Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016

  Higherlevel.nl
  Vaste rubrieken
  Nieuws en artikelen
  Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
Pagina's: 1 2 [3] 4 5
Auteur  Onderwerp: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016 (7932 keer gelezen)
Ab Bauer
App bouwer
Legend

Karma: 100

Berichten: 865



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Ab Bauer Antwoord #30 Gepost op: 23 juli 2015, 20:31 »

Quote : RT op 23 juli 2015, 20:17
indien dat (lek) ernstige gevolgen kan hebben.
 
En wie gaat dat beoordelen? Ikzelf? Dan zeg ik dat het allemaal wel mee viel.
Iets met slapende honden en zo...

Bovendien, als ik mijn code heb aangepast, hoe gaat de Overheid bewijzen dat ik iets niet heb doorgeven? De oude code (met het lek) heb ik immers overschreven. Gaat de Overheid back-ups of zo opvragen van mijn oude versies van de site? Vandaar mijn vraag of ik een log-boek voor de Overheid moet gaan bijhouden met alle stukjes code die ik heb aangepast.

Het punt is dat beveiliging een doorlopend kat en muis spel is tussen site eigenaren en kwaadwillenden. Dat er wekelijks tips voorbij komen om je site te verbeteren lijkt mij niet zo vreemd, de updates en patches vliegen je om de oren. Als ik als developer een stukje code zie wat volgens mij beter kan, dan fix ik dat meteen.

Nu moet ik me bij alle veranderingen in de code gaan afvragen of ik hiermee iets wat niet gebeurd is (maar wel had kúnnen gebeuren) moet gaan melden aan een organisatie van de Overheid.

Ben ik nou de enige die het kafkaesque hier van in ziet?
« Laatste verandering: 23 juli 2015, 20:56 door Hans Schipperijn »

De leukste kaartjes app is van Sieb & Oscar
Norbert Bakker
Riskmanagement & Verzekeringen
Moderator

Karma: 1026

Berichten: 9309



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Norbert Bakker Antwoord #31 Gepost op: 23 juli 2015, 20:58 »

Quote : Hans Schipperijn op 23 juli 2015, 20:31
Ben ik nou de enige die het Kafkaesque hier van in ziet?
 
Nee, iedere wettelijke meldplicht is bewust Kafkaesk gemaakt. Dat is nu juist de bedoeling!

Het (tijdig) melden van ernstige lekken/inbreuken moet minder neerwaarts risico (boetes, privaat- en strafrechtelijke vervolging) opleveren dan de natuurlijke neiging om het niet te melden en in de doofpot te stoppen.

Quote:
Leuk om te lezen over een kelderluik uit 1961, maar liever had ik gewoon een eenvoudige handleiding waar ik me aan moet houden om geen gedoe te krijgen
 
Welkom in de complexe  Nederlandse samenleving waarin iedereen wordt geacht de wet te kennen, en de ongeschreven rechtsplicht.

Het Kelderluik-arrest vind ik in deze de discusse overigens zeer raak gevonden: het pakt namelijk de essentie : iemand laat  een luik (of een lek ) open terwijl hij /zij er rekening mee had moeten houden dat dat problemen op kon leveren.

Concreet voorbeeld:
Een e-commerce bedrijf draait op een Open source CMS ("met wel 75 miljoen gebruikers die het volgens Elvis niet mis kunnen hebben") waarvan al sinds begin 2015 bekend is dat er een bepaalde ernstige kwestbaarheid is, en een patch beschikbaar is gesteld om die kwetsbaarheid op te lossen. Om wat voor reden dan ook verzuimd de IT afdeling van dit bedrijf om die patch te installeren en blijft de kwestbaarheid (onbewust) bestaan.
Enige tijd later pleegt een hacker via deze kwetsbaarheid een inbraak en steelt daarbij privacygevoelige informatie.

