Meer documentenDisclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Technische briefing door de Autoriteit Persoonsgegevens over grote datalekken en artikel 5 AVG
[0:00:00] Goedemiddag.
[0:00:02] Ik open de vergadering van de commissie Digitale Zaken.
[0:00:07] Welkom bij de technische briefing door de autoriteit persoonsgegevens over grote datalekken in artikel 5 van de AVG.
[0:00:17] De gasten heet ik van harte welkom.
[0:00:19] De heer Wolfsen, de voorzitter van de autoriteit persoonsgegevens.
[0:00:24] Mevrouw Koldhoff en de heer Van Aken.
[0:00:28] En ik heet welkom aan de zijde van de Kamer, als we kijken, mevrouw Aboujani van D66, mevrouw Katman van GroenLinks PvdA en mevrouw Swinkels van CDA.
[0:00:39] En we verwachten nog één of twee andere leden, maar die zijn iets verlaat doordat er een aantal twee-minuutendebats zijn uitgelopen, begreep ik.
[0:00:47] Vooraf, in afstelling met de autoriteit persoonsgegevens,
[0:00:51] zal de technische briefing zoveel mogelijk in de openbaarheid plaatsvinden en in die nodig gevolgd door een besloten deel.
[0:00:59] Dat hangt een beetje af van de vragen die gesteld worden door de Kamerleden.
[0:01:05] En het is natuurlijk aan de autoriteitspersoonlijkscherms om aan te geven welke informatie zij in de openbaarheid en welke ze in beslotenheid eventueel zou willen delen.
[0:01:15] Dus tegen het eind van deze technische briefing zal ik daarom inventariseren of er nog onderwerpen zijn die we in beslotenheid zouden kunnen bespreken.
[0:01:22] En dan nemen we enige tijd om de publieke tribune te ontruimen, maar die is niet zo zwaar bezet, dus dat moet wel lukken.
[0:01:32] En dan geef ik nu graag het woord aan de heer Oppergeel-Wolffsen voor zijn toelichting.
[0:01:35] Dank u wel.
[0:01:37] Dank u wel, meneer de voorzitter, en dank u wel ook aan de leden dat u weer belangstelling toont voor ons werk.
[0:01:42] Dat waarderen we altijd buitengewoon, dus we komen altijd hier zeer graag als u ons uitnodigt.
[0:01:47] En vandaag over een onderwerp wat bijna dagelijks actueel is, alles wat te maken heeft met beveiliging van persoonsgegevens en met datalekken, wat ons enorm puzzelt, maar wat burgers in het land nog meer puzzelt, want het gaat vaak om hun
[0:02:00] persoonsgegevens en dank u ook, voorzitter, dat u de ruimte geeft om misschien in bestoordheid hier en daar wat meer toelichting te geven, omdat wij verklappen nooit methodes van werken van ons in het openbaar, natuurlijk, of onderzoeksmethoden, maar ook niet omdat er een meldplicht datalekken bestaat.
[0:02:15] Moet het niet zo zijn dat als een bedrijf bij ons of een instelling bij ons een datalek meldt, dat via ons het dan openbaar wordt.
[0:02:21] Dus dank voor die gelegenheid.
[0:02:24] U hebt specifiek gevraagd om een aantal dingen.
[0:02:26] Ik zal een soort algemene inleiding geven, dan zullen de collega's dat ook gaan aanvullen.
[0:02:33] En ik zal iets zeggen in het algemeen over de beginselen en de beveiliging, hoe het in de algemene zin in elkaar zit, omdat u ook specifiek hebt gevraagd van
[0:02:41] Hoe zit het wettelijk kader eigenlijk in elkaar?
[0:02:44] Neem ons daar ook een klein beetje mee.
[0:02:45] Zeker voor nieuwe Kamerleden is dat belangrijk ook.
[0:02:48] En ja, u bent wetgever, dus vandaar logisch dat u belangstelling hebt voor het wettelijk kader.
[0:02:53] Dus veel dank daarvoor.
[0:02:55] En het is ook, wat ik al zei, een zeer actueel onderwerp en er komt helaas ook heel veel voor.
[0:02:59] We hebben nog even de cijfers ook in algemene zin meegenomen.
[0:03:02] Van vorig jaar waren er rond de schrikkeniet 44.000 datalekken in Nederland.
[0:03:06] En het jaar daarvoor 38.000.
[0:03:08] Ik moet wel zeggen, in algemene zin, er zitten ook hele kleine kwesties bij, in de zin van verkeerd bezorgde brieven, et cetera.
[0:03:15] Ook al kan het soms om gevoelige gegevens gaan, medische gegevens, et cetera.
[0:03:19] Ook heel vervelend.
[0:03:20] Maar er zitten ook hele grote, hele nare data-lekken, cyberincidenten bij, waarvan de meeste ook niet openbaar zijn of niet openbaar worden, maar die zijn er zeker ook.
[0:03:32] Nou, wat ik al zei, ik zal een korte introductie doen.
[0:03:34] Collega's Kolthoff en Van Aken zullen dan dat gaan aanvullen.
[0:03:39] Iets over het wettelijk kader, over de naleving.
[0:03:42] En ik kan wel zeggen, het is te vaak en te gebrekkig die nalevingen in Nederland.
[0:03:47] Het is te vaak te gebrekkig op orde.
[0:03:49] Daar schrik ik zelf ook af en toe nog wel van.
[0:03:50] Ik word vaak ook gebriefd als er weer zo'n data-lek is.
[0:03:53] Dan denk ik, ja...
[0:03:54] Wat huiselijk gezegd, onder welke steen heeft deze instelling of dat bedrijf geleefd dat je zo bazaal je beveiliging niet op orde hebt?
[0:04:01] Daar kunnen we misschien wel eens voorbeelden van noemen, zonder namen te noemen, uiteraard.
[0:04:05] En dan het toezicht...
[0:04:07] Toezicht zullen we iets gaan zeggen, ook heel concreet, van wat gebeurt er als er zo'n data-lek is gemeld?
[0:04:13] Wat doen de mensen dan?
[0:04:14] Wat gebeurt er feitelijk?
[0:04:15] En ik zal ook iets zeggen...
[0:04:16] Als u dan vraagt over onze bezetting en hoeveel mensen we er feitelijk voor hebben om dit belangrijke werk te kunnen doen.
[0:04:24] Eerst iets over het algemene kader, ik begin even heel bazaal.
[0:04:27] Kent u waarschijnlijk al het handvest van de grondrechter van de EU.
[0:04:31] Dat is natuurlijk van toepassing als het gaat om verwerking van persoonsgegevens in een grondrecht in artikel 8.
[0:04:36] Dat regelt het recht op bescherming van je persoonsgegevens.
[0:04:39] Dat is een grondrecht op Europese niveau.
[0:04:41] En dat grondrecht is uitgewerkt in twee belangrijke hoofdwetten.
[0:04:44] De Algemene Veroudering Gegevensbescherming, de AVG.
[0:04:47] en een richtlijngegevensbescherming voor rechtshandhaving.
[0:04:50] Dat zit op alles wat met justitie en politie te maken heeft.
[0:04:53] Twee instanties vallen er buiten.
[0:04:55] Dat zijn de beide veiligheidsdiensten.
[0:04:57] Die vallen niet onder het Europese recht, dus ook onder deze wetgeving.
[0:05:02] Maar voor de rest valt alles binnen de beschermende werking van deze twee hoofdwetten.
[0:05:06] Dat wil zeggen, huiselijk gebruik van data valt ook niet onder de AVG of onder de RGM.
[0:05:10] Maar de rest allemaal wel.
[0:05:12] Dat is dus het algemene zin, het wettelijk kader naar die AVG.
[0:05:17] Als ik zeg AVG, moet u zelf erbij denken steeds slash RGR, de Richtlijn Gegevensverwerking voor Rechtsonderhaving, want die wettelijke kaders zijn ongeveer identiek, maar die RGR zit dus op politie, justitie en alles wat ermee verband houdt, maar de beveiligingseisen zijn exact hetzelfde.
[0:05:33] Ik zal steeds zeggen AVG, maar denkt u er dan bij slash RGR.
[0:05:37] Dat zou ik buitengewoon waarderen en hoef ik dat zelf niet steeds te herhalen.
[0:05:40] En dan een basisregel is dan natuurlijk, ja, als je data verwerkt, persoonsgeheeft, van mensen verwerkt, dan moet het rechtmatig behoorlijk en transparant plaatsvinden, vanzelfsprekend.
[0:05:49] Een onderdeel van het grondrecht is ook dat er een onafhankelijke toezichthouder moet zijn en dat zijn wij in Nederland.
