Achtergrond

Juridische vraag: Geldt de meldplicht datalekken ook voor bedrijfsgegevens?

donderdag 7 maart 2019, 11:29 door Arnoud Engelfriet, 3 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: De laatste jaren is er veel te doen over datalekken. Daarbij gaat het echter steeds over privacygevoelige data, wat ik snap gezien de gevolgen bij consumenten maar hoe zit het met andere bedrijfsdata? De term 'datalek' is immers breder, maar ik kan niet vinden hoe het zit met de meldplicht voor bijvoorbeeld diefstal van bedrijfsgeheimen. Hoe zit dit?

Antwoord: De term 'datalek' is inderdaad een tikje misleidend, omdat het wettelijk gezien echt alleen gaat over het lekken/misbruiken van persoonsgegevens. Er is geen algemene regeling over het moeten melden van andersoortige security-incidenten of misbruik van gevoelige bedrijfsgegevens.

Specifiek bij de Rijksoverheid en vitale aanbieders geldt wel een aparte meldplicht voor andere security-incidenten. Op 1 oktober 2017 is de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) in werking getreden. Per 1 januari 2018 moeten deze organisaties incidenten melden bij het NCSC, zodat deze de impact en risico's voor de samenleving kan inschatten. Dit geldt alleen als je als organisatie bent aangewezen als 'vitale aanbieder'.

Ben je niet 'vitaal', dan is de omgang met diefstal of vernieling met bedrijfsdata geheel je eigen keuze. Melden kan niet, er is geen loket dat dit in behandeling neemt. Vaak zal dergelijk handelen strafbaar zijn (denk aan computervredebreuk of afluisteren/aftappen van data) en dan kun je aangifte doen natuurlijk van die feiten. De waarde van die data kan dat strafbaar feit dan meer gewicht geven.

Eind oktober is ook de Wet bescherming bedrijfsgeheimen in werking getreden. Deze biedt organisaties de mogelijkheid om zelf op te treden tegen ongeautoriseerd gebruik van data die waarde heeft omdat deze niet algemeen bekend is. Met die wet in de hand kun je dus optreden tegen bijvoorbeeld een concurrent die een setje offertes weet te bemachtigen door een slechte beveiliging. Dit moet je wel zelf doen bij de civiele rechter.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Juridische vraag: Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

Juridische vraag: Hoe verhouden de AVG-grondslagen gerechtvaardigd belang en toestemming zich tot elkaar?

Reacties (3)

07-03-2019, 13:01 door Bitwiper

De "Wet gegevensverwerking en meldplicht cybersecurity (Wgmc)" is op 9 november 2018 vervangen door de "Wet beveiliging netwerk- en informatiesystemen (Wbni).

Zie https://wetten.overheid.nl/BWBR0039866/, https://wetten.overheid.nl/BWBR0041515/ en https://www.ncsc.nl/actueel/dossiers/wetgeving-cybersecurity.html.

07-03-2019, 13:33 door Anoniem

Kort antwoord: Nee.

08-03-2019, 17:03 door Anoniem

Verluchtigend puntje. Ik had ooit mijn machientje gecolocate staan. Bij XS4all. Maar toen al in het server centrum van KPN. In de avond plofte er wat in het kastje. Er zat niks anders op dan een afspraak te boeken met de ambtenaren van het server centrum. En die waren helemaal in de commersieele markt gedoken, alle guru cursussen gedaan, en alles hallo en in de gloria. Maar aan de werktijden bleef niet te tornen natuurlijk. Hele nacht wakker gelegen, en zo vroeg mogelijk eruit. Want op het kastje draaide alles, ook de mail server.

Het ding was al vroeg weer aan de praat. Ik rij opgelucht naar huis (na nog een uurtje moitoren of er echt niks geks meer gebeurde). Ik kom thuis, en open mijn emails. Het werkte. Er stond echter een email van een gebruiker, die helemaal over zijn zeik was of we voortaan niet voor een crash even fatsoenlijk een email daarover konden sturen (en ik had een uptime van 99,99999999999% hè?). Maar desondanks, of misschien daardoor, was hij bloedlink.

Waarom vertel ik dit? De man had, vanuit zijn perspectief gezien gewoon gelijk. Dat is punt 1. Je kunt wel gaan terugmailen dat een gecrashte mailserver dus ook geen emails meer stuurt. Maar daar heeft je trouwe gebruiker niks aan. Die had een dure PC, het werkte altijd, en nu ineens niet.

Punt 2 is veel belangrijker. Als het over datalekken gaat. De ergste zijn de lekken die je zelf niet door hebt. Het heeft alles met punt 1 te maken. Er worden vertrouwelijke gegevens naar je gestuurd. En een excuus van, tjah, het was een zero day, het kèn es gebeuren, we hebben het al opgelost maar god weet wie nu allemaal je prive data of bedrijfsdata heeft, daar kunnen we niks aan doen. Het werkt nu eenmaal zo. We kunnen er zelf ook niet elke milliseconde bovenop zitten.

Daar heeft je gebruiker niks aan. Om welke data het dan ook moge gaan.

Die man had gewoon gelijk. Die moest mijn uitleg niet weten, maar had zich geen zorgen gemaakt als de dooie server dan toch minstens een berichtje had gestuurd. Want hij lag blijkbaar, als trouwe (en gratis ook nog denk ik!) gebruiker, die nacht net zo wakker als ik. Misschien nog wakkerder. En het is altijd nog de gebruiker die je huur betaalt.

Wat lekken betreft, zinvol om niet alleen paranoia te zijn over als het gebeurt. Maar ook een plan te hebben voor als het dan tóch gebeurt. Je kunt er beter in je eentje van wakker liggen, dan alle mensen die in je database staan. Of alle bedrijfsgeheimen. Elk security scenario dient een plan te bevatten over wat te doen als alle security faalt, en dat al weken niet gemerkt is. Vooral dat laatste is het meest pijnlijke. Al die experts die zeggen dat alles onder controle is, maak een plan B voor als ze toch nog wat vergeten waren. Vooral als die zeker weten dat het dit keer echt hun schuld niet was.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Juridische vraag: Geldt de meldplicht datalekken ook voor bedrijfsgegevens?

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren