Boete voor lekken

De Europese Commissie piekert over een betere richtlijn voor datalekken. Telecombedrijven die de gegevens van hun klanten per ongeluk blootgeven, zijn nu verplicht om hun clientèle daarvan op de hoogte te stellen.

Daarbij maakt het niet uit of die gegevens zijn vrijgekomen door een hack of door slordig beheer. Zulke gegevens horen immers terdege beschermd te worden, en mocht die bescherming hebben gefaald, dan hebben de getroffen klanten op z’n minst het recht dat zo snel mogelijk te weten. Het zijn per slot van rekening hún gegevens die onbedoeld rondslingeren.

De huidige richtlijn – niet veel meer dan een notificatieplicht – helpt weinig: hij is te beperkt, te soepel en te laks. Alleen telecombedrijven vallen onder de richtlijn, ze hebben liefst een week om hun klanten te waarschuwen, en er zijn amper repercussies. Wie zich er enigszins in verdiept weet dat datalekken tegenwoordig aan de orde van de dag zijn, en dat ze behoorlijk ingrijpend kunnen zijn. Honderdduizenden patiëntendossiers hier. Tienduizenden creditcards daar. Een half miljoen accounts elders. Persoonsgegevens verliezen (of hacken) is een internationale sport geworden.

Vandaar dat Neelie Smit-Kroes – Steelie Neelie noemen de Engelsen haar – de bewuste Europese richtlijn wil herzien, waarvoor dank! Haar collega Viviane Reding haakte meteen fors in: ook online betaalsystemen, videogames, webwinkels en sociale media horen onder de richtlijn te vallen.

Terecht, want zulke gegevens zijn kostbaarder dan telecomgegevens. Chic is het niet, maar uiteindelijk kan het mij niet bar veel schelen wanneer KPN een bestand laat slingeren met mijn telefoonnummer erin. Maar als de ING of een one click to pay webwinkel mijn inloggegevens kwijtraakt, hoor ik dat echter juist graag. En wel per ommegaande!

Wat mist in de voorstellen is een boetebepaling. Bedrijven en instanties die slordig zijn met andermans gegevens, krijgen alleen een notificatieplicht opgelegd: ze moeten ons melden dat ze hebben gefaald. Nu kosten ook zulke meldingen geld – er is wel uitgerekend dat klanten informeren over een datalek al snel oploopt tot vijf euro per klant – maar dat helpt weinig.

Ik ben voor stevige boetes. Voor elk ontdekt datalek wordt een ferme boete in rekening gebracht, gebaseerd op hoe privé of misbruikbaar de gelekte gegevens zijn, vermenigvuldigd met het potentieel aantal getroffenen.

Alleen dan zullen bedrijven en instanties zich realiseren hoeveel onze gegevens werkelijk waard zijn. En hopelijk stelt die prijs grenzen aan hun tomeloze verzameldrift.


Aantal reacties: 23

  1. Jan Schenk ≡ 19 Jul 2011 ≡ 17:21

    die boete’s komen nog. Soort van voortschrijdend inzicht zullen we maar zeggen.

    Ben alleen bang dat het nog even zal duren.

  2. Thomas Wouters ≡ 19 Jul 2011 ≡ 19:16

    Stevige boetes, goed idee. Maar om het rapporteren van lekken niet te ontmoedigen moet de boete voor het niet (of niet tijdig) melden wel aanzienlijk hoger zijn. Of meer dan een boete: een straf. Stevige strafrechtelijke middelen om bedrijven, beslissingnemers en andere betrokken aan te pakken, als een datalek (of potentieel lek) niet correct afgehandeld wordt.

  3. Janus ≡ 19 Jul 2011 ≡ 20:16

    En hopelijk zullen die boetes hun, ehh, prikkelen om maatregelen te nemen, die hun security en bescherming beter maakt, want ik heb het vermoeden dat daar nogal op bezuinigd wordt, zolang ze er met een sisser vanaf komen.

