image

CSR wil datalekmeldingen voor onderzoek beschikbaar maken

woensdag 12 februari 2020, 10:49 door Redactie, 7 reacties

De Autoriteit Persoonsgegevens moet meldingen van datalekken die het ontvangt met het Centraal Bureau voor de Statistiek (CBS) delen, zodat die het voor onderzoek beschikbaar kan maken. Daarvoor pleit de Cyber Security Raad (CSR), een orgaan dat het kabinet over cybersecurity adviseert.

Het CSR heeft een advies aan minister Grapperhaus van Justitie en Veiligheid overhandigd waarin wordt opgeroepen de datalekmeldingen van de Autoriteit Persoonsgegevens beschikbaar te maken voor wetenschappelijk en statistisch onderzoek. Dit moet leiden tot adviezen en aanbevelingen voor het beter beveiligen van persoonsgegevens. Het CBS moet als gateway tot de data gaan dienen omdat het veel ervaring heeft met de beveiliging van dit soort bestanden en met het regelen van 'begeleide toegang' tot de bestanden. De gedeelde datalekmeldingen zullen zijn ontdaan van bedrijfsnamen en persoonsgegevens.

"Informatie over datalekken vormt een belangrijke bron voor inzicht in de daadwerkelijke effecten van veiligheidsmaatregelen (of het ontbreken daarvan). Beter onderzoek naar de effecten ervan zorgt ervoor dat organisaties beter weten in welke veiligheidsmaatregelen ze moeten investeren", aldus de Cyber Security Raad. De Autoriteit Persoonsgegevens heeft al aangegeven de data onder voorwaarden beschikbaar te willen stellen. Het project heeft een looptijd van anderhalf jaar en zou 177.000 euro gaan kosten. Minister Grapperhaus heeft het advies van het CSR positief in ontvangst genomen.

Reacties (7)
12-02-2020, 12:09 door karma4
Alleen maar nuttig. Onzinnige meldingen enkel omdat het van het AP moet, die kunnen er uit.
De gevallen waar wel degelijk wat aan de hand is kunnen een vervolg krijgen en dat vervolg is geen taak van het AP.
12-02-2020, 14:43 door Anoniem
Door karma4: Alleen maar nuttig. Onzinnige meldingen enkel omdat het van het AP moet, die kunnen er uit.
De gevallen waar wel degelijk wat aan de hand is kunnen een vervolg krijgen en dat vervolg is geen taak van het AP.

Correctie: De AP is niet de partij die bepaald of een datalek gemeld moet worden. De wetgever wel. De AP is slechts uitvoerend.
12-02-2020, 16:23 door Anoniem
En dat is de eerste die zich meldt om in de interessante bak met gegevens te graaien. De volgende publiceert een overzicht van bedrijven die melding hebben gedaan met het aantal meldingen erbij, en je kunt je deuren wel sluiten als je altijd zo eerlijk geweest bent om melding te doen bij de AP. Die gegevens worden niet aangeleverd om "wetenschappelijk onderzoek" te doen (het argument waarmee nog steeds walvissen afgeschoten worden door Japan). Dus blijf daar verder van af.
12-02-2020, 17:18 door Anoniem
Ik ben benieuwd wie er dan toegang tot de meldingen bij de AP zou moeten krijgen om dit 'wetenschappelijk en statistisch onderzoek' te doen. En hoe worden de meldingen vij de AP zo geanonimiseerd zodat deze niet te herleiden zijn?
Een datalek met meldingen van datalekken zou heel veel schade kunnen doen en de meldingsbereidheid in een keer de nek omdraaien! Denk nog maar eens goed na over nut en noodzaak van dit 'wetenschappelijk en statistisch onderzoek'.

