Kabinet zwakt wetsvoorstel meldplicht datalekken af

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataHet kabinet gaat de voorgestelde meldplicht voor datalekken beperken, las ik bij Tweakers. Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als ‘ernstig’ zijn te kwalificeren in plaats van zodra er een “aanmerkelijke kans” is dat er verlies of misbruik kan ontstaan, zo staat in de nota van wijziging.

Tsja. Het is subtiel woordenspel; in beide situaties moet de melder interpreteren of een diefstal of lek onder de wet valt. Ik weet niet of we daar heel gelukkig van worden. Ik denk dat met alle formuleringen die we gaan verzinnen, een melder of zijn slimme ICT-jurist een interpretatie weet te verzinnen waarom zijn lek er niet onder valt. “Nee sorry Heartbleed is geen ernstig datalek want er is geen aanwijzing in onze logs dat iemand het servergeheugen heeft leeggetrokken.”

Nee weet je: eigenlijk ben ik gewoon tégen een meldplicht. Mensen worden daar melddoof van – zie de cookiewet. Als je mensen om de haverklap vertelt dat er iets is, dan gaan ze dat negeren. Er is iets ernstig mis met je systeem als je denkt dat de oplossing is om mensen te waarschuwen. (Of je bent erg lui.)

Bovendien, specifiek bij datalekken, wat kún je doen? Stel mijn naam en huisadres worden gelekt. Wat moet ik dan? Verhuizen? Dat gaat toch niet? Ja oké bij een mailadres kan dat wel maar moet ik dan een ander mailadres nemen omdat een of andere nieuwsbriefbeheerder zo dom is een lekke database te hebben?

Nee. De vervuiler betaalt. Als jij zo dom bent, dan mag jij mij een vergoeding betalen als er overlast betaalt. In juridische termen: dan gaan we de directie eens aansprakelijk stellen voor verlies of diefstal van persoonsgegevens. En ja ik weet dat die schade moeilijk te kwantificeren is, dus daarom moet er in de wet komen te staan dat persoonsgegevens een vast bedrag waard zijn, zeg €150. En vervolgens moet de beheerder dus bij een datalek aan alle nieuwsbrieflezers €150 de man betalen.

Wedden dat bedrijven dan wél serieus gaan investeren in dichttimmeren van hun persoonsgegevendatabanken?

Arnoud

21 reacties

  1. Ach, dat heeft toch geen zin. Alle grote jongens (banken, verzekeraars, online platforms, telecomproviders etc) starten dan gewoon een datamanagementdochtervennootschap in een land waar die regel niet geldt.

    1. De logica ontgaat me. Wat heb ik aan een brief “uw data is mogelijk gestolen”? Of zelfs “uw data is daadwerkelijk gestolen”? Wat moet ik dan doen, wat kán ik dan doen?

      En vooral: waarom moet ik dat oplossen, ik heb toch niets met die diefstal te maken? Als ik een garagebox huur en daar wordt ingebroken, dan mag de garageboxhouder dat oplossen. Niet ik. Waarom moet ik dat dan wel zelf als een zorgverzekeraar of forum mijn gegevens laat stelen?

      1. Wat moet ik dan doen, wat kán ik dan doen?

        Wat je wilt. Je kunt bijvoorbeeld je relatie met dat gegevenslekkende bedrijf opzeggen en naar een ander bedrijf overstappen. Je kunt ervoor kiezen om je creditcard afschrijvingen vaker en beter te controleren als je creditcard gegevens gestolen zijn of zelfs om die ene creditcard meteen helemaal op te zeggen en een andere te gebruiken. Je kunt naar de belastingdienst gaan en je buitenlandse spaarpotje opgeven voor de gegevensdief die gegevens over dat verborgen spaarpotje aan de belastingdienst verkoopt.

          1. Stel dat ik jouw mailadres lek, ga jij dan nooit meer reageren hier?

            Die optie moet ik krijgen. Dat kan alleen als ik op de hoogte gesteld ben.

            Ook kan ik dan kiezen of ik een ander emailadres wil gebruiken voor de gelekte dienst. Ik heb bijvoorbeeld een aantal emailadressen van het formaat: ingbank@mijndomein.nl Als de ing dat adres heeft gelekt kan ik een alternatief emailadres aanmaken en het oude adres blacklisten

  2. In de Iusmentis database staan ook vele namen, gecombineerd met het bijbehorende e-mail adres (voor de reacties), vergelijkbaar met een database voor nieuwsbrieflezers.

    Zou je het redelijk vinden een boete van mogelijk tonnen te krijgen, als deze informatie gehackt wordt? Zou je het redelijk vinden dat een particulier in een vergelijkbare situatie hierdoor zijn huis moet verkopen?