  4. juzo ≡ 19 Jul 2011 ≡ 21:22

    Het wordt natuurlijk niks. Het is ‘n lachertje, en ‘n wassen neus. Doekje voor ‘t bloeden, en mooipraten voor de bühne.

    1.
    Als er al geen sanctie aan is vernonden, dan stelt ‘t nooit wat voor.

    2.
    Als er geen duidelijk aan te tonen OPZET is, dan vervalt iedere poging tot strafbaarstelling, immers, ONWETENDE, zondigt men NIET.

    Dat is grondbeginsel van ieder soort recht.
    Er is geen informatiePLICHT, want er is geen ALZIJDIGE informatieMOGELIJKHEID in deze materie.

    Men kan niet in redelijkheid van databeheerders verlangen, dat ze alles maar dan ook alles, zelf niet “naar tevredenheid of genoegdoening”,

    op het gebied van datasecurity af weten.

    3.
    “Naar de Stand der Techniek”. De rechter, maar ook de verdediging, en zelfs de aanklager, zal het oer-oude adagium “naar de stand der techniek’ hanteren. Wat dat is, weet niemand. De een zal beweren dat de allerslimste allermodernste datasecurity procedures en netwerken (whatever that may be) ingericht gehandhaafd gecontroleerd en gepresenteerd moeten worden.
    De ander zegt dat het allemaal staat of valt met de betrouwbaarheid, integriteit en omkoopbaarheid van het bedienend personeel (de Internet-providers), en voor de rest niets.

    4.
    Beveiligingsbedrijven, (systeemhackers van Hack-Tic),

    die volmaakt oncontroleerbaar zijn (ontslagen werknemers nemen de klanten en datasecurity mee ten verkoop aan de penose) zullen zich opdringen.
    Dat doen ze toch al, en ze worden steeds vaker de deur gewezen.
    De bedrijven doen het zelf.

    Dat is misschien niet optimaal en maximaal, maar het is voldoende.
    Het is onmogelijk ze tot méér te dwingen in het verije maatschappelijk verkeer en in de vrijheid van ondernemen.

    De Hack-Ticcers en consorten zullen wel even uitmaken, wat er gedaan moet worden.

    Ja daaaaaaaaaag.
    Zó zit de wereld gelukkig nog nét even niet in elkaar.

    Conclusie:
    Het is allemaal niks, het wordt allemaal niks en het zal nooit wat zijn.

    Kletskoek voor de bühne, larie en apenkool.

    Iedereen heeft er maar voor te zorgen dat hij weet dat alle data altijd achterhaald en tot nadeel misbruikt kan worden. Dan is hij of zij vanzelf wat voorzichtiger (op-eten van suikerpapier).

    Doet hij of zij dat niet, dan moeten hij of zij op de blaren zitten (geen op-eetbaar suikerpapier).

    In deze tak van wetenschap verandert sinds Wereldoorlog II niets, zoals het daarvóór ook nooit veranderde.

    Strafbaarstelling van alle soorten mogelijke soorten van wel- en niet- slordigheid: forget it forever.

  5. juzo ≡ 19 Jul 2011 ≡ 21:49

    Alleen degene die voldoende overtuigend voor de rechter kan aantonen dat hij of zij “zeer aanzienlijk” en zeer aanmerkelijk, zeer aanzienlijke economische schade heeft geleden door handelen of nalaten, falen of inbreuk maken op voorwaarden van gesloten overeenkomsten, kan aanspraak maken op door de rechter uit te spreken schadevergoeding.

    Dat is alles.

    Méér staat er niet op vindplaatsen van ons rechtssysteem.

    De Europese Commissie heeft hier niets te vertellen.
    En in het internationaal handels- en Innternet-datacommunicatieverkeer op dit gebied al helemaal niet.

    Dus laten we er maar gauw over ophouden.