En anders zijn er bij de Belastingdienst misschien nog een paar mensen over, die kunnen heel goed informatie weglakken...
12-02-2020, 17:21 door karma4 - Bijgewerkt: 12-02-2020, 17:24
Door Anoniem:
Correctie: De AP is niet de partij die bepaald of een datalek gemeld moet worden. De wetgever wel. De AP is slechts uitvoerend.
Juist al ze alleen maar uitvoerend zijn hoort er onafhankelijk toezicht ingericht te zijn. Dat is voor uitvoerende instanties de norm.
Heb je daar een probleem.mee?

Onzinnige meldingen verklaart het onevenredig grote aantal meldingen in nederland. Alle uitvoerende instanties in de eu zouden hetzelfde beeld moeten geven. Wettelijk bepaald.

Het cbs krijgt verrassend veel data aangeleverd zelfs zeer psrsoonlijke. Als je een instantie aanwijst voor een kleine hoeveelheid van het ap dan moet je daar zijn.
12-02-2020, 21:19 door Anoniem
Door Anoniem: En dat is de eerste die zich meldt om in de interessante bak met gegevens te graaien. De volgende publiceert een overzicht van bedrijven die melding hebben gedaan met het aantal meldingen erbij, en je kunt je deuren wel sluiten als je altijd zo eerlijk geweest bent om melding te doen bij de AP. Die gegevens worden niet aangeleverd om "wetenschappelijk onderzoek" te doen (het argument waarmee nog steeds walvissen afgeschoten worden door Japan). Dus blijf daar verder van af.
De gegevens komen bij de AP omdat een bedrijf of anderen melding maken van het waarschijnlijk overtreden van de wet. Er zit voor een bedrijf altijd een risico aan als ze er opportunistisch voor kiezen om persoonsgegevens van anderen te verwerken. Dat een bedrijf dan bij de AP bekend kan zijn is een risico die bij de wet hoort. Een bedrijf dat een overtreding begaat loopt een ander risico, om betrapt te worden. Onderzoek mag geen extra schade veroorzaken en ook geen straf zijn. Dus als een bedrijf het niet eens is onderdeel van onderzoek te worden ga je geen persoonsgegevens verwerken zonder dat er verdenking bestaat dat de wet is overtreden, eis je bij de AP dat ze geen schade veroorzaken en als het onderzoek er van komt en toch schade veroorzaakt kan je als bedrijf schadevergoeding eisen. Dat klinkt als gewoon bedrijfsrisico als een ander onderzoek naar je doet en daarover kan publiceren. Dan dient dit onderzoek tenminste nog een maatschappelijk doel.
13-02-2020, 08:46 door Anoniem
Als je het rapport leest dan ligt er een (wetenschappelijke) focus op cyber security. Ik werk zelf in de zorg waar een groot deel van de meldingen vandaan komt. Er is maar een zeer klein aandeel dat dan echt betrekking heeft op cyber. De meeste hebben betrekking op het fout adresseren van post, e-mails en andere berichten. Er zijn juristen die stellen dat een deel daarvan niet eens gemeld zou hoeven worden omdat het niet de geautomatiseerde verwerking zelf betreft, maar het resultaat (een verkeerde afspraakbrief meegeven).
Als je kijkt naar de oorzaak dan is het veelal een menselijke fout (ondanks alle inspanningen op het gebied van beveiligingsbewustzijn). Achterliggende oorzaken: onderbezetting, werkdruk, niet slimme werkwijzen (paperclips en dan alles op één stapel leggen). Daarbij komt een deel van de fouten ook nog van buiten de eigen organisatie: als de patiënt niet (tijdig) wijziging van huisarts of apotheek doorgeeft dan gaat de informatie naar de verkeerde ontvangen. {Overigens hoeven deze incidenten dan weer niet aan de AP gemeld worden omdat ze dan binnen de geheimhoudingsplicht van de ontvanger werken).
Volgens mij kan volstaan worden met alle berichten over datalekken, hacks en niet gepatchte kwetsbaarheden die de pers en sites zoals deze halen. Daarvoor is geen inzage in de data van de AP nodig. Volg de UMC casus en lees het rapport van Fox IT.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.