Als je het niet weet maak je sowieso een melding van de hack, of er dan data "gestolen" is of niet doet er (nog) niet toe. Mocht blijken dat dit zeker niet het geval is kan je de melding annuleren.

PS: Deze vraag is wel een bewijs dat die wet onduidelijk is / niet werkt (zeker voor de eenvoudige eenmans webshops).

Hoezo niet duidelijk? Omdat de vraagsteller niet zelf de beleidsrichtlijnen kon googelen? De uitspraak dat je het moet melden als je niet "redelijkerwijs kunt uitsluiten" dat er toegang is geweest tot persoongegevens lijkt mij vrij duidelijk. Er staat nergens een uitzondering in de wet voor "eenvoudige eenmans webshops". De wetgeving aangaande het afdragen van BTW moeten die webshops ook kennen, waarom is de privacy wetgeving dan te "onduidelijk"?

Een goede avond gewenst.

Kan je redelijkerwijs uitsluiten dat er een datalek is geweest. Iedere computer die enige tijd onbeheerd en ongelocked is achtergelaten is een potentieel datalek. Iedere byod is een potentieel datalek. Als iedereen die wet netjes gaat volgens dan bezwijkt het systeem.

Ik doel op onduidelijk voor vele webshop eigenaren, dat is zorgelijk te noemen!
Wel registreren klant gegevens en geld verdienen.... Velen doen niet eens een log review en weten 3j na data nog niets van een hack.

Op geen enkele dag van het jaar valt uit te sluiten dat een medewerker de deur uit loopt met dit bestand. Ook valt niet uit te sluiten dat een hacker, middels een nog niet bekend incident, hetzelfde bestand in handen heeft gekregen. Vanwege deze niet-uitsluitbaarheid, zou een bedrijf dus dagelijks een potentieel datalek kunnen gaan melden.


Inderdaad, dit valt niet ''uit te sluiten''.

Heerlijke onzin.

Dan is alles een datalek; zelfs als jij in een afgesloten kamer aan het werk bent, zonder internet of whatnot; we kunnen immers via de straling van je monitor 'zien' wat je doet, en ziet.

Er is hier een HACK geweest. Dat weet men zeker......Lees de post eventjes opnieuw..

Dan moet je toch met een iets andere bril gaan kijken naar dit soort dingen.

Als er iemand bij jou heeft ingebroken, MOET je gewoon gaan checken wat POTENTIEEL geraakt kan zijn. En als je snotverdrie dan ziet dat iemand potentieel je data heeft meegenomen (maar je kan het niet 100% bewijzen zoals in dit geval) moet je er vanuit gaan dat er shit is.

Hoe moeilijk is dat nu?

Nee, dit bewijst meer dat het een foute beslissing was om een vakdiploma niet meer verplicht te stellen als je aan de consument verkoopt. Vroeger was een vakdiploma verplicht en dan zou dit bij de verplichte vakkennis van een webshop-eigenaar gehoord hebben.

Zolang je niet kunt bewijzen dat er geen data is gelekt of dit vermoeden kunt staven = alle data op straat... PUNT..

Deze tekst is makkelijker leesbaar dan een gemiddeld contract voor thuisbezorgen maaltijdboxen.
En ondertussen worden de klanten gespammed met de mailadressen van deze website en met een beetje pech als er niet genoeg zout gestrooid is ook met de wachtwoorden die ze gaan combineren met dezelfde mailadressen bij andere webshops..

lekker.. NOT

Als er op die computers geen persoonsgegevens aanwezig zijn, heb je geen datalek in het kader van de Wet Bescherming Persoonsgegevens.

Peter

Als je de richtlijnen van de AP bekijkt, moet je eerst kijken of er zich een security incident heeft voorgedaan. Zoniet, dan is er ook geen sprake van een datalek.

Peter

Maar @Peter, een onbeheerde computer zonder wachtwoord oid ergens toegankelijk maken waar het publiek erbij kan, is toch een security incident? Je hebt dan geen passende technische en organisatorische maatregelen getroffen. Het publiek hoort niet bij iemands computer te kunnen, al helemaal niet in situaties zonder toegangsbeveiliging.

Er zijn heel weinig computers waar geen persoonsgegevens op staan, denk alleen maar aan al die email-adressen in het adresboek van de mail-applicatie.

En het hoeft niet alleen "het publiek" te zijn. Het kunnen ook werknemers van een andere afdeling zijn, of externe dienstverleners zoals schoonmakers en dergelijke.

Arnoud in publiek toegangkelijke ruimtes staan vaak computers opgesteld juist met het doel van publiek gebruik. Geen toegangsbeveiliging, niets Doel: Krantje lezen , publieke services met web login b.v. gmail/hotmail. De internetcafés waren ooit hot er mee. Er bij horende maatregelen:
- geen toegang tot het interne netwerk (geen privacy gevoelige gegevens van je organisatie)
- geen toegang tot usb/cd-drive aansluitingen. Regelmatige schone reinstalls.
Waar zou het datalek kunnen zitten?

De volgende zijn de redelijk makkelijk toegankelijke apparatuur bij de balies. Die rust je het best uit met een kastje enkel remote toegang tos server-based applicaties. Kastje weg geen data weg.
Het mogelijke risico zit nog bij opdringerig meekijken cameras (ea ander hacks), spiegels. Je hebt wat fysieke beveiliging nodig. De cultuur bij de balie moet ook zijn: niet actief = op slot/uit. Actief met peroonlijke user aangemeld / getraceerd.

De volgende is de toegang tot beveiligde ruimtes, Je moet voorkomen dat willekeurige personen overall naar toe kunnen gaan. Dan heb je nog de "koelabels"ofwel toegangspasjes en de sociale controle. Het zijn allemaal organisatorische en technische maatregelen. Niet alles is cyber-wereld er wordt ook nog gebruik gemaakt van fysieke zaken (papier whiteboard). Zodra je met IT-apparatuur werkt. Toegang via een persoonljke user/getraceerd.

Pas als we in de cyberwereld komen, komen met de uitgebreide ICT maatregelen. Thuiswerken en BYOD waarbij een stuk fysieke controle niet meer bestaat en we enkel naar de techniek en personen kijken.

Bottom line: Heb je geen toegang tot privacy gevoelige gegevens dan kun je die ook niet lekken.
Daar moeten we Peter toch gelijk in geven.

Dat traceren (telemetry) is een belangrijke voorwaarde om te weten wat er gebeurt. Herkennen van een datalek is meer dan wat rondsnuffelen met je eigen account. Hier komen de specifiek rollen scheiding / fucntie scheidingen aan de orde. Voor bijzondere systeemtaken service account en high-privileged accounts die je niet buiten afgechermde omgevingen zo maar open zet. Ook niet als normale user accounts moet willen zien. (hard coded users/passwords als gangbare uitweg).
Die organisatorische/technische maatregelen op dat laatste moeilijkere deel laat gewoonlijk veel te wensen over.

Alles staat of valt met:
- visie en erkenning van de verantwoordeljkheid op C-niveau (beter een A-team)
- risico/impact BIA CIA PIA