    Mij zou hetzelfde kunnen gebeuren. Ik heb echter geen invloed op de door mijn hoster gebruikte software (mysql, php, apache etc) en moet maar hopen dat ze afdoende patchen. Velen gebruiken ook een internetdienst voor hun nieuwsbrieven service. Vind je dat gebruikers van zo’n dienst zich daar achter mogen verschuilen?

    Bij het schrijven van deze blog heb je waarschijnlijk bedrijven als Shell, ABN Amro of Achmea in gedachten.

    1. Bedrijven zijn zich niet bewust van de waarde van de gegevens die ze allemaal binnenharken. Jouw voorbeeld laat zien hoe het wel moet: de gegevens moet je in de eerste plaats niet hebben als je ze niet veilig kunt bewaren. Daarom vind ik dit een heel goed voorstel. Vergelijk het met wanneer je dure spullen van klanten in bewaring stelt: dan moet je niet gaan huilen als je de klant schadeloos moet stellen als er eens wat gestolen wordt — ook al is dat nog zo begrijpelijk dat het soms gebeurt. En ook daar ben je als bedrijf verantwoordelijk als je het daadwerkelijke beheer van die spullen hebt uitbesteed. Dat is toch hartstikke logisch? Je neemt een risico als je dingen van klanten wil bewaren.

      1. Je hebt het over meer dan grote bedrijven he? Ook kleine bedrijven (iemand die een thuis een webshop begint voor het een of ander), verenigingen, mensen die voor een hobby een forum en of nieuwsbrief bijhouden, etc.

        Professioneel niveau databeheer is voor hen niet mogelijk, en dit soort risico’s lopen al helemaal niet.

        Dus of je staat vrijwaringsclausules toe, maar ja, dan is zo’n wet weer niks waard, want iedereen voegt dan zo’n clausule toe, of anders dan wordt het internet het domein van alleen de grote bedrijven. Lijkt me een geval van het kind met het badwater weggooien.

          1. Maar mogen die mensen dan niet gewoon vertrouwen op een gerenomeerde hoster die een Magento of osCommerce (of eigen) webshop aanbiedt met een nieuwsbriefmodule? Zo een die je alleen hoeft te vullen met artikelen. Dus zonder met tonnen schuld geconfronteerd te kunnen worden omdat er ineens een zero-day exploit wordt gevonden in de gebruikte software.

    2. Daar heb je wel een goed punt. Eigenlijk is het van de zotte dat ik zomaar een databasetje neerplemp en daar een hele berg persoonsgegevens in ga stoppen, terwijl ik de ballen verstand heb van techniek en beveiliging. Maar ik kan dat doen want ik heb er nu last van: worst case krijg jij een berg spam door mijn lek, maar dat kun jij niet bewijzen dus hoef ik je niets te betalen. Het kost me hooguit een stukje reputatie als zogenaamd deskundige jurist.

      Als ik 150 euro per reageerder-adres moet betalen dan zou ik het anders inrichten denk ik. Investeren in een beveiligings-audit. Een secure versie van WordPress aanschaffen (die zal er dan vast komen, er is dan immers markt voor). Een andere manier van authenticatie misschien, inkopen en het risico doorleggen bij die leverancier.

      En tsja misschien stop ik dan wel met reacties toelaten omdat ik het risico te groot vind. Dat zou ergens wel een verlies zijn. Maar ik zou niet weten hoe het verschil te maken tussen Achmea of Albert Heijn met hun databanken en ik met mijn databank.

      1. Als de kosten voor een geslaagde inbreuk op de beveiliging niet meer bij de eindgebruiker komen te liggen, dan kan een blogger natuurlijk het risico afwentelen op de leverancier van de software of op de blogging infrastructuur beheerder. Een dergelijke verzekeringsprincipe zal zeker bijdragen aan het beter maken van beveiliging.

      2. Je kan mensen laten reageren door een Google+ login. Of door een Facebook koppeling. Die bedrijven hosten dan de persoonsgegevens, jij niet meer. Er zijn ook best veel fora die daar gebruik van maken, gewoon om spam en trollen te voorkomen. Naam + Emailadres lijkt me geen 150 euro waard, maar als vast bedrag is het weer erg laag voor bijvoorbeeld een psychiatrisch ziekenhuis met het complete patientdossier.

  3. Ik ben voor een meldplicht in twee vormen: Indien men privacy-gevoelige informatie opslaat dient men een pagina aan te maken waarop de cryptografie wordt beschreven. Niks geen “industrie-standaard” in de algemene voorwaarden en dan wachtwoorden in plaintext opslaan. Deze site zou bijvoorbeeld kunnen vermelden: “Wij gebruiken ‘phpass’ met de Suhosin security hardening patch” of “wij gebruiken salted MD5 met 10k+ iteraties”. Bij die eerste melding kun je je veilig voelen, bij die tweede melding weet je dat je geen echte gegevens moet achterlaten. Een goed cryptografisch systeem dient te werken zelfs al weet de vijand welke technieken en code je gebruikt.

