[Artikel] Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016

Aanbevolen berichten

Norbert, ik ben het helemaal met je/jullie eens dat een datalek een ramp is.

Voor je klanten, maar zeker ook voor de reputatie van het bedrijf. En natuurlijk moet je alles aangrijpen om (klant)data zo goed mogelijk te beschermen. Maar dat spreekt eigenlijk allemaal voor zichzelf.

 

Ik word alleen zenuwachtig als ambtenaren van het CBP onduidelijke richtlijnen gaan opstellen waar ik moeilijk van kan inschatten of ik ergens wel of niet aan voldoe. Het geeft gewoon geen rustig gevoel dat als ik ergens een foutje maak in mijn code ik een boete van tienduizenden of honderdduizenden euro's kan krijgen. Daar slaap ik niet lekker van.

 

1 januari is al over anderhalve maand en ik weet nog steeds niet precies waar ik aan moet voldoen.

Nooit had ik het oude tuinhuis moeten verlaten

Link naar reactie

@Hans, al eerder gemeld: de wet gaat om het melden van datalekken op het moment dat je er weet van hebt.

Dus dat heeft geen betrekking op foutjes maken in je code, maar op het moeten melden zodra je weet dat er door die fout een lek is...of een inbreuk

 

Norbert, ik ben het helemaal met je/jullie eens dat een datalek een ramp is.

Een datalek wordt pas een ramp als er ook een inbreuk is. Bovenstaand schema heeft betrekking op de kosten van daadwerkelijke inbreuken.

 

Daar slaap ik niet lekker van.

Beperk het risico zoveel mogelijk. Vervolgens kun je de restrisico's accepteren zoals ze zijn of de gevolgen overdragen aan - bijvoorbeeld - een verzekeraar. En dat geldt uiteraard niet alleen voor datalekken, maar ook op foutjes maken in je code.

 

 

Beluister mijn nieuwste podcast: de verplichte AOV, wat moet jij er mee?

 

Link naar reactie

Ai! Dit gaat nog eens heel groot worden zo..

 

Ik moet eerlijk zeggen dat bij mij en veel andere IT freelancers de schrik er echt goed in zit.

Het is wel fijn, en een soort "gedeelde smart" om te lezen dat developers in loondienst hier ook mee te maken gaan krijgen nu. Althans, dat maak ik op uit het genoemde artikel.

 

Net als freelancers wil ook elke developer in loondienst de beveiliging van een project zo optimaal mogelijk maken. Het is zeker geen onwil. In loondienst is het probleem vaak de tijdsdruk.

 

Vergelijk het met documentatie schrijven. Iedereen weet dat dat belangrijk is maar niemand doet het. Als ik aan een klant aangeef dat ik twee dagen extra nodig heb om goede documentatie te schrijven dan is dat het eerste waar een streep door gaat. "Alles werkt nu toch?" hoor ik dan.

 

Zo is het ook met beveiliging: "We zijn al ruim over de deadline gegaan met het project, de eindklant moet vanmiddag een presentatie geven. Jongens, we gooien die site gewoon vandaag live!" zullen negen van de tien projectmanagers roepen.

Als jij als developer dan nog twee weken aan het mooier maken van de beveiliging wil gaan werken zul je sterk in je schoenen moeten staan om dat bij je leidinggevende er door te krijgen.

 

Een goede "datarisk verzekering" lijkt me bijna een must worden zo.

De risico's op enorme claims zijn gewoon te groot.

Nooit had ik het oude tuinhuis moeten verlaten

Link naar reactie

Het is wel fijn, en een soort "gedeelde smart" om te lezen dat developers in loondienst hier ook mee te maken gaan krijgen nu. Althans, dat maak ik op uit het genoemde artikel.

Volgens mij hoef je je er als werknemer juist niet zo druk om te maken. Als werknemer ben je grotendeels beschermd tegen aansprakelijkheid, behoudens opzet en grove schuld.

 

Een niet-werknemer kent die wettelijke bescherming niet....maar contractueel zou je wel het zelfde met de opdrachtgever overeen kunnen komen.

 

Als jij als developer dan nog twee weken aan het mooier maken van de beveiliging wil gaan werken zul je sterk in je schoenen moeten staan om dat bij je leidinggevende er door te krijgen.

Een zelfstandige heeft geen "leidinggevende", toch? Een zelfstandige heeft een opdracht van een opdrachtgever. Als de opdrachtgever geen beveiliging wil, leg je dat vast en daarmee klaar. Is of was het wel onderdeel van de opdracht, dan voer je die uit.

 

Een goede "datarisk verzekering" lijkt me bijna een must worden zo.