[0:05:54] Wij zijn als zodanig aangewezen omdat
[0:05:56] toezicht, invulling te geven.
[0:06:01] Als er een data-lack is, en ik kom gelijk een beetje ter zake, ik zal straks nog die beginselen toelichten, als er een data-lack is, wat zijn dan de gevaren daarvan?
[0:06:10] Ja, heel bizar eigenlijk.
[0:06:12] data en vaak ook gevoelige data van mensen openbaar worden.
[0:06:15] Het kan over gezondheidsgegevens gaan.
[0:06:17] Mensen zeggen weleens, ja, datalek, hoe erg is het nou allemaal, of een mailadres.
[0:06:20] Nee, het kan ook over financiële gegevens, gevoelige gegevens.
[0:06:23] Ik heb weleens een datalek gehad bij een politieke partij.
[0:06:25] Dan wordt er bekend wie lid is van zo'n politieke partij of wie er stemt.
[0:06:28] Dat vinden mensen buitengewoon vervelend.
[0:06:30] Vaak willen mensen dat toch vertrouwelijk houden.
[0:06:33] Dus dat is een van de grote gevaren.
[0:06:35] Continuïteit van bedrijven, natuurlijk.
[0:06:38] ID-fraude.
[0:06:39] Met heel veel data kan heel veel ID-fraude plaatsvinden.
[0:06:42] Dus het kan hele nare, ingrijpende gevolgen hebben voor mensen als er een data-lack plaatsvindt.
[0:06:49] Dat als algemene intro nog.
[0:06:51] En dan data-lack...
[0:06:53] We zeggen intern ook vaak, in het spraken van een data-lack, dat is spreektaal.
[0:06:56] Dat woord kom je niet tegen in de wetgeving of in het wettelijk kader.
[0:06:59] En mensen denken bij een data-lack ook vaak, ja, dan wordt de data gelekt, kleine fysiek, en dat komt op straat.
[0:07:05] Dat is natuurlijk niet zo.
[0:07:06] Ja, vaak ook wel.
[0:07:08] Maar als er gespaard is van een soort encryptie door een inbreker, digitale inbreker, en de data wordt vastgezet, dat is ook een data-lack.
[0:07:16] Of als het gestolen wordt, of als mensen er tijdelijk niet meer bij kunnen.
[0:07:20] Of als het gewoon verloren wordt intern.
[0:07:22] Dat valt allemaal onder het begrip datalekkers.
[0:07:25] Allemaal integriteitskwesties met betrekking tot persoonsgegevens die ergens verwerkt worden.
[0:07:31] Maar in de huiselijke taal spreken we dan vaak van datalekken.
[0:07:36] Dan kom ik naar de begrenselen, omdat u daar zo expliciet over gevraagd hebt.
[0:07:40] Die staan inderdaad in artikel 5 van de AVG.
[0:07:44] In die AVG staan tien begrenselen in algemene zin en vier daarvan zien specifiek op alles wat met beveiliging te maken heeft.
[0:07:52] Ik noem die andere zes even omdat u denkt, wat zou dat dan zijn?
[0:07:54] Het gaat over de rechtmatigheid, behoorlijkheid, transparantie, doelbinding, de juistheid van gegevens en de verantwoordingsplicht voor bedrijven.
[0:08:02] Dat zijn zes algemene begrenselen die in algemene zin ook voor toepassing zijn.
[0:08:05] Er zijn vier die specifiek zijn op het beveiligen en beschermen van persoonsgegevens.
[0:08:13] Dat gaat over de dataminimalisatie.
[0:08:14] Je mag nooit meer data verwerken dan je echt noodzakelijk bent voor het doel waarvoor je ze wilt verwerken.
[0:08:21] En we zeggen weleens huiselijk er ook bij, wat je niet hebt als bedrijf, als overheidsinstelling, kan ook niet op straat komen.
[0:08:26] Dus dataminimalisatie is zeer urgent.
[0:08:29] Wordt helaas best vaak overtreden als er een concreet datalek aan de orde is.
[0:08:34] Een tweede begrensel wat van toepassing is, opslagbeperking.
[0:08:39] Dus bewaren niet langer dan noodzakelijk is.
[0:08:42] En helaas, bij datalekken zien we ook vaak dat er veel meer data nog in huis is dan men zou mogen hebben.
[0:08:48] Dat kan ook sprake zijn van een incident, terwijl mensen de zaak wel op orde hadden, maar er toch via stemmen inbreken of klikken op een verkeerde link, maar dat je alles wel op orde hebt en geen overtreding pleegt.
[0:09:00] Maar er wel gehackt wordt, dat kan zich voordoen.
[0:09:03] Maar als je dan teveel data hebt, dan ben je natuurlijk wel in overtreding.
[0:09:06] Dan heb je allemaal data onrechtmatig onder je, die dan helaas op straat komen, omdat je die te lang hebt bewaard.
[0:09:12] En het laatste twee begrenselen, die vatten we altijd samen dan in één term, beveiliging, maar het zit op de integriteit.
[0:09:18] en de vertrouwelijkheid van gegevens, en ik lees die maar even letterlijk voor, omdat dat de kern van alles wat met beveiliging te maken heeft, persoonsgegevens moeten, en nu citeer ik de AVG, door het nemen van passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is en dat ze onder meer beschermd zijn tegen ongeoorloofde,
[0:09:44] of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
[0:09:50] Dat is eigenlijk de wettelijke norm.
[0:09:52] En die wettelijke norm, die beginselen, die zijn weer uitgewerkt in een aantal artikelen in de AVG.
[0:09:57] En dat zal Sjors van Aker, denk ik, als eerste wat meer toelichting opgeven op de specifieke gedetailleerde artikelen in de AVG, die betrekking hebben op alles wat met beveiliging te maken heeft, omdat u daar zo expliciet naar heeft gevraagd.
[0:10:10] Zullen we daar u iets in meenemen?
[0:10:12] Sjors?
[0:10:14] Ja.
[0:10:16] Als we het dan hebben over data lekken, dan kijken we specifiek naar artikel 32, 33 en 34.
[0:10:22] Artikel 32 is eigenlijk dat laatste begin, waar Alijt het net over had.
[0:10:26] En als ik dan langskom bij een organisatie als inspecteur, dan zijn de vragen die ik heb... Welke gegevens heb je nou?
[0:10:33] Welke risico's zie je dan voor die gegevens en hoe je dat verwerkt?
[0:10:37] En wat moet je nou aan maatregelen nemen om de risico's die je ziet... om die terug te brengen tot een acceptabel niveau?
[0:10:43] Als je dat in kaart hebt en je hebt de maatregelen genomen... dan heb je een passend beveiligingsniveau gehaald.
[0:10:50] Maar dan zegt het artikel ook, je moet dat niveau waarborgen.
[0:10:52] Dus dat betekent dat je continu blijft monitoren wat die risico's zijn... en hoe jij de boel verwerkt en of dat nog op elkaar afgestemd is.
[0:11:02] Dus in een wereld waar cyberdreigingen, zeg maar, continu evolueren, is het dus ook belangrijk dat je blijft controleren dat jouw beveiliging op orde is.
[0:11:12] Beveiliging betekent ook dat jij kan controleren of jij gehackt bent of niet.
[0:11:18] Dus dat betekent dat je logging en monitoring hebt en dat je dus adequaat in actie kan komen als er iets gebeurt.
[0:11:24] Dus misschien een goed voorbeeld is dat je de alarminstallaties in dit gebouw aan hebt staan en dat iedereen weet wat hij moet doen als het alarm afgaat.
[0:11:33] Dan hebben we artikel 33, die regelt de meldplicht aan de autoritaire persoonsgegevens.
[0:11:39] Dus als er een datelijk is, en het is niet waarschijnlijk dat dat datelijk een risico inhoudt, tenzij het niet waarschijnlijk is dat het datelijk een risico inhoudt voor natuurlijke personen, dus er moet wat aan de hand zijn, zeg maar even, dan moet je dat datelijk melden bij de AP.
[0:11:56] En de reden daarvoor is eigenlijk dat wij als AP dan nog kunnen kijken, het is dan dadelijk geweest, moeten hier die betrokkenen, de slachtoffers, moeten die worden geïnformeerd?
[0:12:05] Of neem je nou als organisatie nadat dadelijk genoeg maatregelen om dadelijk te beëindigen, maar ook te zorgen dat dadelijk in de toekomst niet op dezelfde manier kunnen voorkomen?
[0:12:16] Dan hebben we nog artikel 34, de laatste.