Voorheen werd dat met de mantel der liefde bedekt en hoorde je daar nooit wat van. Vanaf 2016 loopt dat bedrijf het risico dat er een boete van 8 ton opgelegd kan worden. Ook leuk voor de hacker: die kan het bedrijf daarmee leuk gaan afpersen voor hogere bedragen (betalen of ik ga lekken dat jullie een ongemeld lek hebben)

Doel van het geheel: hopelijk worden bedrijven zich veel meer bewust van de kwetsbaarheden en gaan ze daar pro-actiever mee om. Voorkomen in plaats van genezen

Ab Bauer
App bouwer
Legend

Karma: 100

Berichten: 865



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Ab Bauer Antwoord #32 Gepost op: 23 juli 2015, 21:17 »

Quote : Norbert Bakker op 23 juli 2015, 20:58
Een e-commerce bedrijf draait op een Open source CMS ("met wel 75 miljoen gebruikers die het volgens Elvis niet mis kunnen hebben") waarvan al sinds begin 2015 bekend is dat er een bepaalde ernstige kwestbaarheid is, en een patch beschikbaar is gesteld om die kwetsbaarheid op te lossen. Om wat voor reden dan ook verzuimd de IT afdeling van dit bedrijf om die patch te installeren en blijft de kwestbaarheid (onbewust) bestaan. Enige tijd later pleegt een hacker via deze kwetsbaarheid een inbraak en steelt daarbij privacygevoelige informatie.
 
Wahaha, geweldig Norbert, hoe je via deze band toch je punt scoort in de WordPress discussie! 
De data risk verzekering keert zeker niet uit bij WordPress gebruik?  

Maar in de praktijk zal de soep niet zo heet gegeten worden hoor, weet ik uit ervaring.
Zie de spam wetgeving, de opt-in op nieuwsbrieven en de cookie wetgeving.
Concreet: Je wacht als webshophouder gewoon af en kijkt welke collega website er de eerste waarschuwing of boete krijgt. Er zijn altijd mensen die het te bont maken en aan de hand van hoe die aangepakt worden zie je meteen tot hoe ver je kunt gaan.
« Laatste verandering: 23 juli 2015, 21:26 door Hans Schipperijn »

De leukste kaartjes app is van Sieb & Oscar
Christine
je suis charlie
Legend

Karma: 410

Berichten: 4891



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Christine Antwoord #33 Gepost op: 23 juli 2015, 21:23 »

Quote : Norbert Bakker op 23 juli 2015, 20:58
Om wat voor reden dan ook verzuimd de IT afdeling van dit bedrijf om die patch te installeren en blijft de kwestbaarheid (onbewust) bestaan.
 


Dat is het probleem met data lekken. Niet dat ze er zijn, maar dat ze niet onmiddellijk verholpen worden.

christine.nl    Ciphermail        Maas AItech            Moto Gymkhana
Norbert Bakker
Riskmanagement & Verzekeringen
Moderator

Karma: 1026

Berichten: 9309



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Norbert Bakker Antwoord #34 Gepost op: 24 juli 2015, 00:21 »

Quote:
Wahaha, geweldig Norbert, hoe je via deze band toch je punt scoort in de WordPress discussie!
 
Klein speldenprikje Hans, ik kon het niet laten  

Maar FF serieus:  Mijn punt is dus niet dat WP onveilig is of zou zijn, maar dat bedrijven die WP gebruiken in combinatie met privacy gevoelige informatie niet risicobewust genoeg zijn. Dat geldt niet alleen voor de kleintjes, ook voor de groten

Quote:
De data risk verzekering keert zeker niet uit bij WordPress gebruik?  
 
Ik zie niet in waarom niet. Zolang je zorgt dat je systemen onderhouden zijn en alle bekende kwetsbaarheden getackeld. Dan heb je gewoon dekking voor schade door onbekende kwetsbaarheden of eigen (beoordelings)fouten. Er is immers een onzeker voorval en je hebt de voorzorgsmaatregelen getroffen die redelijkerwijs van je verwacht mogen worden

Wedervraag: als jij je voordeur 6  maanden lang wagenwijd open laat staan, en je alle aanwijzigingen van je buren dat de deur openstaat negeert, vind je het dan vreemd dat er vroeg of laat bij je wordt gestolen en dat jouw inboedelverzekeraar dan niet uitkeert?
Hier heb je dus niet de voorzorgsmaatregelen getroffen die men redelijkerwijs mag verwachten, en je zou zelf kunnen stellen dat er geen onzeker voorval is: net als onbeveiligde sites is een open voordeur een uitnodiging waar vroeg of laat een kwaadwillend iemand misbruik van maakt.