  6. JPaul ≡ 20 Jul 2011 ≡ 03:30

    Afgezien daarvan (beetje OFF TOPIC, echter wel degelijk in de roos) deze: http://nos.nl/video/257353-vingerafdrukweigeraar-krijgt-geen-idkaart.html
    Waarop de rechter argumenteert dat misbruik VERBODEN is!
    tegenover zodanig overweldigende bewijsvoering past slechts: “I rest my case”
    Schijten op straat is ook niet toegestaan.
    En TOCH ligt er stront.
    Das benutzen der Denkkraft ist strengstens untersagt!

  7. Mihai Martoiu Ticu ≡ 20 Jul 2011 ≡ 08:35

    ==Ik ben voor stevige boetes. ==

    En daar springen de verzekeraars erop in, met verzekeringen tegen de schade van gegevenslekken. En wie betaalt de rekening? De rekening kan slechts betaald worden uit de verkochte producten. En wie betaalt voor die producten? De consument.

  8. juzo ≡ 20 Jul 2011 ≡ 08:41

    Ik denk dat je je ‘n beetje vergist.

    Dat er lamme goeggeltjes zijn in de wereld is tot daar aan toe.

    Maar als je ‘n portemonnee ziet liggen op straat (zonder touwwettje d’r ‘an) breng je ‘m naar ‘t politiebureau en steek je de senten niet in je eigen pokket.

    Dat vindt z’n grondslag in de algemene grondslag voor ieder rechtssysteem en ieder gedragspatroon en dat berust op goede trouw.

    We gaan in de maatschappij nog altijd uit van goede trouw.

    Dat er kwade trouw heerst is tot daar aan toe en daar hebben we dan ook méér dan uitstekende gevangenissen voor.

    Een en ander heeft tot logisch gevolg dat ik mijn bedrijf niet laat beveiligen door ‘n snelle floepper die in dienst is geweest of heeft samengewerkt met WikiLeaks.

    Dat had die snelle floepper met dat hoge stemmetje moeten bedenken vóórdat ‘ie begon aan de samenwerking met WikiLeaks, waarvoor hij dan thans op de nominatie staat om uitgeleverd te worden. Er zijn tenslotte ‘n stel Anonymous-trawanten zojuist opgepakt.

    We moeten de zaken in het vrije ondernemertjesland wel een beetje schoon fris en vrolijk zien te houden.

    In plaats van ‘n beetje smoezelig dubieus en achterbaks in de datasecurity en -defense,

    en daar heb ik als vakbondsspecialist in de onderhandelingstraffieken nog altijd over te waken en mee te maken.

    Dat is nog altijd in ona aller algemeen belang en daar heb ik het over.
    Over iets anders heb ik het nooit.

  9. juzo ≡ 20 Jul 2011 ≡ 08:44

    @7 Als de consument niet wil kopen dan doet ‘ie ‘t toch niet?

    Dat lijkt me in ‘t algemeen, ‘n nogal erg duidelijke zaak.

    De marktwerking zorgt er wel voor,

    dat op vraag ‘t beste product wordt aangeboden tegen de laagste prijs.

    Dat is ‘t mooie van de vrije marktwerking hier in dit land.

  10. juzo ≡ 20 Jul 2011 ≡ 10:17

    Het NOS Journaal liet eind vorige week Richard Kraay en zijn bedrijf te Nederland zien.

    http://www.juzo777.nl/info/newsoftheworld/SnapShot-(9).JPG

    Richard Kraay houdt zich in opdracht van De Telegraaf en andere kranten, en van Peter R de Vries en andere particulieren te Nederland bezig met het verzamelen van data die normaliter verborgen zijn en blijven.

    Hij verkoopt deze data en dat is alles wat hij doet. Het is niet strafbaar. Wat de kopers ermee doen (publiceren, rechercheren) is zijn zaak niet.

    Hij neemt daartoe af en toe de identiteit van de persoon aan waarvan hij de data zoekt, door zich voor hem of haar uit te geven, meldde het NOS Journaal.

    Hij verzamelt alle data die maar denkbaar zijn van de persoon die hij zoekt, onder andere door in te breken in sociale netwerken zoals Facebook en LinkedIn.