[0:12:19] Die zegt eigenlijk wanneer zo'n daadwerk nou een hoog risico oplevert voor betrokkenen, slachtoffers zeg maar even, dan moet je die informeren.
[0:12:27] En dat moet adequaat en dat moet snel.
[0:12:29] Dus ik denk een goed voorbeeld is het LAB.
[0:12:35] Afgelopen zomer, daar ging om heel veel gegevens, hele gevoelige gegevens.
[0:12:39] Dan is eigenlijk overduidelijk, hier is een hoog risico.
[0:12:41] Deze mensen moesten zo snel mogelijk geïnformeerd worden.
[0:12:45] En daar zien wij dan ook op toe.
[0:12:46] Daar zal Nienke zo wat meer over vertellen.
[0:12:49] Nou, het laatste stukje.
[0:12:51] We hebben ook nog de Cyberbeveiligingswet.
[0:12:53] Die komt mogelijk vanaf juli in werking.
[0:12:56] De Tweede Kamer heeft daar volgens mij over gestemd en die komt nog naar de Eerste Kamer.
[0:13:01] De AP is daar geen toezichthouder op, op die cyberbeveiligingswet, maar we spelen wel een grote rol.
[0:13:06] Al die organisaties die onder die wet vallen, die verwerken natuurlijk ook persoonsgegevens.
[0:13:11] Dus bij grote datalekken betekent dit dat de CBW toezichthouders en wij waarschijnlijk bevoegd zijn om op te treden.
[0:13:19] Dus het zal enorm veel afstemming en samenwerking vragen van ons en van die toezichthouders.
[0:13:25] Dat is wat ik even wil meegeven.
[0:13:32] Dan wil ik jullie nu graag meenemen in de manier waarop wij toezicht houden op beveiliging van persoonsgegevens en datalekken.
[0:13:40] Zoals Aleid al zei, er worden al jaren duizenden datalekken per jaar aan ons gemeld.
[0:13:46] En wij kunnen niet op ieder datalek ingrijpen en dat hoeft ook niet per se.
[0:13:51] Dus wij houden risicogestuurd toezicht en dat betekent dat de datalekken waar de grootste risico's ontstaan voor mensen, eventueel de slachtoffers als de beveiliging niet op orde was, dat wij daar het meeste capaciteit op inzetten.
[0:14:05] Die grootste risico's zien we op dit moment het meeste bij data lekken door cyberaanvallen.
[0:14:11] Dat komt omdat cyberaanvallen ervoor zorgen dat diensten stil komen te liggen, maar er vaak ook voor zorgen dat persoonsgegevens van heel veel mensen in handen van mensen komen die echt daadwerkelijk kwade bedoelingen daarmee hebben.
[0:14:24] Dus daar is de schade enorm voor mensen.
[0:14:27] Ons toezicht doen we aan de hand van het wettelijk kader zoals zojuist door mijn collega Sjors is geschetst.
[0:14:34] En eigenlijk zijn er drie vormen van toezicht, zo noemen wij dat.
[0:14:39] Als eerste, en dat is denk ik een rol die de buitenwereld ook echt duidelijk van ons verwacht, dat is dat wij direct ingrijpen bij impactvolle data lekken.
[0:14:48] Dus dat zijn met name ook die cyberaanvallen.
[0:14:51] Dat direct ingrijpen, dat doen wij vaak door direct contact op te nemen.
[0:14:56] Dat kan op allerlei manieren.
[0:14:57] En de organisatie die dit misschien voor het eerst pas meemaakt, te informeren wat de regels zijn, wat ze moeten doen, want daar hebben wij natuurlijk veel ervaring mee.
[0:15:07] Maar ook direct duidelijk te maken wat wij van hun verwachten, zodat we niet achteraf, als het bijvoorbeeld te lang duurt voordat de betrokkenen worden geïnformeerd, dan nog moeten gaan bijsturen.
[0:15:18] Dus we zorgen eigenlijk dat vanaf dag 1, 2, 3 dat direct helder wordt gemaakt richting die organisaties.
[0:15:24] Een van de onderwerpen die dan voor ons erg belangrijk is, is dat slachtoffers van het datelek, dus jij en ik als de persoonsgegevens zijn gelekt, dat die goed en snel worden geïnformeerd.
[0:15:36] En dat is belangrijk, zodat mensen weten wat er met hun persoonsgegevens is gebeurd, maar vooral ook dat zij voorzorgsmaatregelen kunnen nemen, bijvoorbeeld tegen oplichting of alertheid voor identiteitsfraude.
[0:15:50] Dus dat is een belangrijke vorm van toezicht en daar zetten wij ook heel veel op in nu als AP.
[0:15:58] Een tweede vorm van toezicht noemen wij doorlopend toezicht op patronen en trends.
[0:16:03] Dus wij krijgen die duizenden meldingen per jaar door de jaren heen en daar gaan ons natuurlijk dingen in opvallen wat er wel en niet goed gaat.
[0:16:11] En dat willen wij zoveel mogelijk teruggeven aan de buitenwereld zodat organisaties daarvan kunnen leren.
[0:16:18] We ontdekken nieuwe patronen, nieuwe trends, nieuwe problemen en we houden dat lettend in de gaten en we geven dat bijvoorbeeld terug in aanbevelingen die we schrijven of in onze jaarlijkse datelijke reportage.
[0:16:33] Een voorbeeld hiervan is dat we al een aantal jaren zien dat wanneer er een data-lack in de keten plaatsvindt, dus bijvoorbeeld bij een IT-leverancier die weer heel veel organisaties bedient, dat dan die informatievoorziening niet goed op gang komt, dat er heel veel onduidelijkheid was wie nou wie precies moest informeren.
[0:16:50] En daar hebben wij dan op ingespeeld door aanbevelingen te geven hoe daar goed contractuele afspraken over gemaakt kunnen worden.
[0:16:56] En we starten op dit onderwerp ook een nieuw project over hoe die beveiliging bij die IT-leveranciers nou eigenlijk geregeld is.
[0:17:03] Want dat is gewoon heel kwetsbaar als daar een cyberaanval plaatsvindt.
[0:17:09] Een laatste vorm van toezicht is dat wij formeel onderzoek kunnen uitvoeren bij ernstige overtredingen.
[0:17:17] En daar hebben wij ook allerlei sanctiebevoegdheden, zoals de boete.
[0:17:22] Als wij naar aanleiding van een datalek vermoeden dat het datalek heeft kunnen ontstaan doordat er ernstige overtredingen mogelijk aan de hand waren, dan kunnen wij zo'n formeel traject in gang zetten en als wij een overtreding constateren ook een boetetraject opstarten.
[0:17:39] Wat wij wel belangrijk vinden om aan te kaarten, en dat is ook een keerzijde van deze mogelijkheid, is dat zo'n formeel onderzoek heel veel van onze capaciteit vraagt.
[0:17:49] Die capaciteit hebben we op dit moment onvoldoende om bij echt grote data te lekken waar we die vermoedens wel hebben telkens op te kunnen starten.
[0:17:58] En in een tijd waar die grote cyberaanvallen aan het orde van de dag zijn, zouden wij in ieder geval meer tijd willen besteden aan dat preventieve toezicht.
[0:18:09] Dus wat ik net noemde, die trends en patronen signaleren en dan teruggeven aan de buitenwereld, aan organisaties, wat ze daaraan kunnen doen om data lekken te voorkomen.
[0:18:21] Maar we willen ook graag meer tijd en capaciteit kunnen besteden aan die formele onderzoeken.
[0:18:28] Het is belangrijk dat organisaties, maar ook de samenleving die slachtoffer wordt van data lekken, dat zij duidelijk hebben dat gebrekkige beveiliging van persoonsgegevens ook gevolgen kan hebben.
[0:18:41] Namelijk dat er een sanctie kan volgen en wij verwachten dat wanneer dat duidelijk is en ook daadwerkelijk gevoeld wordt, dat organisaties dan zelf aan de slag gaan om preventief de beveiliging op orde te brengen.
[0:18:57] In een wereld waar datalekken in deze aantallen voorkomen, cyberaanvallen aan de orde van de dag zijn en het aantal slachtoffers bij die datalekken ook nog eens alleen maar toe lijkt te nemen, willen wij ook aandacht voor dit deel vragen.
[0:19:14] Ja, heel goed, dank u wel.
[0:19:16] Dat geeft al een aardig overzicht, denk ik.
[0:19:18] Maar ik neem wel aan dat er vragen zijn.
[0:19:20] Mevrouw Katman.
[0:19:22] Ja, dank, eh, eh, voorzitter.
[0:19:25] Misschien even voor de orde, zullen we gewoon per vraag meteen afwikkelen, want anders dan, eh, dat is makkelijk, zijn we een klein groepje.
