden, mede doordat die wetgeving relatief nieuw is. De zin "Leuk hierbij zou zijn als we het management achter ons krijgen." valt me echter wel op. Is dit niet gewoon een wettelijke verplichting, waarbij het niet heel relevant is of het leuk is of management achter je staat? Staan ze niet achter je, dan dragen zij uiteindelijk toch de gevolgen als het een keer fout gaat en er niets is geregeld. Het klinkt bijna als "we moeten management overtuigen om dit in te richten", hoewel ik dat verkeerd op kan vatten. Hier zijn ze toch hopelijk zelf mee gekomen?
Door Bothooz: Beste security.nl lezers
Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent meldplicht datalekken.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?
Op onze grote vriend Google is hier niet echt wat te vinden. Bij jullie gevallen bekend? Als je iets weet graag het linkje erbij zetten.
Zoals anoniem 18-4 17:21 al opmerkte, het gaat om een wettelijke verplichting. Met vervanging van een paar woorden in jouw verhaal hoop ik dat je zelf ook het absurde van de situatie inziet, en dat het management prima kan beslissen "fuck die hele wet" maar dat ze dat mogelijk wel gaat opbreken in de toekomst:Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent meldplicht datalekken.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?
Op onze grote vriend Google is hier niet echt wat te vinden. Bij jullie gevallen bekend? Als je iets weet graag het linkje erbij zetten.
"Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent het dumpen van chemisch afval.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het dumpen?"
19-04-2016, 09:13 door
Bothooz
Uiteraard heeft het management een aantal verplichtingen op dit gebied. En maatregelen zullen echt wel door gevoerd worden. Echter, als je het management weet te overtuigen dat de wet niet zomaar een 'moetje' is bereik je veel meer. Tevens zijn er 400 paar ogen die naar het management als voorbeelden kijken. Als zij zien van pff onzin heb ik geen zin in, dan zie ik de geïmplementeerde maatregelen mislukken.
Mijn punt is, ondanks ongelukkige woordkeuze, dat ik verder wil kijken dan alleen het management, maar dat ik met dit verder kijken wel het management wil gebruiken..
Mijn punt is, ondanks ongelukkige woordkeuze, dat ik verder wil kijken dan alleen het management, maar dat ik met dit verder kijken wel het management wil gebruiken..
Men heeft aangekondigd dat na de invoering het eerste half jaar ze coulant omgaan met uitdelen van boetes en er zijn dus nog geen boetes uitgedeeld. Verwachting is wel dat na het eerste halfjaar ze zullen volgen, al is het maar om een statement te maken.
Door Anoniem: Men heeft aangekondigd dat na de invoering het eerste half jaar ze coulant omgaan met uitdelen van boetes en er zijn dus nog geen boetes uitgedeeld. Verwachting is wel dat na het eerste halfjaar ze zullen volgen, al is het maar om een statement te maken.
Waar heb je dat gevonden? Ik zie juist meer dat het AP (of voorheen CBP) juist niet coulant zou zijn.
https://executive-people.nl/542320/cbp-stelt-zich-niet-coulant-op-bij-invoering-van-meldplicht-datalekken.html
https://www.computable.nl/artikel/nieuws/overheid/5662557/250449/cbp-niet-coulant-bij-meldplicht-datalekken.html
http://www.marqit.nl/newsitem/19632
Wat ik dat wel weer opvallend vind is, het AP/CBP geeft aan niet coulant te zullen zijn. Echter, tot op heden zijn er geen gevallen bekend van boetes of aanwijzingen. Nu zullen bij lange na niet alle berispingen openbaar komen. Maar je zou toch zeggen dat er dan ondertussen wel wat te vinden zou zijn.
Zie ook de stukken over Privacy (Baseline, Grip op..., etc) op de site van het Centrum voor Informatiebeveiliging en Privacybescherming, www.cip-overheid.nl.
Het zijn helder geschreven stukken die goed uitleggen wat je rond privacywetgeving moet doen, en waarin je ook motivatie kan vinden die verder gaat dan "het mot nou eenmaal".
En een datalek kan heel wat meer schade geven dan de bestuurlijke boete, denk aan het afbreukrisico als gegevens van klanten of patienten op straat komen te liggen. Vertrouwen komt te voet en gaat te paard. Nog afgezien van je morele plicht als bedrijf om zorgvuldig om te gaan met spullen (gegevens) van anderen, zie maatschappelijk verantwoord ondernemen.
Ook zul je als een betrokkene daarom vraagt, diens gegevens moeten kunnen ophoesten en als je systemen daar niet op ingericht zijn dan moet je maar hopen dat ze dat niet met teveel tegelijk doen.
Komt bij dat je gegevensverwerking inrichtingen zo dat je goed aan de WBP kan voldoen, ook voordelen biedt omdat je makkelijker fouten kan detecteren en corrigeren en de algemene beheerbaarheid vergroot wordt. Het is dus veel meer dan "hoera we voldoen aan de WBP".
Het zijn helder geschreven stukken die goed uitleggen wat je rond privacywetgeving moet doen, en waarin je ook motivatie kan vinden die verder gaat dan "het mot nou eenmaal".