    Ook interviewt en filmt hij mensen ter plaatse en op locatie van de persoon waar het om gaat, om data te verkrijgen en te koppelen, bijvoorbeeld aan eerder verkregen gegevens van administraties van scholen en bedrijven, justitiële inrichtingen en de sociale dienst die gemakkelijk gegevens aan hem verstrekken over de betrokkene waarvan hij de data en geevens in opdracht zoekt.

    Dat alles is niet strafbaar.
    Men heeft er maar rekening mee te houden.
    Door zo weinig mogelijk over zichzelf prijs tegeven.
    Dat is de eerste oorlogswet in de strijd om het bestaan.

    Er zijn bedrijven in Nigeria en China die datarescue van Nederlanders op nog veel grotere schaal doen. Zij verkopen de gegevens aan bedrijven die chanteren.

    Dat is wel strafbaar, maar uiterst moeilijk.

    Daar is, in feite, nog niet zo heel veel tegen te doen en dat zal ‘t ook nooit.
    Het gebeurde vroeger ook altijd al, maar dan niet digitaal.
    Gewoon door spionage, omkoping en fotografie.

    Aangezien men zich niet volkomen volledig kan inkapselen, is men altijd vogelvrij en helpt geen enkele security-defense.

    Niettemin heeft men de plicht, zichzelve en de huiselijke haard, levende have en persoonlijke eigendommen af te schermen tegen vervreemding door gauwdieven:”tot op zekere hoogte en in redelijke mate, die van eenieder verwacht kan en mag worden”.

    -.-

    Ik heb het mijne, denk ik, er wel over gezegd, zo onderdehand.

  11. juzo ≡ 20 Jul 2011 ≡ 10:18

    Correctie: in het bovenstaande moet de naamsvermelding Michel Kraay zijn.

  12. juzo ≡ 20 Jul 2011 ≡ 10:24

    Het bedrijf van Ronald Prins echter helpt volgens het NOS Journaal de overheid zich tegen hackers en dataleaks te beschermen.

    http://www.juzo777.nl/info/newsoftheworld/SnapShot-(12).JPG

  13. Spaink ≡ 21 Jul 2011 ≡ 03:30

    Juzo: er hoeft helemaal geen opzet bewezen te worden. De huidige regeling voor datalekken – die helaas alleen van toepassing is op telecombedrijven – maakt juist (en terecht) een probleem van het laten slingeren van gegevens en van het niet goed beveiligen van gegevens. Daar komt verder geen opzet of bewezen misbruiik aan te pas.

    En mijn punt is juist het omgekeerde: iedereen die onze gegevens wil hebben & opslaan, laadt daarmee de verplichting op zichzelf om daar zeer secuur mee om te gaan. Ik hoef niet te bewijzen dat ik schade lijd als een bedrijf dat mijn gegevens *eist* slordig is met diezelfde gegevens; zij moeten bewijzen dat ze er zorgvuldig mee omgaan.

  14. juzo ≡ 21 Jul 2011 ≡ 08:37

    Als er geen opzet is, is er ook geen strafbaarstelling.
    Zo zit dat in het Nederlands recht in elkaar.
    Daar kunnen we dus heel erg kort over zijn.

    OPZETTELIJK laten deze bedrijven niets rondslingeren. GESTRAFT kunnen ze daar dan ook niet voor worden, als het tóch, per ongeluk, een keer gebeurt.

    Een huidige regeling voor datalekken bestaat niet. Bedrijven kunnen niet verplicht worden onzorgvuldigheid, slordigheid, productiefouten, woedeuitbarstingen van de chef, de dakgoot die lekt, de vrouw is kwaad, het kind belt muisje,

    te melden. Waar dan ook, bij wie dan ook, en wanneer dan ook. Er heerst het vrije ondernemerschap, en de vrijheid van productiemethoden binnen de grenzen der (veiligheids)wet.

    Wat is “zeer secuur’ zoals je schrijft? Wat is dat? “Secuur” zoals JIJ het wil of zoals Ik het wil?

    Zoals WIE het wil???