De datariskverzekering is voor de opdrachtgever c.q. eindklant zelf. Voor de opdrachtnemer / zelfstandige developer is dit geen datarisico maar contractuele of beroepsaansprakelijkheid.

 

De risico's op enorme claims zijn gewoon te groot.

De kans op en omvang van contractuele aansprakelijkheidsclaims neemt al jaren toe. Maar doordat het aantal verzekeringnemers - mede door de ZZP-hausse en doorgeslagen compliance bij opdrachtbemiddelaars - nog veel harder is toegenomen, zijn tarieven en eigen risico's flink gedaald.

 

Voor vrijwel iedere zelfstandige ICT-er is beroepsaansprakelijkheid een goed en goedkoop verzekerbaar risico geworden. Recent nog een IOS developer die voor een (Buitenlandse) bank werkt aan een betaaltransactie-app. Tot 5 jaar geleden een bijna onverzekerbaar risico, nu voor nog geen € 600,- per jaar een wereldwijde dekking (*)

 

(*=voor de volledigheid: ex usa/canada, maar zelfs dat viel relatief goedkoop mee te verzekeren )

 

Maar, bottom line: tijdsdruk mag nooit een reden zijn om veiligheid minder goed uit te voeren, en uiteraard is een verzekering - welke dan ook - niet bedoeld om schade op te vangen die is ontstaan door bewust genomen onverstandige keuzes: dat is geen goed ondernemerschap en mogelijk zelfs geen onzeker voorval.

 

Hopelijk helpt de meldplicht en het boetebesluit opdrachtgevers dus ook bij het meer tijd en moeite besteden aan security en preventie: voorkomen is immers beter dan genezen.

 

 

 

 

Beluister mijn nieuwste podcast: de verplichte AOV, wat moet jij er mee?

 

Link naar reactie

De prijs lijkt me alleszins redelijk, maar wat ik me wel afvraag bij die datalek-verzekeringen:

Is er al ergens een concreet geval geweest van een claim bij zo'n data-verzekering?

 

Ik ben heel benieuwd hoe een een softwareontwikkelaar dan heeft aangetoond dat hij/zij alles heeft gedaan wat nodig was maar wat blijkbaar toch niet voldoende was om een data-lek te voorkomen?

 

Het lijkt mij in de praktijk namelijk erg moeilijk te bewijzen.

Of je moet regel voor regel in de broncode van de applicatie gaan lezen en met wiskundige bewijzen gaan aantonen dat een functie de juiste data terug geeft. Dat is nogal bewerkelijk.

 

Is er ergens online een praktijk case die ik kan lezen hoe zoiets in zijn werk gaat? Ik wil als ik zo'n verzekering afsluit wel absoluut zeker weten dat er ook uitgekeerd gaat worden als ik er aanspraak op moet maken.

 

Bij verzekeringsclaims is er altijd wel 'papierwerk' maar een verzekering op software lijkt me een hele uitdaging.

 

 

Nooit had ik het oude tuinhuis moeten verlaten

Link naar reactie

De prijs lijkt me alleszins redelijk, maar wat ik me wel afvraag bij die datalek-verzekeringen

Nogmaals: die prijs is is niet voor de datarisicoverzekeringen voor de eindklant zelf, maar voor de beroepsaansprakelijkheidsverzekering van de developer

 

Bij verzekeringsclaims is er altijd wel 'papierwerk' maar een verzekering op software lijkt me een hele uitdaging.

Het is ook geen verzekering op software. Het is een verzekering voor een onopzettelijk gemaakte menselijke fout. Het enige dat de verzekerde achteraf hoeft aan te tonen is dat hij/zij de normale zorgvuldigheid heeft toegepast die redelijkerwijs van hem verwacht mocht worden.

 

En voor de goede orde: wat dat is wordt uiteindelijk niet bepaald door verzekeraar, maar door een bevoegde rechter. Het is dus geen willekeur, maar gezond verstand.

 

Vergelijk het met een brandverzekering: jouw huis brandt af door een schoorsteenbrand. Verzekeraar vraagt dan achteraf aan jou of je kunt aantonen wanneer de schoorsteen voor het laatst geveegd is. Spannender wordt het niet.

 

 

Beluister mijn nieuwste podcast: de verplichte AOV, wat moet jij er mee?

 

Link naar reactie

Op advies dit topic toch maar weer eens geopend.

 

Inmiddels weer een paar maanden verder......

 

Met ingang van 1 januari 2016 zijn ondernemers, organisaties en bedrijven verplicht ernstige datalekken te melden bij de Autoriteit Persoonsgegevens.