[0:19:31] Graag gedaan.
[0:19:32] Ja, ik heb een vraag aan de heer Van Aken, eh, want het ging even over van dan, eh, eh,
[0:19:40] Dan gaan jullie aan de slag en u zei van dan kijken we eigenlijk hoe we de risico's terug kunnen brengen naar een acceptabel niveau.
[0:19:50] In hoeverre is nou het acceptabele niveau gelijk aan het wettelijke niveau?
[0:19:54] Hoe werkt dat?
[0:19:55] Hoeveel grijs gebied zit daar dan dat dat voor de ene organisatie iets anders is dan de andere?
[0:20:03] Ja, dat is een moeilijke vraag.
[0:20:04] Daar moet ik me in de praktijk ook over buigen.
[0:20:07] Er zijn organisaties, zoals de overheidsorganisaties, die vallen onder de BIO, de Baseline Informatie Overheid, volgens mij heet die.
[0:20:14] Daar is heel duidelijk wettelijk geregeld wat er dan aan maatregelen wordt verwacht.
[0:20:19] Maar er zijn ook organisaties, bijvoorbeeld het bedrijfsleven, wat niet per se gehouden is aan een wettelijk kader.
[0:20:25] Dus daar moeten we dan achteraf voor gaan invullen.
[0:20:27] afhankelijk van de risico's die wij ook zien, wat dan een acceptabel niveau zou zijn geweest.
[0:20:33] Dat maakt zo'n onderzoek gelijk heel lastig en dat maakt het misschien voor het bedrijf ook lastig om vooraf te bedenken wat ze nou precies moeten doen.
[0:20:40] Maar ja, dat is het kader waar we mee moeten werken.
[0:20:44] Zou ik hem mogen aanvullen?
[0:20:48] Maar wat wel duidelijk is, wettelijk, is dat iedere organisatie in kaart moet brengen wat de risico's zijn.
[0:20:56] en daar passende maatregelen op treffen.
[0:20:58] Dus die maatregelen zullen niet voor iedere organisatie hetzelfde zijn.
[0:21:01] Niet iedere organisatie verwerkt dezelfde gegevens of dezelfde hoeveelheid systemen of loopt zoveel risico om bijvoorbeeld gericht aangevallen te worden.
[0:21:10] Maar in ieder geval, iedereen moet zo'n risico-inventarisatie maken en maatregelen daarbij zelf bedenken en treffen.
[0:21:21] Mevrouw Swinkels heeft misschien een vraag.
[0:21:25] Ja, dank voorzitter en dank aan de sprekers voor hun presentatie.
[0:21:30] Ik heb meerdere vragen, maar ik zal beginnen.
[0:21:32] Ik was heel erg benieuwd allereerst naar het omvang van het probleem, want het zijn duizenden aanvallen en nou,
[0:21:40] Ik heb daar ook laatst aandacht voor gevraagd hier in de Kamer, ook AI-gedreven cyber aanvallen, wat het probleem denk ik in de toekomst alleen nog maar groter en groter zal maken.
[0:21:49] En tegelijkertijd geven jullie ook aan, sommige organisaties hebben misschien ook wel een beetje onder een steen geleefd, omdat jullie er ook van schrikken in welke beperkte mate ze daarop zijn voorbereid.
[0:22:02] Misschien toch een algemene vraag dan.
[0:22:06] Welk patroon zie je daarin?
[0:22:08] Wat dan nog niet goed geregeld is?
[0:22:09] En hoe kunnen we dan ons goed voorbereiden op ook die AI-gedreven cyberaanvallen?
[0:22:15] Ook vanuit jullie rol als toezichthouder.
[0:22:19] Als mijn aftrapje voor het beeld.
[0:22:25] Het hele maatschappelijk leven digitaliseert.
[0:22:28] Dat neemt per dag toe.
[0:22:30] En dat nog steeds.
[0:22:32] En de systemen worden omvangrijker, sneller en de computers worden goedkoper, sneller.
[0:22:40] Dus dat blijft om zich heen grijpen.
[0:22:43] Dus ook de techniek om te hacken,
[0:22:46] grijpt ook heel snel om zich heen.
[0:22:48] De laatste presentatie, ik weet het niet, ik heb het systeem nooit gezien, maar er zijn mytho's die laatst in het nieuws kwamen.
[0:22:54] Dat het zo snel is en dat je allerlei kwetsbaarheden kan ontdekken zonder dat mensen überhaupt weten dat die kwetsbaarheid erin zit.
[0:23:02] Dus dat neemt heel sterk toe.
[0:23:03] We zien ook het aantal datalekken toenemen.
[0:23:06] We moeten jullie iets over zeggen of dat ook gelijk het trend houdt met ingewikkelde datalekken en wat meer simpele datalekken.
[0:23:14] Dus dat zien we, over de hele trend zien we dat toenemen.
[0:23:19] En we zien ook, we waren net aan het voorbereiden bij de bespreking, je ziet ook wel die naïviteit, en jullie noemen het een mooi voorbeeld ook, dat je komt ergens en er is helemaal geen sprake nog van twee-factor-authenticatie bijvoorbeeld.
[0:23:29] Heel bizar, bij best wel serieuze data leggen.
[0:23:33] Dus je ziet, de kennis is ook hier en daar gewoon echt onder de maat en ook met een naïviteit dat je denkt,
[0:23:40] Veel bedrijven denken ook, ja, wat heeft men aan mijn data?
[0:23:45] Hoe interessant is dat wel niet?
[0:23:47] Maar het is altijd interessant.
[0:23:49] Dus die naïviteit, de groei, de snelle groei van de techniek, zie je dat het helemaal toeneemt en ook het aantal datalekken neemt ook toe.
[0:23:58] Ik denk ook, maar ik doe het even uit mijn hoofd, dat de cyberaanvallen dat ook volgens mij toeneemt.
[0:24:04] We hadden laatst ook cijfers van in ons bestuur.
[0:24:06] Hebben jullie dat zo paraat of niet?
[0:24:10] de ingewikkelde cyberhack, zeg maar, dat het aantal daarvan ook toeneemt?
[0:24:18] Nou, wat wij zien, is dat het aantal datalekken stijgt, maar wat we dit jaar ook heel duidelijk hebben gezien, is dat bijvoorbeeld zelfs met één datalek al miljoenen slachtoffers kunnen vallen.
[0:24:30] Dus het gaat om een stijging in het aantal datalekken, maar ook om een stijging in het aantal slachtoffers.
[0:24:35] Ik geloof dat wij in 2024 hebben berekend
[0:24:38] hoeveel mensen slachtoffer geworden zijn door een cyberaanval data-lack.
[0:24:42] Dat waren toen met alle cyberaanvallen in totaal zo'n 5 miljoen.
[0:24:46] Dit jaar hebben we een data-lack meegemaakt.
[0:24:49] waarbij één datalek al miljoenen slachtoffers zijn gevallen.
[0:24:53] Dus het is soms ook wel wat lastig in cijfers aan te duiden.
[0:24:56] Ja, we zien de aantallen datalekken, cyberaanvallen stijgen, maar ook de ernst en impact van die cyberaanvallen.
[0:25:05] We zien de beveiliging door de jaren heen wel enigszins verbeteren.
[0:25:11] Maar het dreigingslandschap verandert ook.
[0:25:14] Die wordt ook zwaarder.
[0:25:15] Dus wat vijf jaar geleden de eerste basisstappen waren, die hebben dan misschien nu een aantal, nog steeds niet alle, maar wel een aantal organisaties genomen.
[0:25:24] Maar dat is wat Sjors vertelde over die continuïteit daarin.
[0:25:29] het dreigingslandschap verandert en daar moet je ook op blijven inspelen.
[0:25:32] En dat is misschien ook om aan te kaarten over wat jij noemde over ontwikkelingen op het gebied van AI.
[0:25:39] Nou, dat wordt nu dus duidelijk neergelegd en uitgelegd.
[0:25:42] Hé, hier komen nieuwe dreigingen aan en daar moeten organisaties dus nu al mee aan de slag en niet afwachten tot die datalekken ook daadwerkelijk plaatsvinden.
[0:25:56] Ja, volgvraag.
[0:25:57] Ja, ik had stiekem ook een tweede vraag al verpakt in mijn eerste vraag, namelijk ik was ook nog benieuwd hoe autochtijd persoonsgeevens dan op haar eigen werk reflecteert, gelet op dit veranderende en toenemende dreigingsbeeld.
[0:26:12] Kunnen jullie daar iets over zeggen?
[0:26:13] Ja, dat vullen we straks ook aan.