    Laat me niet lachen. Daar komen we niet verder mee, en daar schieten we niks mee op.

    Praatjes voor de vaak, en daar trapt gelukkig krantenlezend Nederland niet meer zo in. Dat betaalt zich, op den duur niet meer zo erg winstgevend uit.
    Bedenk ‘n ander beter onderwerp, en ‘n betere redeneertrant.

    Ik ben zelf “zeer secuur” want ik gebruik “pcsecuur” zie onderstaande link. Zij (de bedrijven) hoeven niet te bewijzen dat ze er zorgvuldig mee omgaan, jij moet je melden als je schade lijdt bij per ongelukkige onzorgvuldigheid. De mens maakt nou eenmaal fouten. Dat is een vaststaand gegeven, en zo moeten die fouten dan ook allemaal door schadevergoeding worden opgelost.

    OPZET is hier nog steeds in de verste verte niet bij te bekennen, en STRAFBAARSTELLING dus ook niet.

    Je kunt de bedrijven niet DWINGEN hun productieMETHODEN te veranderen. Dat gaat nu eenmaal niet.

    Dat is alles, en meer is er niet.

    Er is hier in Nederland nog altijd GEEN omgekeerde bewijslast.
    Met de gang van zaken BINNEN de bedrijven hebben BUITENstaanders niets te maken.

    Als iedereen doet wat ++in redelijkheid++ van hem of haar verwacht mag worden aan datasecurity en defense, dan komen we al ‘n heel eind. De bedrijven doen dat uit zichzelf wel, uit concurrentie-overwegingen.
    Mijnheer de rechter heeft er niets bij te vertellen, en de Europese Commissie al helemaal niet.

    Klaar, af uit en amen.

    http://www.juzo777.nl/info/norton/

  15. juzo ≡ 21 Jul 2011 ≡ 08:50

    Telecombedrijven zijn geen uitzondering op gewone bedrijven. Telecombedrijven zijn net zo goed gewone bedrijven als gewone bedrijven gewone bedrijven zijn.

    Er is geen onderscheid tussen (gedrag van) telecombedrijven en gewone bedrijven.

    Zij allen hebben zich netjes te gedragen naar de regels die daarvoor zijn, en iets anders is er niet.

    Heel iets anders is, de corrumpeerbaarheid van (oud)”personeelsleden” bij en van Internet Providers.

    Daar zal ik het zelf een andere keer eens over hebben.
    Dat kan best wel eens fris vrolijk en fruitig worden.

    Maar voorlopig heb ik nog even geen tijd.

    Frisse morgen, je toegewenst.

  16. juzo ≡ 21 Jul 2011 ≡ 09:29

    Probeer het maar eens te kraken!
    En zo gaat het met alle data, die hier of elders “niet mogen rondslingeren”, omdat dat “staatsgevaarlijk” is. Automatisch, bij het uitzetten der pc’s.
    En omgekeerd, in de decryptie, bij het aanzetten der pc’s.

    De bedrijven zijn daarin natuurlijk ‘n heel stuk verder gevorderd dan ik.
    Maar daar zijn zij dan ook, “de bedrijven” voor, en ben “ik”, ik.

    Voor de particulieren hoeft dat dan ook maar, naar regelgeving, “naar de stand der techniek”, en, volgens mijnheer de rechter, “in redelijkheid”.

    Méér hoeft niet, maar minder mag niet.

    Nou, daar we, in het grootste gemene veelvoud van alle databezitters, zo langzamerhand dan toch wel allemaal zo’n beetje aan.

    Dus zo erg veel, is er met datalekken nou ook weer niet aan de hand.
    Maar ik ben helemaal niet verplicht, als particulier dat allemaal te melden.
    In tegendeel, het wordt me bijzonder erg kwalijk genomen.