Quote:
Maar in de praktijk zal de soep niet zo heet gegeten worden hoor, weet ik uit ervaring.
Zie de spam wetgeving, de opt-in op nieuwsbrieven en de cookie wetgeving.
Concreet: Je wacht als webshophouder gewoon af en kijkt welke collega website er de eerste waarschuwing of boete krijgt. Er zijn altijd mensen die het te bont maken en aan de hand van hoe die aangepakt worden zie je meteen tot hoe ver je kunt gaan.
 

Volgens mij zitten we nog steeds op totaal verschillende golflengtes. De verstandige webshophouder wacht juist niet af, maar gaat  zorgen dat z'n risico- en securitybeleid op orde is, alle bekende kwetsbaarheden geinventariseerd  en alle uitgevoerde werkzaamheden gedocumenteerd. En mocht er ondanks alle pro-actieve maatregelen toch een ernstig lek zijn als gevolg van een nog onbekende kwetsbaarheid, dan maakt de ondernemer daar melding van: op die manier krijg je geen waarschuwing en geen boete: je neemt immers de veiligheid van je klanten/consumenten serieus en hebt passende actie ondernomen om schade te voorkomen en te beperken.

Christine
je suis charlie
Legend

Karma: 410

Berichten: 4891



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Christine Antwoord #35 Gepost op: 30 juli 2015, 13:50 »

Een beetje uitleg in een video van Brenno de Winter.

christine.nl    Ciphermail        Maas AItech            Moto Gymkhana
Ab Bauer
App bouwer
Legend

Karma: 100

Berichten: 865



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Ab Bauer Antwoord #36 Gepost op: 30 juli 2015, 14:28 »

Aardig filmpje en Brenno de Winter is altijd ++, maar ik word er nauwelijks wijzer van.

Waar ik nog het meeste mee zit is het volgende: Het doel van de meeste hackers is om juist 'onopgemerkt' data te stelen volgens mij. Daardoor zal het in de meerderheid van de gevallen je niet eens opvallen dat je een lek hebt (gehad). Het lijkt dan alsof de 'onnozelen' geen boete krijgen omdat ze het nooit in de gaten hebben gehad dat ze een lek hadden. Terwijl de oplettende website beheerders, die het lek ontdekken, juist een boete krijgen als ze het niet melden.

Verder is beveiliging een continuüm. Van helemaal niks doen, updates negeren en 'admin-12345' als wachtwoord, tot aan alles hyper encrypted en een leger aan beveiligingsexperts in dienst hebben. Is er ergens een streep aan te geven? Een soort 'ondergrens' van maatregelen dat als je die hebt genomen je redelijkerwijs kunt aantonen dat je je beveiliging 'professioneel' op orde had?

Waar ligt de 'streep'?
« Laatste verandering: 30 juli 2015, 14:30 door Hans Schipperijn »

De leukste kaartjes app is van Sieb & Oscar
prinsrachid
Legend

Karma: 193

Berichten: 1550



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016 1 reus
« prinsrachid Antwoord #37 Gepost op: 30 juli 2015, 16:30 »

Quote : Hans Schipperijn op 30 juli 2015, 14:28
Is er ergens een streep aan te geven? Een soort 'ondergrens' van maatregelen dat als je die hebt genomen je redelijkerwijs kunt aantonen dat je je beveiliging 'professioneel' op orde had?
Waar ligt de 'streep'?
 