[0:26:15] Wat we in algemene zin proberen... ...en er werd al gezegd dat een van die manieren van toezicht te houden is... ...dat je kijkt wat voor beelden zie je.
[0:26:22] Zie je een bepaald type heks achter elkaar... ...en wat wij dan proberen te doen... ...daar zit je al vrij snel in de capaciteitsvraag.
[0:26:28] Dus ook als wij een bepaalde trend zien of een bepaald type van heks... ...of een bepaald type van dreiging, dat we dat publiekelijk voorwaarschuwen.
[0:26:34] Of via branches en publiekelijk ook aan de bel trekken.
[0:26:37] Let op, dit is er aan de hand.
[0:26:39] Dat zouden we graag veel meer willen doen.
[0:26:42] En ook wat we willen doen, als we een bepaald type beveiligingsproblematiek zien, dat je daar soms via... Soms overleggen we met een bedrijf en zullen we samen bekendmaken wat we een tijdje geleden met een hek hebben gedaan, met hogescholenhekken.
[0:26:56] Dat we samen ook...
[0:26:58] Heel concreet, dat is openbare informatie denk ik al, met de hogeschool.
[0:27:02] Dit was een heel nare lek bij een hogeschool in Nederland.
[0:27:05] Er werd natuurlijk onderzoek bij ons gedaan en die ontdekten zelfs heks die de hogeschool zelfs nog niet eerder had gezien.
[0:27:13] En toen zeiden we ook, ja, daar moet je eigenlijk andere hogescholen voor gaan waarschuwen.
[0:27:17] Dus nu hebben we, omdat het zo'n ernstig lek was, hebben we daar een schikking mee getroffen.
[0:27:20] Maar onderdeel van de schikking is ook dat zij een groot congres gaan organiseren om anderen ervoor te waarschuwen.
[0:27:25] En daar gaan wij dan ook spreken, vanzelfsprekend.
[0:27:27] En die algemene voorrichting, dat je leert van de concrete heks en incidenten,
[0:27:33] die generiek die kennis gaan verspreiden, dat zouden we, dat doen we af en toe, maar dat zouden we graag meer willen.
[0:27:38] En in die zin reflecteren we daar wel op.
[0:27:40] En ik denk onze data, we noemen het wat huis uit aan datalek rapportage, die de komende maanden weer naar buiten komt, daar zullen we ook een paar van die trends denk ik wel in gaan opnemen, ook om weer in algemene zin te kunnen waarschuwen.
[0:27:53] En dat helpt dan hopelijk ook om die naïviteit wat steeds minder te laten worden.
[0:28:00] Mevrouw El-Boudiani, D66.
[0:28:03] Ja, dank u wel.
[0:28:04] En heel fijn dat het AP ons vandaag weer te woord kan staan.
[0:28:09] Ik vind de hoeveelheid datalekken van de laatste tijd heel erg zorgelijk, vooral de omvang ervan.
[0:28:14] En ik hoorde u daar straks ook al zeggen over eigenlijk is het beste dataminimalisatie.
[0:28:21] Want hoe minder gegevens er liggen bij een organisatie, hoe minder schade er is als er een datalek plaatsvindt of misschien wel gewoon helemaal niet.
[0:28:30] En daarom eigenlijk ook mijn vraag over de wallets.
[0:28:35] Dus we hebben vandaag bijvoorbeeld ook in een artikel in het NOS kunnen lezen dat er dus ook gewerkt wordt aan een NL-wallet en dat dat dus ook wel mogelijkheden eigenlijk biedt voor, nou ja, dataminimalisatie, omdat mensen dan minder hun data hoeven af te geven overal.
[0:28:53] En mijn vraag eigenlijk is, hoe kijkt het AP daarnaar en ook vooral als we dit goed willen doen, welke randvoorwaarden, waar moeten we dan op letten dat dat dus ook goed gaat en niet dat dat een andere grote breach wordt eigenlijk van de volgende ontwikkeling.
[0:29:12] Ja, dank, voorzitter, voor de vraag.
[0:29:14] Die normen hebben we natuurlijk benoemd, dataminimalisatie, maar ook opslagbeperkingen.
[0:29:20] Bewaar het niet langer dan het zaak is.
[0:29:22] Helaas treffen we best heel veel aan dat data gewoon echt onnodig lang worden bewaard.
[0:29:27] Men zal lang geen klant meer zijn, maar toch die gegevens nog in de systemen zitten.
[0:29:32] En alles wat helpt om de hoeveelheid data bij een concreet bedrijf, of ook bij overheidsinstanties trouwens, kleiner te houden, bijvoorbeeld door die wallets, dat juichen we alleen maar toe.
[0:29:42] Alleen hoe makkelijker het wordt om via de wallets bijvoorbeeld data uit te wisselen, dat is ook weer kwetsbaar.
[0:29:50] Nienke net zei dat we soms ook zien bij een bepaald lek.
[0:29:54] dat er heel veel andere lekken achterzitten.
[0:29:57] En we hebben soms ook wel het idee dat men ook gericht aanvalt door die knooppunten, van ICT-leveranciers of dienstverleners waar heel veel klanten zitten.
[0:30:07] Dan pak je natuurlijk heel veel bestanden van allerlei verschillende klanten.
[0:30:10] Dus hoe meer van die knooppunten er zijn, hoe nog belangrijker het wordt om dat heel, heel goed te beveiligen.
[0:30:19] Maar alles wat helpt, bijvoorbeeld die wallets, steunen we zeer.
[0:30:25] Ja, dank u wel.
[0:30:28] En eigenlijk hoor ik het AP dus ook zeggen dat het deels dus ook echt nog steeds wel heel erg ligt bij alsnog het beter beveiligen van gewoon hun eigen toko, om het zomaar te zeggen.
[0:30:41] En ik schrik wel van het feit dat daar nog steeds heel veel naïviteit is naar alle berichtgeving.
[0:30:49] Ik weet niet of het AP daar wat over kan zeggen, maar is dit vooral het geval bij de wat grotere bedrijven?
[0:30:56] Of zijn het dan vooral de kleinere bedrijven die juist minder middelen hebben en minder personeel om dit te regelen die meer gevaar lopen?
[0:31:04] Of zijn het toch meer de grotere bedrijven die eigenlijk meer gevaar lopen omdat zij aantrekkelijker zijn voor hackers?
[0:31:12] Ik denk dat we... Zonder namen en rugnummers.
[0:31:15] Kunnen we wat voorbeelden noemen van wat dingen waarvan jullie zeggen dat is eigenlijk... Waar wij van schrikken, zeg maar even.
[0:31:23] Zal ik beginnen?
[0:31:29] U vroeg specifiek naar het verschil tussen kleine en grote ondernemingen en hoe het niveau daar dan is.
[0:31:36] Kleine ondernemingen steunen heel vaak op de expertise van andere leveranciers.
[0:31:41] Dus bijvoorbeeld MFA, moeten sommige kleine ondernemingen nog voor kiezen, dat wil ik erbij.
[0:31:53] Het zou natuurlijk veel fijner zijn als een grote IT-leverancier dat
[0:31:57] ...standaard aanbiedt en dat je dan hooguit de oplossing... ...of de mogelijkheid hebt om dat uit te zetten... ...als dat niet bij je organisatie past.
[0:32:04] Dus kleine organisaties zal het kennisniveau lager zijn... ...maar die steunen dus weer vaak op professionals.
[0:32:12] Bij grote organisaties schrikken wij dus toch ook wel nog regelmatig... ...dat wij basisbeveiligingsmaatregelen... ...die bijvoorbeeld ook al jaren door het Nederlands Cyber Security Center... ...worden genoemd als dit zijn echte vijf basismaatregelen...
[0:32:26] dat die niet op orde waren.
[0:32:28] Dus dat is die tweede factor bij inloggen, netwerksegmentatie, überhaupt zo'n risicoinventarisatie maken.
[0:32:37] Ja, dat komen we echt nog bij heel veel van de grote datalekken tegen, dat dat ergens niet op orde is en dat dat uiteindelijk ook de ingang heeft kunnen zijn van zo'n datalek.
[0:32:49] Een kleine aanvulling dan ook nog.
[0:32:53] Waar we ook wel eens van schrikken is als een organisatie er zelf niet achter is gekomen dat er een daadtrek is geweest, maar dat van bijvoorbeeld hackers moet vernemen.
[0:33:02] Dus dat was toen aan de hand bij die hoge school.
[0:33:06] Ik heb het al net gezegd met het wettelijk kader.
[0:33:07] Beveiliging betekent ook dat je op kan sporen dat er iets is gebeurd, dat de alarm afgaat en dat je dan adequaat kan reageren.
