• Zoeken
Minister Donner: overheidssites niet meer veilig

Overheid over datalekken: zoek het zelf maar uit

Gezichtsherkenning op Facebook; een gevaar voor onze privacy?
DOSSIER: Zwartboek datalekken
01 september 2011
Thomas Hogeling

Govcert.nl, een team dat overheidsinstanties ondersteunt bij het voorkomen en afhandelen van veiligheidsincidenten, kwam begin augustus met een Factsheet Datalekken. Hierin wordt duidelijk uiteengezet welke maatregelen je kan nemen als je slachtoffer bent van een datalek. Maar hoe weet je of je slachtoffer bent van een datalek als de partij waar het lek zich voordoet dit niet eens meldt?

Door actief te zoeken naar je eigen gegevens, zo wordt uitgelegd in de Factsheet: ‘U kunt op verschillende wijzen erachter komen dat uw gegevens gelekt zijn. Door de huidige trend om buitgemaakte en/of gelekte gegevens te publiceren kunt u online uw gegevens terug vinden. Dit zal dan hoogstwaarschijnlijk toeval zijn tenzij u actief op zoek gaat.’ Ook wordt verwezen naar het Zwartboek Datalekken van Bits of Freedom.

Wij vinden dat je niet actief zou hoeven moeten zoeken of je mogelijk slachtoffer bent van datalekken. De lekkende partij zou je zo snel mogelijk moeten informeren als er sprake is van een datalek. Daarom pleit Bits of Freedom voor een meldplicht datalekken. Zonder een meldplicht zijn deze goedbedoelde aanbevelingen zinloos. Als je het wachtwoord van je eigen e-mail terugvindt op internet dan is dat rijkelijk laat, je kan er dan zeker van zijn dat je niet de eerste bent die het ziet. Met een meldplicht voorkom je dat partijen straffeloos een datalek verzwijgen om bijvoorbeeld imagoschade te voorkomen.

Ondertussen laat het kabinet nog steeds op zich wachten en is er nog geen wetsvoorstel voor een meldplicht ingediend, ondanks de mooie woorden in het regeerakkoord: “Het kabinet komt met een voorstel voor een meldplicht voor alle diensten van de informatiemaatschappij, waaronder de overheid, in geval van verlies, diefstal of misbruik van persoonsgegevens waarbij alle datalekken worden gemeld aan de nationale toezichthouder die boetes kan opleggen indien de meldplicht niet wordt nageleefd. “

In de Factsheet worden recente aanpassingen van Europese richtlijnen (PDF) genoemd ‘zodat bepaalde organisaties lekken bij hun klanten moeten melden.’ Behalve dat deze nieuwe richtlijnen nog niet in Nederland zijn geïmplementeerd, zijn ze ook zeer beperkt in bereik. Deze richtlijnen gelden namelijk alleen voor aanbieders van telecommunicatiediensten. In de Kabinetsnotitie privacybeleid wordt wel verwezen naar het regeerakkoord waarin staat aangegeven ‘dat een dergelijke meldplicht zich ook moet uitstrekken over alle diensten van informatiemaatschappij, de overheid daaronder begrepen.’

Wij vroegen ons in april af of we blij zijn gemaakte met een dooie mus, aan deze situatie is sindsdien nog niets veranderd. Fred Teeven gaf in februari in het TV-programma De Ombudsman aan dat er aan deze wetgeving gewerkt wordt: “Meldplicht datalekken, daar gaan we aan werken, daar zijn we nu op dit moment mee bezig, we komen met een concreet plan.” In februari werd er dus al aan gewerkt, maar daarvan hebben wij nog steeds niets gezien. Veel werk hoeft het niet te zijn, Bits of Freedom heeft de tekst (PDF) al lang klaarliggen. Waar blijft dat wetsvoorstel, meneer Teeven?

Doneren Vrijwilligen Reageren 13
  1. 01/09/2011

    Jan Schenk

    Het lek bij Diginotar laat nog eens zien hoe belangrijk het melden is. Als men het gemeld had, was waarschijnlijk het probleem in Iran niet voorgekomen, of men was er veel alerter op geweest.

  2. 01/09/2011

    Kees Kortom

    @Jan Je opmerking raakt kant noch wal:
    1. Het lek bij Diginotar was geen datalek in de betekenis zoals het hier bedoeld wordt, maar een echte hack waarbij certificaten door hackers zijn aangemaakt. Hierbij zijn geen persoonsgegevens gelekt.
    2. Diginotar kon niet melden dat er een google certificaat was uitgegeven namens Diginotar, omdat ze dat schijnbaar niet doorhadden. Anders hadden ze het certificaat allang teruggetrokken.

    Even bij de les blijven.

  3. 02/09/2011

    Jan Schenk

    @Kees Kortom 1. Het uitgeven van deze valse certificaten door hackers lijkt me echt een datalek.
    2. Het gaat er niet om dat ze het google certificaat over het hoofd hebben gezien, maar als men het gemeld had, had iedereen alert kunnen zijn op certificaten van diginotar. Nu wist niemand buiten diginotar ervan

  4. 02/09/2011

    Ot van Daalen (Bits of Freedom)

    @Kees Kortom: Diginotar wist al langer dat ze gehackt was, en had een aantal certificaten teruggetrokken. Ze waren het google.com certificaat echter ‘vergeten’. Het mag dan wel niet een datalek zijn, in die zin dat er geen persoonsgegevens bij waren betrokken, het is wel erg dat men zo lang heeft gewacht met openbaar maken dat er was ingebroken. Je kan jezelf de vraag stellen: zouden we ook voor dat soort gevallen een meldplicht moeten hebben? Een “Meldplicht hacks” is misschien wat veel van het goede, maar als het over dit soort vitale infrastructuur gaat zou je je kunnen voorstellen dat dat weer meer op zijn plaats is. Ik ben er nog niet over uit.

