Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen

disc-data-weg-bewaren-kruis.jpgOp 1 januari 2016 treedt de Wet Datalekmeldplicht in werking. Vanaf dat moment moeten bedrijven bij de toezichthouder én de consument melding doen van datalekken, oftewel inbraken en beveiligingslekken waardoor persoonsgegevens zijn ontvreemd. Wordt er niet gemeld, of blijkt na melding dat een bedrijf nalatig was, dan kunnen tot acht ton aan bestuurlijke boetes worden opgelegd. En als je die wet goed leest, dan zie je dat er óók boetes kunnen worden opgelegd voor wie de beveiliging überhaupt niet op orde had.

Veel mensen denken bij de term ‘datalek’ aan een grootschalige inbraak waarbij alle klantgegevens worden gedownload, of een publicatie op een Russische hackersite van patiëntdossiers. De wettelijke definitie is echter veel breder. Iedere inbreuk op de beveiliging van persoonsgegevens wordt gezien als een datalek. En de wet (art. 13 Wbp) noemt “verlies of enige vorm van onrechtmatige verwerking” als een inbreuk. Ook wanneer gegevens binnen een organisatie dus op te vragen zijn door ongeautoriseerde medewerkers, is strikt gesproken sprake van een datalek. Voor webwinkels of sites met online inschrijf- of bestelformulieren zou al sprake zijn van een datalek wanneer deze formulieren niet over een beveiligde verbinding (SSL) worden verzonden.

Wie data op deze manier lekt, moet dat melden bij de toezichthouder en vaak ook bij de getroffen consument. Een datalek moet bij de toezichthouder worden gemeld wanneer deze “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen” of daadwerkelijk die gevolgen heeft, en bij de betrokkene als het lek “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Dit zijn vrij vage criteria, en dat is dan meteen een zwak punt: een bedrijf kan met een stalen gezicht volhouden dat die diefstal van 200.000 patiëntgegevens toch niet een aanzienlijke kans heeft op nadelige gevolgen, laat staan op ernstige. Maar dat is dan iets waar de rechter of het Cbp al dan niet met giecheltoets wat van kan vinden.

De boetebevoegdheid van de toezichthouder wordt uitgebreid – of eigenlijk ingevoerd want die hebben ze nu in de praktijk niet. Onder het nieuwe regime kunnen boetes tot in theorie acht ton worden opgelegd voor het ten onrechte niet melden van een datalek. Maar niet alleen dat: de boetebevoegdheid geldt voor zo ongeveer elke serieuze plicht die je hebt onder de Wet bescherming persoonsgegevens: verwerken zonder grondslag (art. 8) of op onzorgvuldige manier (art. 6-10), het niet nakomen van informatieplichten (art. 33 en 35) en misbruik van het BSN (art. 24). En tot mijn vreugde ook: het niet hebben van een passende beveiliging (art. 13 Wbp). Een brakke beveiliging hebben is dus vanaf 1 januari wel degelijk strafbaar (pardon: sanctioneerbaar met een bestuursrechtelijke boete).

Wel moet het Cbp in principe eerst een bindende aanwijzing geven voordat boetes mogen worden opgelegd. Maar daar is dan weer een uitzondering op voor het geval men opzettelijk of ernstig verwijtbaar handelt. Dat is een vage norm, maar in de praktijk zal zich dat wel wijzen denk ik.

Ja, hier word ik wel een beetje vrolijk van. Ik snap alleen niet waarom het vrijwel nergens in het nieuws gaat over die boetebevoegdheid op beveiliging maar alleen over het al dan niet moeten melden van datalekken?

Arnoud

20 reacties

  1. Leuk en interessant om te lezen, over die wet. Dat van die beveiliging wist ik niet, en dat van die lekken is een stuk breder dan ik gedacht had. Waarom de msm niet berichten over het beveiligingsstuk weet ik niet, maar ik vermoed dat dat draait om “sexyness”. Zoals een nieuw type inbraakmoeilijkermakend slot op deuren stukken minder interessant is dan een inbraak in jouw buurt.

  2. Staat die meldplicht niet op gespannen voet met het nemo tenetur beginsel ? Awb 5.10a ? Het gaat immers om het melden van een handeling waaraan de melder in redelijkheid de verwachting kan ontlenen dat hem een bestuurlijke boete zal worden opgelegd ?