Ik denk persoonlijk dat die ongeveer hier liggen:

College bescherming persoonsgegevens (CBP): Richtsnoeren voor beveiliging van persoonsgegevens

Nationaal Cyber Security Centrum (NCSC): Richtlijnen voor webapplicaties, deel 1 & 2
Ab Bauer
App bouwer
Legend

Karma: 100

Berichten: 865



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Ab Bauer Antwoord #38 Gepost op: 30 juli 2015, 17:04 »

Dank voor de prima links, hier kan ik wat mee.

De documenten staan vol waardevolle informatie, alleen is het jammer dat er ook weer eindeloos wordt doorverwezen, naar kamerstukken, richtlijnen en 'best-practices'. Uiteindelijk kom ik uit bij een "NEN-ISO/IEC 27001+C11:2014+C1:2014 nl" norm die je voor €156,48 kan downloaden.

Ik vraag me wel af wat we nu in de praktijk hiermee moeten. Hoewel het voor mij geen onbekend terrein is, zijn sommige zaken erg moeilijk te volgen. De gemiddelde webshop-eigenaar (niveau 'WordPress, met WooCommerce met iDeal plugin eraan') trekt dit echt niet.

Je zult dus als webshop-eigenaar een flinke investering moeten doen om een security expert hiervoor in te huren. En dan nog kan morgen weer een nieuwe zwakke plek in je software ontdekt worden.

Ik schat dat van de ongeveer 70.000 webshops in Nederland er minstens 50.000 zijn die de beveiliging niet op dit niveau kunnen krijgen.

Of deze webshops moeten verdwijnen heb ik verder geen oordeel over.
« Laatste verandering: 30 juli 2015, 17:06 door Hans Schipperijn »

De leukste kaartjes app is van Sieb & Oscar
Ab Bauer
App bouwer
Legend

Karma: 100

Berichten: 865



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Ab Bauer Antwoord #39 Gepost op: 31 juli 2015, 09:10 »

Ik ben nog even aan het doorlezen, met name over de SSL certificaten. Want daar is veel onduidelijkheid over. Volgens mij moet je als webshop alleen op het betaal gedeelte van je shop een SSL certificaat hebben. Op de rest van je site zie ik het nut niet, bovendien maakt het je site trager. Daar is je klant maar ook Google niet blij mee (hoewel er weer verhalen zijn dat SSL goed voor je ranking is).

Al met al begin ik aardig de hoop te verliezen dat we de strijd tegen de hackers ooit nog gaan winnen.
Iedereen staat er ook zo verschillend in. Je hebt de grote massa consumenten die privacy en security totaal niet belangrijk vinden. Voor mij als developer begint security een steeds groter deel van mijn werk te worden en ik zou liever interessantere dingen dingen doen. Dan heb je de security experts die echt weten hoe het zit. Angst zaaien voor lekken zorgt voor meer handel dus neem ik ze ook met een korreltje zout. Tenslotte de Overheid.. die is van goede wil maar loopt hopeloos achter en aan de hand van de externen (die hun eigen agenda hebben).

Grappig detail: Toen ik vanmorgen op een link naar cbpweb.nl klikte, kreeg ik de volgende alert in mijn browser (zie plaatje)
cbpweb.png
« Laatste verandering: 31 juli 2015, 11:11 door Hans Schipperijn »

De leukste kaartjes app is van Sieb & Oscar

prinsrachid
Legend

Karma: 193

Berichten: 1550



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« prinsrachid Antwoord #40 Gepost op: 4 augustus 2015, 23:23 »

Quote : Hans Schipperijn op 31 juli 2015, 09:10
Ik ben nog even aan het doorlezen, met name over de SSL certificaten. Want daar is veel onduidelijkheid over. Volgens mij moet je als webshop alleen op het betaal gedeelte van je shop een SSL certificaat hebben. Op de rest van je site zie ik het nut niet, bovendien maakt het je site trager. Daar is je klant maar ook Google niet blij mee (hoewel er weer verhalen zijn dat SSL goed voor je ranking is).
 
De 'vertraging' door SSL is volgens mij niet echt meer een issue. Computers zijn inmiddels zo snel, dat je van die ver- en ontsleuteling niet echt meer wat merkt. Althans, niet meer dan al die onderliggende bestanden (css, jquery, responsive zooi, etc) die moeten worden geladen.