Bron: https://www.sidn.nl/a/veilig-internet/datalekken-verplicht-melden

 

Ik ben benieuwd of er ondernemers zijn die (in het verleden) reeds datalekken bij andere (online) partijen zijn tegengekomen en hier al daadwerkelijk werk van gemaakt hebben door dit te melden bij de Autoriteit Persoonsgegevens?

Hartelijke groet,

 

Werner

Een logo ontwerpen of website maken kun je anno 2022 als ondernemer / ZZP'er zelf!

Link naar reactie

Ik ben benieuwd of er ondernemers zijn die (in het verleden) reeds datalekken bij andere (online) partijen zijn tegengekomen en hier al daadwerkelijk werk van gemaakt hebben door dit te melden bij de Autoriteit Persoonsgegevens?

Hoe bedoel je datalekken bij andere partijen?

 

De meldplicht geldt voor datalekken binnen de de eigen organisatie

wpb.thumb.png.59a05b3fafc10f394e1bd2281636b8de.png

Beluister mijn nieuwste podcast: de verplichte AOV, wat moet jij er mee?

 

Link naar reactie

Ik weet niet of ze in Panama ook een meldplicht hebben... Maar als het niet bijwerken van je Wordpress plugin kan leiden tot de val van regeringsleiders wereldwijd en de grootste berg data voor journalisten in de geschiedenis mag je denk ik wel spreken van een datalek. :)

Ow wat erg! Haha, had deze nog niet eerder gezien. Even Googlen brengt me op een (aanvullend) bericht hierover in het Nederlands...

Hartelijke groet,

 

Werner

Een logo ontwerpen of website maken kun je anno 2022 als ondernemer / ZZP'er zelf!

Link naar reactie

Gisteren sprak ik een ondernemer die zich keurig aan de meldplicht houdt. Hij had zojuist zijn derde datalek van het jaar gemeld. Hij is echter de enige in zijn branche, hoewel hij zeker weet dat zijn concurrenten precies dezelfde soorten datalekken hebben. Klanten, diensten, processen, hardware en software zijn grotendeels identiek.

 

Hij vraagt zich daarom nu af of hij wel het braafste jongetje van de klas moet blijven. Hij overweegt of de reputatieschade van te boek staan als enige die data lekt wel opweegt tegen het risico op een eventuele boete vanwege niet meer melden.

 

Leek me verontrustend genoeg om hier even als bijwerking te delen.

Link naar reactie

Hij overweegt of de reputatieschade van te boek staan als enige die data lekt

 

Te boek staan als enige die datalekken meldt lijkt me niet negatief.

 

Fabrikanten en (huismerk) winkeliers van voedingsmiddelen weten al lang dat meldingen van ondeugdelijke producten goede marketing is waarmee je zelfs het journaal haalt (mits je er een meestal volkomen onnodige recall actie aan toevoegt: zoals miljoenen Mars-repen terughalen omdat er in een paar repen een hoeveelheid plastic zit dat de gemiddelde Nederlandse kleuter dagelijks binnenkauwt aan speelgoed, viltstiften en pennen)

 

De consument denkt onbewust: Mars neemt z'n zaken serieus, dus die reep is veilig..die neem ik!

 

De Autoriteit persoonsgegevens had begroot dat er tussen 1 januari en 30 april 2016 20.000 datalekken gemeld zouden worden; dat waren er uiteindelijk maar "1.300".

 

Nog even en iedere organisatie van enige omvang die nog géén datalek gemeld heeft, is een paria :)

 

Beluister mijn nieuwste podcast: de verplichte AOV, wat moet jij er mee?

 

Link naar reactie

Ik ben oprecht benieuwd waarom alle ondernemers zo stil blijven?

Ten behoeve van het bijdragen aan digitale beveiliging / security en in de aanloop naar deze wet had iedereen hier een mening over, maar over resultaten en/of handhaving hoor je weinig mensen..

 

Is er überhaupt ergens (recentelijk) gedetailleerde cijfers en/of info. over te vinden?

Ik kon het nm niet vinden :)

Hartelijke groet,

 

Werner

Een logo ontwerpen of website maken kun je anno 2022 als ondernemer / ZZP'er zelf!

Link naar reactie

Ik ben oprecht benieuwd waarom alle ondernemers zo stil blijven?

Ten behoeve van het bijdragen aan digitale beveiliging / security en in de aanloop naar deze wet had iedereen hier een mening over, maar over resultaten en/of handhaving hoor je weinig mensen.

Waarschijnlijk omdat er weinig nieuws is over resultaten en/of handhaving. Wat zou je graag willen horen dan?

 

Is er überhaupt ergens (recentelijk) gedetailleerde cijfers en/of info. over te vinden?