  3. Ja, hier word ik wel een beetje vrolijk van. Ik snap alleen niet waarom het vrijwel nergens in het nieuws gaat over die boetebevoegdheid op beveiliging maar alleen over het al dan niet moeten melden van datalekken?
    Hear! Hear! Stukjes als deze op goedgelezen en gezaghebbende sites als je jouwe helpen. 🙂

  4. Ik denk toch dat dit lastig gaat worden, misschien á lá een tweede Cookiewet: Het idee klinkt leuk, maar de uitvoering?

    Er is in veel bedrijven simpelweg niet genoeg expertise aanwezig om zich te wapenen tegen computercriminelen. Dat wordt dus dure consultants inhuren of boetes. Security is altijd een risico-analyse, weinig klanten geven er om, dus de business value komt voort uit het voorkomen van een potentieel lek, aka PR schade.

    Een medewerker opent een email met virus-attachment. Ben je nu nalatig? Maar we hadden toch een dure consultant die ons advies had gegeven, en de medewerker is naar een ‘ééndaagse cursus geweest “omgaan met Phishing”.

    Bedrijven, vooral technische bedrijven onderhevig aan economische spionage, moeten de hulp in kunnen roepen van een overheidsorganisatie, niet juist bang zijn dat zo’n club een lek aantoont en dat ze alsnog een boete krijgen.

    Er zijn 3 niveau’s van security: 1) De nieuwsgierige vriendin (zet wachtwoorden) 2) Russische internetmob (doe geen domme dingen) 3) Mossad (hier kun je niets tegen doen. Als de Mossad je netwerk op wil, dan komen ze je netwerk op).

    Het eerste niveau download nu tools om hetzelfde te kunnen doen als het tweede niveau. Het tweede niveau word steeds geavanceerder en valt grotere doelen aan. Het derde niveau zit zo dicht op de kabel, ISPs en chips dat het zelfs voor een Fox-it een hele klus wordt om onze overheden en techniekbedrijven hier tegen te wapenen.

    1. Als je persoonsgegevens wil verwerken vergt dat een grotere verantwoordelijkheid dan als je alleen maar een brakke corporate reclame-website de lucht in knalt. Is dat zo gek?

      Als je de kennis niet in huis hebt om je te wapenen tegen een inbraak, en je hebt ook geen zin om die kennis in huis te halen of om het uit te besteden, dan moet je maar geen persoonsgegevens gaan verwerken. Dit is de grotemensenwereld, en het is tijd dat ook IT zich onttrekt aan het zolderkamerhobbyisme waar veel bedrijven in zijn blijven steken in hun haast om ook mee te kunnen profiteren van de grote rush om alles maar zo snel mogelijk te digitaliseren.

      1. Het idee achter de cookie-wet is de juiste: Bedrijven je niet overal laten tracken of targetten op ras of afkomst. De uitvoering is echter knudde. Naast de concurrentie-achterstand op landen waar het allemaal niet zo nauw telt, nu dus ook dure kostenposten om alles op orde te krijgen. De gebruikelijke security-bedrijven gaan hier heel veel aan verdienen.

        Dat zolderkamerhobbyisme zorgt ervoor dat een zelfstandige een webshop op kan zetten. Als alleen de Wehkamps kunnen “concurreren” op veiligheid en de investering voor zelfstandigen te duur wordt (een veiligheidsconsultant inhuren is duurder dan Adobe Photoshop aanschaffen), dan krijg je inderdaad een grotemensenwereld, waar de kleintjes niet in kunnen overleven.

        Als zelfs bedrijven met enorme security kennis inhouse (zoals Google) het niet voorelkaar krijgen om websites te beschermen tegen lekken, hoe moet de mom-and-pop-shop dan overleven?

        Als het melden van een lek werkelijk leid tot een grondige inspektie en mogelijke forse boete bij nalatigheid/verwijtbaarheid (die in geval van lekken altijd wel te vinden is) dan krijgen alleen de bedrijven met intrusie-detectie of een Russische webforumcrawler problemen. Die worden dan gestrafd voor beschermende maatregelingen. Die worden dan gestrafd voor het opsporen van een lek. De bedrijven die werkelijk geen kaas hebben gegeten van veiligheid, zullen in de krant lezen wanneer het mis gaat. Dan is de melding meteen voldaan en wordt luiheid beloond.