Ik denk dat de conclusie "alleen bij een webshop" een beetje te kort door de bocht is. Persoonlijk interpreteer ik de grens zodanig dat je moet beveiligen zodra je met persoonlijke (e-mailadres, naam, plaats, etc) en/of beveilingsgegevens (passwords) aan de gang gaat. Er zijn ook best makkelijke en gratis tests voor.

Het feit dat er websites zijn waarbij je zonder encryptie je wachtwoord moet versturen, vind ik eigenlijk volstrekt onacceptabel. Ik had me al eens beklaagd over het gebrek aan een SSL-certificaat op deze website, maar ook landelijke ketens vertikken het soms gewoon. Zo kwam ik bijvoorbeeld laatst bijvoorbeeld nog The ReadShop tegen, mét webshop en zónder certificaat. Gewoon vreemd.

Verder denk ik eigenlijk dat ook de kosten die gemoeid zijn met het beveiligen een klein beetje mee mogen wegen in de beoordeling of het al dan niet laakbaar is om geen beveiliging op je website te hebben. Een SSL-certificaat kost tegenwoordig 9 euro ex. btw. Je kunt dat niet bepaald prohibitief voor je bedrijfsvoering noemen. Als een website niet minimaal zo'n SSL-certificaatje heeft, dan vind ik dat gewoon pure lamlendigheid.

Quote : Hans Schipperijn op 31 juli 2015, 09:10
Grappig detail: Toen ik vanmorgen op een link naar cbpweb.nl klikte, kreeg ik de volgende alert in mijn browser (zie plaatje)
 
Ja, ik kreeg ook zo'n foutmelding. En ik weet ook waar het mis is gegaan. Normaal vraag je een SSL-certificaat aan op 'https://www.website.nl'. Vervolgens is ook (vaak gratis) automatisch 'https://website.nl' (zonder www.) meebeveiligd. CBP blijkt alleen beveiliging te hebben aangevraagd voor 'https://website.nl'. En als je dat doet, krijg je er niet automatisch 'https://www.website.nl' bij... Dus als je handmatig 'https://www.website.nl' intypt, is dat deel niet beveiligd. Beetje een aanfluiting, maar goed.  
www.cbpweb.nl.gif

Ab Bauer
App bouwer
Legend

Karma: 100

Berichten: 865



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Ab Bauer Antwoord #41 Gepost op: 4 augustus 2015, 23:37 »

Als het SSL certificaat het enige was dan was er niks aan de hand. Of SSL overal op je site nodig is kun je om discussiëren, maar voor die paar tientjes moet je het zeker niet laten.

Het punt is dat als je goed de documenten van het CBP en vooral Nationaal Cyber Security Centrum leest die vol staan met echte 'high end' security issues en wat je daar tegen kan doen.

Mijn argument is dat als deze documenten echt de norm worden, de gemiddelde 'mom and pop' webshop dit absoluut niet voor elkaar krijgt. Je moet daar echt professionele kennis voor hebben. Ik hoop dat je dat toch met me eens bent.

Moet je voor de lol eens kijken op de website van de grootste organisatie voor webwinkels (Thuiswinkel.org).
Die zeggen alleen maar "neem contact op met uw webbouwer hierover".

Alsof we alle 50.000 'mom and pop' webshops voor 1 januari professioneel beveiligd kunnen krijgen.
De meeste webshops maken nauwelijks winst, dus hoe gaan die ooit de kosten van professioneel security advies opbrengen?
« Laatste verandering: 4 augustus 2015, 23:46 door Hans Schipperijn »

De leukste kaartjes app is van Sieb & Oscar
Norbert Bakker
Riskmanagement & Verzekeringen
Moderator

Karma: 1026

Berichten: 9309



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Norbert Bakker Antwoord #42 Gepost op: 4 augustus 2015, 23:45 »

Quote : Hans Schipperijn op  4 augustus 2015, 23:37
Alsof we alle 50.000 'mom and pop' webshops voor 1 januari professioneel beveiligd kunnen krijgen.
De meeste webshops maken nauwelijks winst, dus hoe gaan die ooit de kosten van professioneel security advies opbrengen?
 