Nee, de Autoriteit Persoonsgegevens publiceert niet doorlopend cijfers. Het laatste nieuws is het eerder genoemde persbericht van 28 december 2016.

 

Met vriendelijke groet, Ron van der Kolk MSc MBA

 

Ik werk via Inflection als interimmanager voor de publieke sector aan betere

dienstverlening, bedrijfsvoering & informatievoorziening door de overheid. 

Link naar reactie

Toch blijft dit onderwerp te interessant om geen aandacht te geven.

Ik kwam toevallig vanmiddag dit artikel tegen:

https://radar.avrotros.nl/nieuws/detail/autoriteit-persoonsgegevens-2300-datalekken-gemeld-in-eerste-kwartaal/

 

Opmerkelijk wel dat dit veelal om medische zorginstellingen gaat..

Heeft iemand anders nog updates op dit gebied?

 

Hartelijke groet,

 

Werner

Een logo ontwerpen of website maken kun je anno 2022 als ondernemer / ZZP'er zelf!

Link naar reactie

Opmerkelijk wel dat dit veelal om medische zorginstellingen gaat..

Ziekenhuizen worden in het artikeltje zelfs "[de] grootste boosdoener" genoemd. De vraag is of dat terecht is. Het gaat hier namelijk wederom om het aantal meldingen, niet om het werkelijke aantal lekken. In de gezondheidszorg is op dit moment veel aandacht voor gegevensbescherming, waardoor men misschien trouwer is in het melden dan organisaties in andere sectoren. Juist dit soort slechte shaming artikeltjes draagt bij er aan bij dat organisaties hun lek liever onder de pet houden.

Met vriendelijke groet, Ron van der Kolk MSc MBA

 

Ik werk via Inflection als interimmanager voor de publieke sector aan betere

dienstverlening, bedrijfsvoering & informatievoorziening door de overheid. 

Link naar reactie

Opmerkelijk wellicht, maar ook weer logisch omdat bij lekken van privacygevoelige gegevens zoals gezondheidsgegevens (bijzondere persoonsgegevens) eerder sprake is van een ernstig lek in de zin van de wet. Het lekken van deze gegevens kan zeer nadelig zijn voor de betrokkenen. Dit is anders wanneer er bijvoorbeeld alleen NAW-gegevens worden gelekt.

 

Bovendien gaat het om de meldingen. Het kan zijn dat er genoeg lekken zijn in andere bedrijven, maar dat deze niet worden gemeld (onwetendheid of bang voor een slechte naam). Ik heb wel eens met wat juristen in de gezondheidzorg gesproken en zij deelden mede dat zij hun cliënten altijd adviseerden te melden. Ook als de verplichting niet bestaat. Kan meespelen :).

 

Juridisch adviseur met focus op privacy, auteursrecht, merkenrecht, contracten en startups.

 

www.maylegal.nl

0653872244

Link naar reactie

Bij bewust niet melden van datalekken kan er nu sprake zijn van drie cumulatieve boete's

1) Niet melden aan Autoriteit Persoonsgegevens

2) Niet melden aan Betrokkene(n)

3) Grove nalatigheid

 

Dat laatste is lastig aan te tonen.

 

Ondernemers die niet in de gaten hebben dat ze een datalek hebben melden logischerwijze niet. Consequenties als er later wel wordt gemeld is reputatieschade.

 

Volgend jaar mei wordt de Wet beschermingspersoonsgegevens geheel of grotendeels ingetrokken doordat de Europese Algemene Verordening Gegevensbescherming (AVG) dan van kracht is.

 

Met de AVG wordt de bewijslast omgedraaid. De ondernemer dient aantoonbaar in control te zijn.

 

 

Link naar reactie

Maak een account aan of log in om te reageren

Je moet een lid zijn om een reactie te kunnen achterlaten

Account aanmaken

Registreer voor een nieuwe account in onze community. Het is erg gemakkelijk!

Registreer een nieuw account

Inloggen

Heb je reeds een account? Log hier in.

Nu inloggen
Hide Sidebar
  • Wil je onze Nieuwsflits ontvangen?
    Deze verzenden we elk kwartaal.

  • Wie is er online?
    6 leden, 251 Gasten

  • Breng jouw businessplan naar een higher level!

    Op dit forum worden alle onderwerpen m.b.t. ondernemerschap besproken.

    • Stel jouw ondernemersvragen
    • Antwoorden/oplossingen van collega ondernemers
    • > 75.000 geregistreerde leden
    • > 100.000 bezoekers per maand
    • 24/7 bereikbaar / binnen < 6 uur antwoord
    •  Altijd gratis

  • Ook interessant:

    Ook interessant:

×
×
  • Nieuwe aanmaken...

Cookies op HigherLevel.nl

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.