[0:33:14] Dus als dat bij grote organisaties niet op orde is, dan schrikken wij daarvan.
[0:33:20] Wat wij dus heel graag zouden willen is dat je, als je dit ontdekt, dat je dat groot kunt maken en uit kunt venten.
[0:33:30] En naar soortgelijke bedrijven toegaat van hoe zit het eigenlijk met uw beveiliging op dit punt.
[0:33:36] Daar hebben we geen ruimte van voor.
[0:33:38] In de voorbespreking zeiden we wel, als we daar echt fors wat zouden kunnen uitbreiden, dan kun je best heel veel data lekker gewoon feitelijk voorkomen.
[0:33:48] Dus het is best naar om te moeten constateren, doordat je daar de ruimte niet voor hebt.
[0:33:52] Je dat niet kunt voorkomen.
[0:33:54] En dat is niet altijd slechtigheid van bedrijven.
[0:33:57] Naïviteit staat niet altijd met slechtheid of opzet of zo.
[0:34:02] Maar er is soms oprechte naïviteit van nooit aan gedacht.
[0:34:07] En dan kun je heel veel ellende voorkomen.
[0:34:10] Er zit soms ook bij kleine bedrijven, best kleine bedrijven, hele gevoelige informatie.
[0:34:15] Gezondheidsgegevens of financiële gegevens of politieke.
[0:34:18] Ze hebben hele kleine clubs.
[0:34:20] De gevoelige dingen zitten niet altijd bij grote organisaties.
[0:34:25] Inmiddels aangeschoven, de heer Goudswaard van JN20, welkom.
[0:34:29] Heeft u ook een vraag?
[0:34:30] Heeft u de briefing niet gezien, maar wel de stukken gelezen natuurlijk.
[0:34:33] Ja, dank voorzitter dat ik mag aanschuiven.
[0:34:35] Ik kom net uit de technische briefing stikstof, maar ik heb, ik moest even een collega vervangen.
[0:34:43] Ik heb zeker een vraag aan de heer Wolfsen of hij zou willen reflecteren op het volgende.
[0:34:49] Leidt het open karakter van artikel 5 AVG ertoe dat organisaties
[0:34:54] moeite hebben met het bepalen van passende bewaartermijnen, waardoor in de praktijk situaties ontstaan waarin persoonsgegevens langer worden bewaard dan toegestaan.
[0:35:10] Een beetje ja, een beetje nee, zeg maar.
[0:35:12] Het is inderdaad de AVG en slash de richtlijngegevensbescherming van rechtsontraving, die ik net ook heb genoemd, die voor justitieinstanties geldt, daar geldt het namelijk het soortgelijke, dat beginsel wat u noemt, artikel 5, dat is een soort open norm.
[0:35:29] Dat vinden wij heel goed, omdat het techniek neutraal is en techniek onafhankelijk.
[0:35:33] Dus je moet steeds meegolfen als de technische mogelijkheden om in te breken groter worden.
[0:35:39] Dan moet je je data beter beveiligen.
[0:35:41] Als je data meer gevoelig is, moet je ook zwaardere maatregelen treffen.
[0:35:46] Dat beginsel van vijf is uitgewerkt in een aantal andere artikelen.
[0:35:50] De collega's hebben het net ook toegelicht.
[0:35:52] Het was helaas net voor uw komst.
[0:35:53] Maar dat is wat gedetailleerder uitgelegd in andere artikelen.
[0:35:56] Die zijn al meer specifiek.
[0:35:58] Los daarvan blijft wel het vraagstuk dat... Ja, heel simpel, bewaartermijnen.
[0:36:02] Wat is nou een redelijke bewaartermijn voor?
[0:36:04] Bij sollicitaties of allerlei... Soms zijn er wettelijke bepalingen voor.
[0:36:08] Die kunt u vaststellen.
[0:36:09] Belastingdienst is volgens mij zeven jaar.
[0:36:11] Er zijn allerlei wettelijke normen.
[0:36:13] Daar waar het niet het geval is...
[0:36:15] Moet een bedrijf zelf goed nadenken, ja, hoe lang heb ik dit nog eigenlijk nodig voor wat?
[0:36:23] Als ze daar niet uitkomen, kunnen ze ons om raad vragen, dan geven we uitleg.
[0:36:27] Nooit individueel, we zijn geen adviesbureau op zich, maar via brancheorganisaties en dan maken we wel...
[0:36:31] richtlijnen voor bepaalde type data.
[0:36:34] Uit mijn hoofd zeg ik bijvoorbeeld sollicitatiebedrijven hebben we dat een keer gedaan, hoe lang je die bewaart.
[0:36:38] Dat doen we wel en dat geeft een algemeen norm uitleg.
[0:36:41] Wat we natuurlijk niet doen, dat als een bedrijf een integere afweging heeft gemaakt,
[0:36:47] En we kunnen het volgen, maar we zeggen, dat is toch te lang.
[0:36:51] Dat gaan we natuurlijk niet beboeten.
[0:36:53] Als we het netjes hebben afgemaakt, dan zeggen we wel, het moet korter.
[0:36:55] Het moet eruit.
[0:36:56] Dus u moet het aanpassen.
[0:36:57] Als u dat niet doet, hebt u een probleem met ons.
[0:36:59] Maar dan geven we wel de ruimte om het aan te passen, als we zelf die eerlijke afweging hebben gemaakt.
[0:37:04] Wat we helaas toch wel vaak zien, is dat die afweging überhaupt niet wordt gemaakt.
[0:37:11] En men heeft die data en die zit in de bestanden en er wordt gewoon niet geschoond.
[0:37:16] Ja, en dat is natuurlijk sowieso de soort bazaal niet goed.
[0:37:20] Maar er zit een soort, dat proeft ook in mijn woorden, een soort grijs gebied waar we dan als redelijke toezicht houden wel tegen optreden, uitleg geven.
[0:37:27] En er zijn van die buitengrenzen waar elk normaal en redelijk denkend mens kan zien, zolang dit bewaren voor het doel, dat hebt niet nodig.
[0:37:35] Wat hartstikke gezegd.
[0:37:37] Maar de normen kunnen we goed mee werken.
[0:37:40] Ik zou misschien wel willen aanmoedigen, als het om grote thema's gaat, om er misschien als wetgeving nog hier en daar normen voor bewaartemijnen.
[0:37:48] Dat kan denk ik best wel.
[0:37:50] Dat wil zeggen, wij toetsen dat dan.
[0:37:52] Dus u kunt die normen niet eindloos oprekken.
[0:37:53] Dan komt u in strijd met het Europese recht natuurlijk.
[0:37:57] Maar voor het kader van rechtszekerheid zou de wetgeving best wel in wetgeving, als de data door de overheidsinstantie moet worden gebruikt, kun je ook wettelijke termijnen in opnemen.
[0:38:09] Heel goed.
[0:38:09] We hebben nog wel tijd voor een tweede rondje.
[0:38:13] Mevrouw Kappen is het maar heel kort uit het woord geweest.
[0:38:16] GroenLinks-BVLA, gaat uw gang.
[0:38:18] Heel goed.
[0:38:20] Dank u voorzitter dat u mij zo lang het woord geeft.
[0:38:23] U zei net, volgens mij was het mevrouw Koldhoff, veiligheid moet eigenlijk standaard worden aangeboden.
[0:38:30] Dus bijvoorbeeld door grote IT leveranciers, maar je ziet ook wel steeds meer gewoon bij dienstverlening richting de consument dat je dan nog voor een klein bedragje een extra beveiliging of zo kan inkopen.
[0:38:43] Hoe regelen we dat?
[0:38:45] Dat eigenlijk soort van de
[0:38:47] goede beveiliging dat dat standaard wordt aangeboden?
[0:38:56] Ja, ik ga eventjes hard op nadenken wat daar opties voor zouden zijn.
[0:39:00] Dus wat wij stimuleren is dat kleine partijen zich verenigen, bijvoorbeeld in de branche, en dan voldoende kracht en onderhandelingskracht hebben dat het inderdaad
[0:39:10] wordt aangeboden of standaard wordt aangeboden.
[0:39:14] Ik denk ook dat de grote organisaties en leveranciers het ook steeds meer beginnen te zien, want je wil jouw naam ook niet gekoppeld hebben aan meerdere data-lekken, maar daar zou zeker nog meer winsten te behalen vallen.
[0:39:28] En ja, dat zouden dus thema's kunnen zijn die wij adresseren of nader kunnen onderzoeken van hé, ligt het nou
[0:39:34] Hier direct aan, wat verwachten wij van die grote partijen?