    En een melding evengroot als de cookie-popups als je (mogelijk) gehacked bent geweest, zelfs voor een periode. Dus voor Heartbleed een grote banner: “Wij hebben onze certificaten inmiddels vervangen, maar uw wachtwoord kan reeds gestolen zijn. Wij hebben geen idee of we eerder aangevallen zijn door Heartbleed, omdat wij geen TCP verkeer loggen. Wijzig daarom uw wachtwoord de volgende keer dat u inlogt.”. En voor het serveren van malware via reclame: “Gisteren van 14:15 tot 16:00 serveerden wij malware. Als u onze site in die periode heeft bezocht dan bent u mogelijk besmet geraakt met het zBot virus. Hier kunt u Hitman Pro gratis downloaden en een scan uitvoeren. Hier vind u een blog post met uitgebreide informatie over deze hack en de resultaten van het onafhankelijke onderzoek.”

    Ik denk overigens dat veel bedrijven er pas achterkomen dat ze gehacked zijn als ze, net als iedereen, de wachtwoorden zien op Pastebin. Een slechte security zorgt er dus voor dat er een slechte communicatie is. Je kan dan slechte security gebruiken als excuus om maar niet te melden (“we wisten van niets!”), en als je wel alles logt en test en detecteert dan kun je elke week wel een melding eruit zetten.

    Als de communicatie gebrekkig blijft dan zal de consument het “recht” in eigen hand nemen. Dan maken we browser plug-ins waarin gebruikers onderling stemmen op de betrouwbaarheid van een site: “Deze website maakt gebruik van een certificaat dat gevoelig is voor Heartbleed aanvallen. Wilt u doorgaan?” / “Deze website is verantwoordelijk voor 4 datalekken sinds 2012. Wees voorzichtig met data delen.” En dan ben je als bedrijf alle macht en PR-mogelijkheden kwijt.

    1. Ik waardeer je neiging naar radicale transparantie, maar 99% van alle consumenten heeft niets aan informatie over wat voor soort wachtwoord-hashing algoritme is gebruikt.

      Ik denk dat zulke transparantie goed is, maar om het echt nuttig te maken moet het gecombineerd worden met het definiëren van industrie-standaarden door een onafhankelijke organisatie. Dan kan een website – naast gedetailleerde beveiligings-info – melden dat hun beveiliging voldoet aan standaard S van organisatie X. Linkje erbij naar de website van organisatie X, en de bezoeker kan dan zien dat * organisatie X recent een audit heeft gedaan en heeft vastgesteld dat standaard S inderdaad is geïmplementeerd bij deze website. * deze standaard op dit moment een bepaald rapportcijfer krijgt, dat samenhangt met het aantal hacks in de afgelopen periode. * de meeste concurrenten van deze website nog niet aan standaard S voldoen, maar dat er inmiddels al wel een verbeterde standaard T is.

      Voor gebruiksvriendelijkheid kan dit natuurlijk best gecombineerd worden met een browser-plugin, die bijvoorbeeld een waarschuwing geeft als je gegevens wilt versturen naar een website die geen beveiligings-informatie geeft, of niet aan een redelijk acceptabele standaard voldoet.

      1. En je denkt dat een willekeurige forum beheerder een audit laat doen door een externe organisatie?

        Ik vind het voorstel wel sympathiek. Natuurlijk snap 99% van de consumenten er niets van maar dat zijn dezelfde mensen die overal gewoon op OK klikken ongeacht wat er gevraagd wordt. Je kan in elk geval stappen ondernemen als blijkt dat de informatie op die pagina niet klopt.

        Zodra zoiets verplicht wordt, zullen er vanzelf echte standaarden komen waarnaar je kan verwijzen, bijvoorbeeld naar Wikipedia pagina’s.

        1. Nee, maar op een gemiddeld forum is dat ook niet nodig.

          Ik denk dat gebruiksvriendelijke transparantie een alternatief kan zijn voor het verplicht moeten voldoen aan standaarden: als het niet te veel moeite kost, dan kan de normale consument zelf kiezen hoeveel beveiliging hij eist. Daarmee kan juist voorkomen worden dat websites verplicht worden allerlei maatregelen te nemen als dat niet nodig is.

          Zelfs de transparantie zelf hoeft niet verplicht te worden gesteld: het hoeft alleen mogelijk gemaakt te worden, en door ondersteuning in bekende browsers en websites moet een cultuur gecreëerd worden waarin die transparantie de norm wordt.

          Dit gaat er wel van uit dat de consument een keuze heeft: als je niet om het gebruik van een website heen kunt, dan heb je er weinig aan als die website, heel transparant, meldt dat ze een slechte beveiliging hebben. Aan websites van zo’n dwingend karakter mogen wat mij betreft wel strenge normen opgelegd worden. Dat zou dan meteen het bestaan van zulke websites moeten ontmoedigen, want zulke sites zijn vaak ook een single point of failure in de digitale veiligheid van veel mensen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.