En een datalek kan heel wat meer schade geven dan de bestuurlijke boete, denk aan het afbreukrisico als gegevens van klanten of patienten op straat komen te liggen. Vertrouwen komt te voet en gaat te paard. Nog afgezien van je morele plicht als bedrijf om zorgvuldig om te gaan met spullen (gegevens) van anderen, zie maatschappelijk verantwoord ondernemen.
Ook zul je als een betrokkene daarom vraagt, diens gegevens moeten kunnen ophoesten en als je systemen daar niet op ingericht zijn dan moet je maar hopen dat ze dat niet met teveel tegelijk doen.
Komt bij dat je gegevensverwerking inrichtingen zo dat je goed aan de WBP kan voldoen, ook voordelen biedt omdat je makkelijker fouten kan detecteren en corrigeren en de algemene beheerbaarheid vergroot wordt. Het is dus veel meer dan "hoera we voldoen aan de WBP".
Door Bothooz: Beste security.nl lezers
Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?
Kijk gewoon even op http://autoriteitpersoonsgegevens.nl onder actueel. Daar staan voldoende voorbeelden van bindende aanwijzingen en het opleggen van een last onder dwangsom. Dat is wel niet n.a.v. een melding datalek maar juist het NIET melden van een datalek zal in de praktijk leiden tot een boete.Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?
Brenno de Winter -- Meldplicht Datalekken
https://www.youtube.com/watch?v=RRSRqnckHi4
https://www.youtube.com/watch?v=RRSRqnckHi4
KPN:
https://www.acm.nl/nl/publicaties/publicatie/14314/ACM-beboet-KPN-voor-onvoldoende-beveiliging-klantgegevens/
Weliswaar niet via boetebevoegdheid CBP, maar wel relevant in deze context.
https://www.acm.nl/nl/publicaties/publicatie/14314/ACM-beboet-KPN-voor-onvoldoende-beveiliging-klantgegevens/
Weliswaar niet via boetebevoegdheid CBP, maar wel relevant in deze context.
Door Bothooz: Beste security.nl lezers
Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent meldplicht datalekken.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?
Op onze grote vriend Google is hier niet echt wat te vinden. Bij jullie gevallen bekend? Als je iets weet graag het linkje erbij zetten.
Momenteel zijn wij in de organisatie bezig met implementeren van maatregelen omtrent meldplicht datalekken.
Leuk hierbij zou zijn als we het management achter ons krijgen. Zijn er bij jullie gevallen bekend waarbij een bedrijf een bestuurlijke boete of een bindende aanwijzing heeft gekregen na het maken van een melding?
Op onze grote vriend Google is hier niet echt wat te vinden. Bij jullie gevallen bekend? Als je iets weet graag het linkje erbij zetten.
Eigenlijk is het helemaal geen kwestie van het management achter U te krijgen, het is simpel om te beargumenteren dat het bestuur van de wetgeving dient te weten van en zodoende dus ook dat ze aan deze verplichtingen gebonden is.
Als ze per se een voorbeeld willen mag je vervolgens een-iedere rechtzaak oppakken van wanbestuur; want daar komt het op het moment van (moedwillig) negeren van deze wetgeving simpelweg op neer. Dan zullen ze in het vervolg ook niet snel zulke domme vragen durven stellen.
10-05-2016, 17:24 door
cjkos
Het kan wel kloppen dat er nog geen boetes ingesteld zijn, volgens de EU richtlijn hoeft het pas in 2017/2018ten uitvoer gebracht te worden.
Of de wet ook inderdaad dan ook pas actief gemonitord wordt??
https://www.huntonprivacyblog.com/2015/06/02/new-dutch-law-introduces-general-data-breach-notification-obligation-higher-sanctions/
Maar mocht je bedragen willen hebben om het managemt te overtuigen:
Failure to provide notification of data security breaches will be subject to a fine of up to € 810,000 or 10% of the organization’s annual net turnover. The new Law also will empower the DPA to impose higher fines for other violations of the Dutch Data Protection Act. The amount of administrative fines will be increased to:
•€ 20,250 for violations already subject to a fine (e.g., failure for non-EU data controllers to appoint a local representative when using means of data processing in the Netherlands or failure to comply with cross-border data transfer restrictions), and
•a maximum of € 810,000 or 10 % of the organization’s annual net turnover for other violations of the Dutch Data Protection Act.
De wet is een uitbreiding van een bestaande wet uit 2011 (EU 2009)
Of de wet ook inderdaad dan ook pas actief gemonitord wordt??
https://www.huntonprivacyblog.com/2015/06/02/new-dutch-law-introduces-general-data-breach-notification-obligation-higher-sanctions/
Maar mocht je bedragen willen hebben om het managemt te overtuigen:
Failure to provide notification of data security breaches will be subject to a fine of up to € 810,000 or 10% of the organization’s annual net turnover. The new Law also will empower the DPA to impose higher fines for other violations of the Dutch Data Protection Act. The amount of administrative fines will be increased to:
•€ 20,250 for violations already subject to a fine (e.g., failure for non-EU data controllers to appoint a local representative when using means of data processing in the Netherlands or failure to comply with cross-border data transfer restrictions), and
•a maximum of € 810,000 or 10 % of the organization’s annual net turnover for other violations of the Dutch Data Protection Act.
De wet is een uitbreiding van een bestaande wet uit 2011 (EU 2009)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.