[0:39:38] Kunnen we dat op basis van ons wettelijk kader afdwingen?
[0:39:40] Of doen we dat gewoon in goed gesprek vanuit wat de hele maatschappij eigenlijk wil en verwacht?
[0:39:45] Dus dat zijn acties die wij af en toe al ondernemen, maar misschien nog meer zouden willen doen.
[0:39:54] Even hetzelfde hardopdenken.
[0:39:55] Ik zit even te denken, die AI-wetgeving komt eraan.
[0:39:57] Er zitten natuurlijk allerlei bepalingen dat het wettelijk verplicht wordt, natuurlijk.
[0:40:00] Dus in dit soort wetgeving zit het in, maar ik zit te denken als je...
[0:40:03] Er is ook allerlei wetgeving, productwetgeving.
[0:40:06] Ik zou me iets kunnen voorstellen, ik heb niet concreet of direct een voorbeeld van, maar bepaalde producten waarvan je honderd procent zeker weet dat daar persoonsgegevens mee verwerkt worden, zou je als wettelijke verplichting best kunnen opnemen dat die producten moeten zijn voorzien van adequate beveiliging in het product zelf, zeg maar, los van dat er sprake is van AI of zo.
[0:40:26] Dus dat zou nog een...
[0:40:28] ...een mogelijkheid zijn voor u om dat via de wet te verplichten aan verkopers van producten... ...waarvan je weet dat er data mee wordt verwerkt.
[0:40:40] Ja, de deurbelcamera's, dat is een bekend voorbeeld.
[0:40:44] Ja, dat is een heel mooi voorbeeld inderdaad.
[0:40:46] Die deurbelcamera's, die worden heel veel gebruikt.
[0:40:50] Die staan vaak veel te ruim.
[0:40:52] En dat mag dus niet.
[0:40:53] Er worden letterlijk dagelijks gebeld door mensen.
[0:40:56] Die vinden dat heel vervelend als je door een straat loopt en de buurman kan je in de gaten houden.
[0:41:01] Dat is gewoon vervelend.
[0:41:02] Die producten worden verkocht.
[0:41:06] De verkoop van die producten is legaal.
[0:41:11] Daar gaan ook geen eisen voor volgens mij.
[0:41:14] De fout zit dan in het gebruik.
[0:41:16] Het zou heel goed zijn als bij deurbellen waarvan je 100% zeker weet dat die worden gebruikt om mensen te filmen.
[0:41:23] Wat mag als het om je eigen bescherming gaat, als ze op je eigen deur zijn gericht, op je eigen terrein.
[0:41:27] Nou, u kent de normen daarvoor.
[0:41:29] Maar dat die deurbellen niet op de markt mogen worden gebracht als er niet standaard de instellingen privacyvriendelijk staan.
[0:41:38] Zoals Tesla nu ook auto's op de markt brengt, dat staat ook niet in de wet... ...maar dat hebben wij met Tesla besproken en indringend geadviseerd.
[0:41:46] Als je Tesla koopt, staan je privacy-instellingen privacyvriendelijk.
[0:41:49] Alles staat uit.
[0:41:50] En je moet het zelf aanstellen, dus daar ben je zelf verantwoordelijk voor.
[0:41:53] Als je met de deur bellen dat hetzelfde zou doen... ...zouden wij, denk ik, al wel een stuk geholpen zijn.
[0:41:59] En ook als het gaat om dataopslag, aan wat die data wordt opgeslagen, et cetera... ...dus daar kun je via het product...
[0:42:04] via de productwetgeving kun je best wel enorm behulpzaam zijn voor burgers die het zelf ook niet precies weten en niet precies weten wat mag wel en wat mag niet.
[0:42:19] Ja, dank u wel.
[0:42:19] En dank ook voor het eerdere antwoord op mijn vraag.
[0:42:21] Daar was ik erg blij mee als het gaat om die AI-gedreven cyberaanvallen en ook hoe daarmee om te gaan, omdat ik ook wil voorkomen dat het taboe op data lekker nog groter wordt, waardoor meldingsbereidheid et cetera alleen maar afneemt.
[0:42:33] En ik denk juist heel goed als we kennisdeling juist ook aanmoedigen en dat publiek waarschuwen.
[0:42:39] Congressen et cetera helpen daar denk ik wel bij.
[0:42:42] En in dat kader had ik ook eerder in de Kamer een motie ingediend rondom die ketens samenwerken.
[0:42:47] Hoe kunnen nu kleine en grote bedrijven in dezelfde keten ook op elkaars inzet meeliften en elkaars inspanningen.
[0:42:56] Dus in dat kader was ik ook wel benieuwd naar toch ook diezelfde IT-leveranciers die net even ter sprake kwamen.
[0:43:02] Want je zou ervan uit moeten kunnen gaan dat die juiste kennis heeft om veilige software aan te leveren voor jouw bedrijf.
[0:43:12] En op welke manier zouden we die samenwerking los van het standaard aanbieden, maar hoe zouden we die samenwerking nog kunnen verbeteren?
[0:43:21] Dat ook bijvoorbeeld kennis over de veiligheid van software
[0:43:26] ook bekend is bij meerdere afnemers, of in zo'n hele keten meteen ook wordt gedeeld, zodat we ook...
[0:43:34] Ik heb namelijk uit de praktijk, ik zou ook geen rugnummers meegeven, maar ik heb uit de praktijk ook verhalen gehoord dat bij het ene bedrijf wordt het niet gebruikt omdat het niet veilig zou zijn, terwijl bij een andere organisatie wordt het gewoon wel gebruikt.
[0:43:46] En ja, hoe kunnen we in die ketensamenwerking daar zinvol meer resultaat behalen?
[0:43:54] Ik heb jullie nog even tijd om erover na te denken.
[0:43:56] Ik zit nu even te denken aan waar het nu goed is geregeld.
[0:43:58] Bijvoorbeeld straks die AI-wetgeving.
[0:43:59] Dan worden we marktoezorg op het product.
[0:44:03] En als er dan ergens een product wordt gebruikt en het is niet conform de AI, dan kun je dat product uit de markt halen.
[0:44:09] Dat is heel goed, maar dan moet het wel een product zijn wat kwalificeert onder de AI-act.
[0:44:14] En heel veel van de producten waar wij natuurlijk mee te maken hebben, die kwalificeren niet onder de AI-act, dan kan dat dus niet.
[0:44:20] Dat zou je wel willen, maar dan heb je weer wetgeving voor nodig, omdat uiteindelijk als het een legaal product is en het wordt legaal gebruikt, dan zit de verantwoordelijkheid bij degene die het gebruikt.
[0:44:34] En je hebt verder niets.
[0:44:36] Hebben jullie een briljante idee in hoe je dat...
[0:44:40] Ja, we zaten met z'n tweeën even te schrijven.
[0:44:44] Inderdaad, taboe eraf bij datelijken en het delen van verhalen.
[0:44:50] Ik heb daarnet iets uitgelegd over het wettelijk kader, maar misschien ben ik dat vergeten te zeggen.
[0:44:54] Het hebben van een datelijk aan zich is geen overtreding van de wet.
[0:44:57] Dus je kunt ook gewoon vrij melden bij ons.
[0:45:01] Een overtreding zou bijvoorbeeld zijn als je beveiliging echt niet op orde is geweest.
[0:45:05] Of als je bijvoorbeeld niet bij ons gaat melden.
[0:45:08] Dan heb je een overtreding.
[0:45:09] Dus het hebben van de data, het kan iedereen voorkomen.
[0:45:11] Het gaat er ook vooral om hoe je dan daarna op reageert.
[0:45:15] En daarom is het voor het van de hogeschool wel mooi dat we dan eigenlijk vragen van deel het verhaal, deel de lessen die je hebt geleerd.
[0:45:21] Want voor andere organisaties, andere scholen is dat dan bijvoorbeeld ook heel relevant om te horen.
[0:45:26] En ik denk als we die ketensamenwerking echt willen versterken, dat we echt moeten inzetten op de brancheverenigingen.
[0:45:33] Daar hebben we op zich goed contact mee.
[0:45:37] Dat zijn de aangewezen organisaties, denk ik, die in zo'n hele keten...
[0:45:42] dingen over beveiliging uit kunnen zoeken, zodat, om een voorbeeld te noemen, huisartsen dat niet allemaal los van elkaar zelf moeten gaan doen, want die zullen heel druk bezig zijn met zorgverlenen en misschien niet zozeer met multifactor-authenticatie op hun systemen.
[0:45:58] Het hebben van het lijken is inderdaad geen overtreding.
