SP heeft vragen over handhaving meldplicht datalekken
Sinds januari vorig jaar is de meldplicht datalekken in Nederland van kracht, maar de SP wil nu weten hoeveel bedrijven hiermee bekend zijn en hoe er wordt gehandhaafd. Dat blijkt uit Kamervragen van SP-Kamerlid Hijink aan demissionair minister Kamp van Economische Zaken.
Aanleiding van de vragen is het bericht van de Cyber Security Raad dat Nederlandse bedrijven al dan niet bewust te weinig aan cybersecurity doen. "Hoeveel bedrijven negeren bewust hun verantwoordelijkheden voor wat betreft cybersecurity? Hoeveel van deze bedrijven wentelen de aansprakelijkheid via ontsnappingsclausules af? Hoe handhaaft u op dergelijke, volgens de CSR, illegale ontsnappingsclausules?", stelt Hijink de vraag.
Volgens de huidige wet- en regelgeving hebben bedrijven de plicht om te zorgen voor een adequate digitale beveiliging. Mocht zich toch een incident voordoen, dan hebben zij de plicht de gevolgen ervan te beperken en verdere incidenten te voorkomen. In de praktijk blijkt volgens de Cyber Security Raad dat bedrijven hier onvoldoende van op de hoogte zijn. Dat kan er bijvoorbeeld toe leiden dat bedrijven hun systemen onvoldoende beveiligen en er producten op de markt worden gebracht die onvoldoende tegen aanvallen zijn beveiligd.
Hijink wil dan ook weten welke mogelijkheden consumenten en ondernemers hebben om verwijtbare schade op leveranciers te verhalen en in welke mate hiervan gebruik wordt gemaakt. Kamp moet verder duidelijk maken of de problematiek door zelfregulering kan worden opgelost, of dat er aanvullende wettelijke maatregelen nodig zijn om risico’s voor burgers en bedrijven in te perken. Afsluitend vraagt Hijink of de Autoriteit Persoonsgegevens in staat is om meldingen van datalekken snel en zorgvuldig te verwerken en te monitoren. De minister heeft drie weken de tijd om de vragen te beantwoorden (pdf).
Alleen de laatste Kamervraag van de negen stuks gaat specifiek over de meldplicht datalekken. Alle voorgaande acht vragen hebben het over digitale veiligheid en zorgplicht in brede zin. Het is verleidelijk om te doen alsof de enige plicht rond digitale veiligheid bestaat uit een onlangs ingevoerde meldplicht datalekken, maar dat maakt nog niet dat dat alle plichten omvat die bedrijven moeten naleven en ook betrekking hebben op digitale veiligheid. Denk bijvoorbeeld aan het gebruik van verouderde software met kwetsbaarheden waar de chemische industrie van afhankelijk is en grote schade aan de omgeving kan veroorzaken, zelfrijdende voertuigen met slechte software waardoor zwaar letsel kan ontstaan bij verkeersdeelnemers en modems en andere goedere met een internetkoppeling waar de onveilige software de oorzaak is van ddos aanvallen op bijvoorbeeld waardoor belangrijke diensten uitvallen.
Kokervisie op digitale veiligheid (digitaal, dat was toch alleen privacybescherming) en het wegkijken van mogelijke plichten omdat je slechts een van de bedrijven in het geheel bent zijn klassieke reacties.
Tijd dat elk product met een stekker niet alleen een "KEMA" (ja, oude naam) krijgt maar ook een verplichte pentest en alleen zonder rode bevindingen door mag.
Hoe probleem is dat de overheid totaal geen "macht" ,laat ik zeggen directe invloed heeft op het bedrijfsleven.
Het bedrijfsleven bepaald eigenlijk hoe het in Nederland gaat.
De slager keurt zijn eigen vlees.
Als maatregelen na deze keuring nodig blijken,hangen die eigenlijk volledig af of de winst, marketing van het product daar onder lijd.
Dus gebeurt er steeds onvoldoende.
Een overheid blijft dus steeds achter feiten aanlopen.
Alleen van rampen leert men(wij) c.q. bedrijfsleven en veranderen visies en beleid omdat anders diezelfde winst weer onder druk komt.
Want we willen toch vrijheid,liberalisme,deregulering,geen betutteling?
Nou dan krijgen we dus de huidige zieke wereld.
Moeten we ook niet zitten zeuren.
Ooit gehoord van eisen aan gastoestellen, voertuigveiligheid, speelgoedveiligheid, brandveiligheid? Het meest kansloos is als je blijft verkondigen dat er niets valt te veranderen.
Alles waar een netsteker aanzit, moet volgens NEN-3140 gekeurd zijn, wil je het bedrijfsmatig gebruiken.
Hetzelfde geldt ook voor ladders, trappen, rolsteigers, en voor een groot aantal gereedschappen.
Vergelijk het met de APK, het gaat om veiligheid!
1) Meldplicht datalek binnen 48 uur na constatering
"Na constatering", volgens mij staat dit begrip nogal open voor discussie. Wanneer wordt het lek geconstateerd? Als de inhoud al op dumpert staat?
2) Het gaat om data waarmee 3e partijen schade kunnen toebrengen.
Welke data is dat dan? Telefoonnummers en adtresgegevens stonden van oudsher al in diverse telefoonboeken, dus die vallen er niet onder?
Ik denk dat de wetgever hier eens heel uitvoerig naar moet gaan kijken, en geen dubbelzinnige of vage wetten uitvaardigen waarop handhaving niet eens mogelijk is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.