        1. Dat zolderkamerhobbyisme zorgt ervoor dat een zelfstandige een webshop op kan zetten.

          Daar is ook helemaal niets mis mee, en dat kan nog steeds, zolang die zelfstandige geen persoonsgegevens gaat verwerken. Uiteraard heb je een zekere hoeveelheid persoonsgegevens nodig om correct een order af te leveren bij een klant, maar het mag dan ook niet verder gaan dan dat. Om bijvoorbeeld die gegevens nadien te verwijderen is ook geen rocket science.

          Als zelfs bedrijven met enorme security kennis inhouse (zoals Google) het niet voorelkaar krijgen om websites te beschermen tegen lekken, hoe moet de mom-and-pop-shop dan overleven?

          Misschien is het tijd dat we eens wat realistischer worden in de mogelijkheden en beperkingen van de techniek in plaats van kritiekloos alles verder digitaliseren, “omdat het kan”.

          Overigens, zo’n vaart zal het niet lopen met de ondergang van “mom-and-pop shops”: Zo’n boete lijkt me proportioneel aan de ernst en hoeveelheid van de gegevens die gelekt worden. Als je als zelfstandige voorzorgsmaatregelen neemt zoals het wissen van gegevens die je niet langer nodig hebt en alleen de absoluut noodzakelijke informatie vraagt beperk je de eventuele schade al enorm. Mijns insziens is dit ook precies het soort afwegingen die je zou willen dat gemaakt worden, terwijl het daar nu nog (te) vaak aan schort. Tot nog toe heb ik gemerkt dat persoonsgegevens vaak totaal niet serieus genomen worden. Als deze wet een kentering in perceptie en behandeling van persoonsgegevens tot gevolg heeft kan ik dat alleen maar toejuichen. En zonder boetes zou ik niet weten hoe je dat zou kunnen bewerkstelligen bij bedrijven.

          Het alternatief is niet beboeten en de boel op zijn beloop laten terwijl er steeds meer en steeds belangrijkere persoonsgegevens worden verwerkt door systemen gebouwd door knutselclubs. Dat lijkt me ook niet wenselijk.

  5. Het is in mijn ogen een vervanging van de boetebevoegdheid want het WBP kan nu krachtens artikel 66 WBP ook een boete uitdelen (van 4500 euro op het niet melden van een verwerking aan het CBP). In het nieuwe artikel 66 WBP verdwijnt deze boete op het niet melden van een verwerking aan het CBP en komt er dus een hele trits aan boetemogelijkheden bij.

    Ik denk dat journalisten en anderen die erover schrijven alleen over de meldplicht schrijven omdat het de wet meldplicht datalekken heet. Ik heb zelfs al wel eens de opmerking gehoord dat ze dan de beveiliging zwak zouden kunnen maken omdat er dan geen inbreuk is op de beveiliging. Erg creatief maar dat gaat dus niet werken. Ik denk dat voor dat soort fratsen ook de uitzondering is bedacht op het eerst moeten geven van een bindende aanwijzing voordat er tot een boete over wordt gegaan.

  6. Even belangrijk: een website wordt gebouwd door X in opdracht van Y en gehost op de servers van Z. Vervolgens blijkt de site gewoon een brakke beveiliging te hebben doordat de hoster Z een poort open liet staan en besmettingen met malware negeerde, de ontwikkelaar X alle wachtwoorden in plaintext in de database stopt en de opdrachtgever Y zijn login gegevens per ongeluk op Facebook en Twitter heeft gedeeld. Wie krijgt dan de boete? Moeten ze hem delen of krijgt iedere partij een boete omdat ze alledrie in de fout zijn gegaan?

    1. De gegevensverwerker (Y) wordt door het CBP verantwoordelijk gehouden. Maar hij kan X en Z aansprakelijk stellen voor de geleden schade. (Wie hoeveel zou moeten betalen hangt dan van de verantwoordelijkheden af: Heeft Y bij X gevraagd om veilige software, aan Z gevraagd hoe zijn beveiliging in elkaar stak, enz.)