  17. juzo ≡ 21 Jul 2011 ≡ 09:53

    .
    Dat is een hele lelijke natuurlijk.

    http://www.juzo777.nl/info/norton/SnapShot-(54)aaa.jpg

    Het Duitse ARD-1 Journaal (Nachrichten) om kwart voor tien gisteravond,

    meldde, dat de REWE Group in Duitsland, een gigantisch grote internationaal opererende supermarktketen, de data en computergegevens over het koopgedrag van miljoenen klanten de straat op heeft gegooid.

    Het zou nog niet zo erg zijn, maar de REWE Group is ook mede-eienaar van een groot aantal Nederlandse supermarkt-keten-bedrijven, en ook de gegevens van de Nederlandse klanten zijn de keien op gekeild,

    liggen op straat.
    Ook die van mij dus.

    Wat kunnen we daaraan of daartegen doen?
    Niets.

    Als blijkt dat er misbruik van gemaakt wordt?
    Niets.

    Als blijkt dat we d’r schade onder lijden?
    Niets.

    Nou ja, toch wel ‘n beetje.
    We kunnen ons aansluiten bij klanten van Nederlandse of Duitse advocaten, die schadevergoeding voor ons gaan proberen te krijgen.

    ‘n Vrijwel hopeloze zaak.

    Volg de berichten in de Nederlandse en Duitse kranten en media, die vanaf vandaag over deze zaak verschijnen.

  18. juzo ≡ 21 Jul 2011 ≡ 09:54

    Herstel, de nieuwsuitzending was van ‘t ZDF (tweede Duitser).

  19. juzo ≡ 21 Jul 2011 ≡ 10:01

    De REWE Group is al enige tijd geheel en al uit het Internet verdwenen:

    ” Diese Seite befindet sich aktuell im Wartungszustand. ”

    Dat voorspelt niet al te veel goeds.

    Kaadwillenden kunnen zomaar aan mijn bankgegevens.

  20. juzo ≡ 21 Jul 2011 ≡ 10:51

    .

    Zo.

    Dat is effe mooi mee-liften op jouw succes hè?
    Hartelijk dank.

    http://wp.me/pfW4k-64V

    ‘k Kom toch maar makkelijk ‘an me stukkies.
    En nou maar weer de wilde buitenwereld in.

    .

  21. Thian ≡ 22 Jul 2011 ≡ 17:10

    het lijkt meer op tikkertje met jezelf spelen

  22. paulv ≡ 24 Jul 2011 ≡ 00:46

    Er zou eigenlijk een onderscheid gemaakt moeten worden tussen soorten datalekken.

    Stel dat ik nu alle data (op de index, username en salted password hash na) encrypt in de database zelf, zodat ook de tegenwoordig zo de populaire SQL-injection attack *als* die al slaagt geen *echte* data kan achterhalen (die word in de webapp on-the-fly decrypted met het door de persoon zelf opgegegeven wachtwoord).

    Technisch gezien is er nog steeds een datalek, maar effectief liggen er dan geen gegevens op straat.

    Sowieso kan het argument gemaakt worden dat de impact van verschillende datalekken niet altijd even groot is, en dat de wetgever daar rekening mee zou moeten houden.

    @juzo: het is misschien handiger om wat minder te posten, en wat minder lappen tekst, en meer essentie. Dan is de kans groter dat iemand het leest.

  23. juzo ≡ 24 Jul 2011 ≡ 22:27

    @ 22 ik hoef niet zo erg handig te zijn, m’n hele leven nooit geweest ook, om bliksems en duivels goed door iedereen gelezen te worden. Reken daar vooral op.

    Dan gaat ‘t je altijd goed.

    We zijn hier tenslotte niet in de kleuterschool.

Trackbacks & Pingbacks 1

  1. From Boete voor lekken - Sargasso on 22 Jul 2011 at 21:00

    […] voor lekken20-07-2011 om 07:00 door GastredacteurEen gastbijdrage van Karin Spaink, ook op haar site te lezen. De Europese Commissie piekert over een betere richtlijn voor datalekken. […]

Schrijf een reactie

E-mail adressen worden niet getoond noch aan derden doorgegeven.
Verplichte velden zijn gemarkeerd met een *