[0:46:01] Helaas moeten we wel constateren dat er vaak, als we erin kijken, wel een overtreding onder ligt, omdat de beveiliging dus niet op orde was, omdat er teveel data hadden, omdat het te lang bewaard is, et cetera.
[0:46:09] Dus het zit er dan wel onder.
[0:46:11] En dan nemen we mensen ook aan de hand om dat te corrigeren.
[0:46:14] En daarvan zouden we vragen, want dan zitten we weer met het flauwe capaciteitsprobleem, dan zou je dat graag groter willen maken.
[0:46:21] en zichtbaar willen maken, zonder het bedrijf te verklappen waar het lek heeft plaatsgevonden, maar zeggen in jullie branche heeft dit plaatsgevonden, alle huisartsen, een tak van sport, let hierop, dit is niet op orde of deze programmatuur is niet veilig.
[0:46:38] Dat is ook de zin van de datalekken.
[0:46:40] Dat is een plicht om bij ons te melden dat er een incident heeft plaatsgevonden.
[0:46:44] En eigenlijk moeten we gewoon eerlijk bekennen dat we vrij reactief zijn, dat betrekt dat dit lek
[0:46:49] Deze slachtoffers goed worden geïnformeerd.
[0:46:52] Het snel wordt dichtgezet.
[0:46:53] Het niet raalt bij dit bedrijf.
[0:46:56] Maar je moet het groter kunnen maken.
[0:46:58] De branche erbij kunnen betrekken.
[0:46:59] Een congres erover organiseren.
[0:47:01] En die stap zouden we wel graag willen maken.
[0:47:03] En daar kun je echt, zijn we ervan overtuigd, heel veel datalekken voorkomen.
[0:47:07] En dan krijg je er wat meer grip op.
[0:47:13] Goed.
[0:47:14] Mevrouw Boudiani, heeft u nog een vraag?
[0:47:17] Ja, zeker.
[0:47:18] Dank u wel.
[0:47:19] U begon daar straks ook over sancties en boetes opleggen, dat u die bevoegdheid ook heeft.
[0:47:28] Maar een data-lek hebben aan zich is dus niet strafbaar.
[0:47:32] Dus hoe maakt u de afweging wanneer u een bepaalde sanctie of een bepaalde boete
[0:47:38] en wanneer zou dan een sanctie volstaan en wat valt daar dan precies onder?
[0:47:44] Want een boete is dan ook weer iets anders dan een sanctie, dus ja.
[0:47:52] Als die dadelijk binnenkomt, worden gewogen, hoe erg is het resultaat?
[0:47:55] En dat wordt aan de hand van allerlei criteria.
[0:47:56] Kunnen we misschien straks in de beslotenheid nog wel iets meer over zeggen, hoe we die afweging maken?
[0:48:01] We moeten ook onze toezichtcriteria niet al te publiek maken, zodat mensen erop kunnen anticiperen.
[0:48:07] Maar voor de openbaarheid kan ik wel zeggen dat we dan kijken wat voor een type lek is het.
[0:48:12] Zijn het gevoelige gegevens ja of nee?
[0:48:14] Is een bedrijf al eerder gewaarschuwd ja of nee?
[0:48:17] is het een evidente, grove, misschien wel willens-en-wetens gepleegde overtreding, of dat je het risico hebt genomen dat je wel wist dat je wat moest doen, maar niet hebt gedaan.
[0:48:28] Dus dat soort wegingen maken we.
[0:48:30] Maar ik dacht dat collega Koolthof net heeft gezegd, als je een onderzoek doet, en daar kunnen we ook in de besluitheid iets meer over zeggen nog straks, het kost best wel heel veel tijd en heel veel energie.
[0:48:39] En dat gaat dan weer ten koste van al die preventieve dingen die je wilt gaan doen.
[0:48:42] Dus we maken daar best heel serieus afwegingen.
[0:48:45] Gaan we hier doorpakken, ja of nee?
[0:48:47] En als je dat doet, wat zijn dan de consequenties voor de capaciteit?
[0:48:52] En als we dat doen, dan kun je boetes opleggen en die kunnen best heel draconisch en heel groot zijn.
[0:49:00] Daar gaat ook wel een enorme preventieve werking vanuit, uiteraard.
[0:49:03] Dat is dan de straf, maar je zult begrijpen dat we qua capaciteit... ...heb je voor een paar onderzoeken tijd.
[0:49:11] Maar in beslootheid kunnen we straks wel iets meer zeggen... ...hoe dat precies dan loopt en waar we het wel doen... ...of misschien ook al aan het doen zijn.
[0:49:18] Moeten we even kijken wat we daarover kunnen vertellen en niet, ja.
[0:49:25] Goudswaard, nog een vraag?
[0:49:28] Nog één korte vraag.
[0:49:30] De heer Wolfsen gaf zo net al een beetje een doorkijkje, maar ik stel toch de vraag.
[0:49:36] Is het volgens u wenselijk dat toezichthouders of wetgevers in de toekomst meer concrete normen ontwikkelen voor opslagbeperking, zodat de organisaties minder afhankelijk zijn van open interpretatie van het noodzakelijkheidscriterium?
[0:49:53] Ja, antwoord daarop is ja.
[0:49:56] We zeggen ook wel tegen de verschillende branches... ...als jullie worstelen met problemen over dit soort normen, bewaartermijnen, wat heb je nodig?
[0:50:03] Kom dan bij ons.
[0:50:05] Individuele bedrijven is lastig, doen we niet.
[0:50:07] We hebben wel elke dag de telefoon en worden elke dag gebeld.
[0:50:10] Ik luister ook zelf een aantal keren.
[0:50:12] ...per jaar meer aan de telefoon.
[0:50:13] Ik zeg wel weleens huiselijk, dan weet je weer waar je... ...'s morgens je bed vooruit komt.
[0:50:16] En ik kan u zeggen, ook elke keer als ik zit... ...belt er ook vaak wel iemand die slachtoffer is geworden van een lek.
[0:50:22] En zeker als dan bijvoorbeeld gezondheidsgegevens zijn... ...dan kunnen mensen zeer, zeer geëmotioneerd zijn aan de telefoon.
[0:50:28] Heel heftig zijn, best serieus.
[0:50:30] en heftige gesprekken.
[0:50:32] Maar als dit soort algemene normen spelen, en mijn worstel daar echt mee, dan geven we actief uitleg of guidance, zoals wij het al noemen, van dit is in deze sector een redelijke bewaartermijn.
[0:50:45] Of dit is een redelijke hoeveelheid verwerking voor data voor dit doel.
[0:50:50] Als het om wettelijke verplichtingen gaat, dan bepaalt u dat als wetgever.
[0:50:54] Welke data mag je gebruiken voor dat doel?
[0:50:57] Als het om de private sector gaat en er geldt geen specifieke wetgeving voor, dan zit men soms echt te worstelen.
[0:51:03] En dat doen we ook best wel met een zekere regelmaat.
[0:51:05] En wat we ook doen, is dat we dat proberen in een Europees verband af te stemmen.
[0:51:09] Want elk land heeft natuurlijk toezicht te houden, zoals wij.
[0:51:11] Sommigen wat meer.
[0:51:12] Duitsland heeft een hele serie vanwege het federale systeem.
[0:51:15] Maar in heel Europa proberen we ook die normen af te stemmen.
[0:51:19] Dus als er een norm wordt vastgesteld en dat treft een grotere belangrijke tact van sport, dan stemmen we dat Europees af, zodat ook in heel Europa diezelfde normen op dezelfde manier worden uitgelegd.
[0:51:29] Dat creëert rechtszekerheid voor die bedrijven ook.
[0:51:36] Nou, helemaal mee eens natuurlijk, gesloten normen geven duidelijkheid, maar wat ik er wel bij aan wil geven in het licht van de datalekken en beveiliging van persoonsgegevens die wij zien, is dat dus ook waar organisaties wel voor zichzelf of op basis van de wet duidelijke bewaartermijnen hebben, dat de uitvoering daarvan dan, om dus voor te zorgen dat die gegevens daadwerkelijk zijn verwijderd, dat daar ook nog heel erg zwart kort wordt geschoten.
[0:52:06] Dus een deel van de oplossing, maar helaas niet helemaal binnenkomen.
[0:52:11] Heel goed.
[0:52:12] Het is nu bijna vijf uur.
[0:52:14] Ik stel voor dat we toch nog een klein stukje gebruiken voor een besloten bijeenkomst.
[0:52:21] Dus ik stel voor dat we heel even schorsen en dan de zaak gereed maken hier voor een voortgang in een besloten sfeer.
[0:52:29] Ga links geschorsen.