      1. Maar moet dan ook aangetoond worden door welk lek de beveiliging is omgevallen? Alle partijen hebben fouten gemaakt maar als de hacker binnen kwam omdat Y zijn wachtwoord via Facebook heeft gedeeld, zijn X en Z dan nog steeds mede verantwoordelijk omdat Y kan aantonen dat X en Z ook slecht werk leveren?

        1. Als Y kan aantonen dat onrechtmatig slecht werk van X en/of Z oorzakelijk bijgedragen heeft aan (de grootte van) het lek, dan kunnen zij aansprakelijk gesteld worden. Daarbij moet ook de verantwoordelijkheid van Y als opdrachtgever in de overwegingen betrokken worden: Is Y misleid door kwaliteitsbeloften of heeft zij alleen naar de prijs gekeken?

          1. Dit is een goede zaak: Als Y niet kan aantonen wie de nalatige partij is geweest, is de boete voor hen. Voor zover ik weet is dat altijd het geval, ook bij bijvoorbeeld leveranciers van fysieke goederen: als een produkt wat je verkoopt niet voldoet aan de verwachtingen qua veiligheid kun je dat normaliter verhalen op de verkoper, die op zijn beurt misschien de schuld naar de fabrikant verlegt.

            Ergens is het ook terecht als Y (in eerste instantie) de verantwoordelijke partij is, want Y is zelf nalatig geweest in het stellen van juiste eisen aan de website en bij het kiezen van de hoster. En als ze wel eisen hebben gesteld en die zijn niet nagekomen hebben ze hun controleplicht niet vervuld, maar heeft partij X of Z zijn afspraken niet nagekomen en is dus ook aansprakelijk.

            Aan de andere kant is het uitermate vervelend voor Y omdat ze zelf wellicht de kennis niet in huis hebben om dit soort controles uit te oefenen en eisen te stellen, en het daarom uitbesteden. Ik denk dat de tijd het zal leren; hoe meer dit soort dingen boven water komen, hoe hoger de verwachting van beveiiging is van leveranciers, en hoe meer imago-schade een leverancier krijgt wanneer ze gare hosting of software opleveren.

            Mogelijk is hier een rol weggelegd voor een soort veiligheidskeurmerk.

            1. De boete is voor de verantwoordelijke zoals bedoeld in de WBP dus degene die bepaald met welk doel en welke middelen de persoonsgegevens worden verwerkt. In het bovenstaande verhaal zal Y dus de verantwoordelijke zijn (X en Z zijn bewerkers) en dus de boete krijgen.

              1. Dat klopt, maar als Y kan aantonen dat X (of Z) verantwoordelijk was voor de slechte beveiliging kunnen ze de boete op X (of Z) verhalen. Als ze dat niet kunnen aantonen dan kunnen ze ook niet de boete verhalen; dat bedoel ik met “dan is de boete voor Y”.

  7. Ik denk even hardop: Wat als…. Een willekeurig bedrijf waar je iets van wilt, ‘even’ een kopietje trekt van je paspoort. Deze gaat vervolgens in een ordner die onder de toonbank verdwijnt. Dit is al snel een risico als het gaat om het veilig opslaan van persoonlijke gegevens… Hoe verhoudt zich dat met deze wet?

    1. De WBP geldt niet alleen voor het beveiligen van digitale persoonsgegevens maar ook van niet digitale persoonsgegevens. Ook bij offline verwerking van persoonsgegevens geldt dus dat deze adequaat beveiligd moeten worden dus ook de ordner die onder de toonbank verdwijnt (al zou ik dan zelf voor een kopie zorgen waarmee identiteitsfraude moeilijker wordt dan de kopie door dit bedrijf te laten maken)

  8. Interessant. Gaat dit ook gelden voor producten die bedrijven leveren?

    Bijv smartphones met onveilige software…

    Het zou geen kwaad kunnen als bedrijven verplicht worden minimaal 4 jaar te zorgen voor veiligheidsupdates. Een boete is misschien wel een passende stok, claim van gebruikers.

    Bij aankoop heb je toch recht op een deugdelijk product. Lekke software maakt een telefoon niet deugdelijk, dunkt me.

    En een telefoon in twee jaar afschrijven is voor de marketingafdeling wel fijn, maar niet voor moeder aarde of onze portemonnee. De software laat het eerder af weten dan de hardware, dat is een marketingkeuze van bedrijven.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.