Niet, de meeste gaan verdwijnen.

Meest logische gevolg IMHO is dat die webshops vroeg of laat geen contract meer kunnen afsluiten met een bank of PSP als ze niet kunnen aantonen aan ( nader te bepalen) minimale veiligheidsnormen te voldoen.

Ward
Usability Professional
Moderator

Karma: 145

Berichten: 1066



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016
« Ward Antwoord #43 Gepost op: 5 augustus 2015, 00:19 »

Quote : Hans Schipperijn op  4 augustus 2015, 23:37
Alsof we alle 50.000 'mom and pop' webshops voor 1 januari professioneel beveiligd kunnen krijgen.
De meeste webshops maken nauwelijks winst, dus hoe gaan die ooit de kosten van professioneel security advies opbrengen?
 
Zo'n 99% van die 50.000 webshops deelt hooguit 50 platforms, dus dan is de schade nog te overzien.
(Of in lijn met de eerdere discussies: WordPress veiliger maken zet meer zoden aan de dijk dan individuele WordPress-sites dichttimmeren.)

Mijn ervaring is dat de meeste professionele ontwikkelaars héél goed op de hoogte zijn van wat er nodig is voor een goede beveiliging. Er wordt alleen structureel en willens-en-wetens gekozen voor een compromis vanwege met name de kosten. Het SSL-certificaat is daarvan een schrijnend voorbeeld: zonder kun je niet veilig persoonsgegevens verwerken, maar er wordt toch op grote schaal op bespaard voor een paar tientjes per jaar...

Quote : Norbert Bakker op  4 augustus 2015, 23:45
Meest logische gevolg IMHO is dat die webshops vroeg of laat geen contract meer kunnen afsluiten met een bank of PSP als ze niet kunnen aantonen aan ( nader te bepalen) minimale veiligheidsnormen te voldoen.
 
Ja, dergelijke vormen van zelfregulering kennen we bijvoorbeeld al in de vorm van PCI DSS compliance (PDF) voor het verwerken van creditcardbetalingen.

“Don’t find customers for your products, find products for your customers.” — Seth Godin
Hans v Nijnatten
Inventigator ( '-_-)
Expert Member
Legend

Karma: 302

Berichten: 2525



Re: Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016 1 reus
« Hans v Nijnatten Antwoord #44 Gepost op: 5 augustus 2015, 10:30 »

Wat ik mis in deze discussie is enige vorm van proportionaliteit. Kan me geen topic herrineren waar men zo doorslaat dan in dit geval.

Dat grote (en kleinere) bedrijven met écht prive gevoelige informatie, denk aan de gezondheidszorg, het bank en verzekeringswezen enz hun veiligheid moeten opschroeven en bij falen daarvan moeten melden is een prima zaak. De hoge boetes moeten deze sectoren in beweging brengen.

Maar om dan een donderwolk met bliksem boven de kleine webshop te hangen gaat mij veel te ver. De wetgever krijgt weliswaar de mogelijkheid om (hoge) boetes op te leggen maar zal dat proportioneel (moeten) doen.

Als een hacker de klantgegevens van mijn WP webshop steelt dan heeft hij niet veel meer dan wat vroeger in het telefoonboek stond. Ik werk bewust niet met passwords. Ten eerste omdat dat de conversie negatief beïnvloedt maar zeker ook omdat ik die informatie, die gevoelig is omdat gebruikers heel vaak dezelfde passwords gebruiken, niet wil hebben.

Ik ben vooralsnog dus nergens bang voor.   Uiteraard zorg ik er wel voor dat ik alles doe om ook vrij ongevoelige informatie met zorg te behandelen door regelmatig up te daten en de veiligheid van de site te optimaliseren (zijn plugin's voor).



Pagina's: 1 2 [3] 4 5  


Partners

HL wordt gefinancierd door

Volg ons