  5. 02/09/2011

    Kees Kortom

    @Jan @ot mijn eerste zin sluit niet helemaal aan bij wat ik wilde zeggen: de reactie paste niet bij het onderwerp meldpunt datalekken. Om nu Diginotar gelijk overal bij te betrekken leek mij een beetje kort door de bocht.

    Een overzicht van belangrijke hacks lijkt mij inderdaad wenselijk. Een meldpunt voor gehackte organisaties is geen slecht idee. maar ik vrees dat bijvoorbeeld banken en verzekeringsbedrijven daar geen gebruik van zullen maken uit vrees dat de klanten weglopen.

    Worden problemen met de vitale infrastructuur nu niet vermeld aan de 2e kamer?

  6. 03/09/2011

    Ot van Daalen

    @Kees Kortom: Ik kwam toevallig een plicht voor telecombedrijven tegen om security breaches (dus niet per se datalekken) te melden, als dat ingrijpende gevolgen heet voor de werking van de netwerken (niet letterlijk, dat zijn mijn woorden). Maar afgezien daarvan ben ik niet op de hoogte van een ‘meldplicht hacks’, ook niet voor vitale infrastructuur.

  7. 03/09/2011

    Anonymous

    Ot van Daalen (Bits of Freedom) 2 Sep / 12:36 am
    U zegt dat Diginotar lang gewacht heeft met openbaar maken dat er was ingebroken. Denkt u serieus dat Diginotar ook maar iets gemeld had als ze dachten dat ze het stil hadden kunnen houden?

  8. 03/09/2011

    Anonymous

    Wat zullen de zware een grote organisatie desnoods te gronde richtende sancties zijn als datalekken blijven voorkomen of niet gemeld worden. Welke klokkenluiders regeling komt er?
    Of wordt dat voor het gemak even vergeten door Teeven, het zijn tenslotte geen zwakke burgers die de overtredingen begaan maar machtige bedrijven en voornamelijk overheden !

  9. 04/09/2011

    Pieter Paal

    Wat iedereen lijkt te vergeten is dat het hier eigenlijk om iets heel ‘ouderwets’ gaat: vertrouwen.
    Vertrouwen dat een derde partij correct om gaat met jouw gegevens, en dat vertrouwen blijkt keer op keer geschaad te worden.
    Maar ja, zolang de gevolgen voor ‘de ander’ (d.w.z. degene wiens gegevens zijn gehackt/gestolen) zijn, zal hier waarschijnlijk niet veel aan veranderen.

  10. 04/09/2011

    Bert

    Lezen, Luisteren en Na-denken.
    Overheid weet niet wie de hackers zijn
    Maar ze weten wel heel zeker dat ze uit Iran komen.
    Ja natuurlijk.
    Of hebben de hackers alleen maar een server in Iran gehackt en zitten ze zelf heel ergens anders ?
    Blijft een raar verhaal.

  11. 09/09/2011

    Patrice

    Je kunt natuurlijk ook bij de fundamentals terugkeren. De regeringscoalitie beloofde in het regeeraccoord en sinds februari bij monde van Frits Teeven een meldplicht in te voeren. Er is nog niks gebeurt, oftewel, geheel volgens de filosofie van deze regeringsploeg: burger, zoek het zelf maar uit!

  12. 13/09/2011

    Anonymous

    @Patrice. Je hebt gelijk, maar:
    Als je het zelf uitzoekt en je vingerafdrukken niet geeft dan krijg je geen paspoort. Als je een vrij beroep niet inclusief al je privé gegevens inschrijft in de KvK dan “bega je een economisch delict”. Als je Amsterdam inrijdt en niet toestaat dat de Politie je kenteken en andere gegevens middels alle camera’s opslaat en bewaart dan..
    Je krijgt geen paspoort of identiteitskaart, kan worden aangehouden en beboet voor het niet hebben van een ID.
    De KvK mag je boetes opleggen en dan krijg je tevens een aantekening, want anders kunnen zij je gegevens niet verkopen.
    Als je bij binnenkomst in Amsterdam zorgt dat je nummerbord niet op de camera komt dan maak je de politie kwaad want dan doe je alsof dit geen politiestaat is waar agenten de wet mogen overtreden.

    Burger, zoek het zelf maar uit! . . wordt dan . . Burger zak van ons maar in de stront!

  13. 29/10/2011

    Rogier

    Hallo mensen,

    Ik moet voor maatschappijleer een column schrijven over de stelling: ”Moet de Nederlandse overheid aangeklaagd worden omdat ze de digitale privacy niet voldoende waarborgt”.

    Wat zijn jullie inzichten, misschien kunnen die mij helpen?

    Alvast bedankt!!

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.

Ik geef graag per maand

Ik geef graag een eenmalig bedrag