Datalek? Pas op voor boete!

Bijna iedere week komen tal van organisaties in het nieuws vanwege het lekken van gevoelige bedrijfsdata. De oorzaak zit meestal in kwaadaardige aanvallen door hackers. Het gevolg is dat de privé-gegevens van met name consumenten op straat komen te liggen. Voor staatssecretaris Teeven van Justitie en Veiligheid een reden tot een wetsvoorstel, waarbij bedrijven en instellingen kunnen worden beboet als zij hun beveiliging niet op orde hebben (bron).

Hoewel je er over kunt twisten of de meeste datalekken daadwerkelijk door kwaadaardige aanvallers veroorzaakt worden is de strekking van het verhaal dat je als organisatie ervoor moet zorgen dat je beveiliging op orde is omdat je anders een boete kunt krijgen.

Nu moet je als organisatie niet wakker liggen van die boete. Je moet je beveiliging niet op orde brengen om boetes te voorkomen. Nee, je moet je beveiliging op orde hebben omdat je gegevens van klanten in bezit hebt die ze je in vertrouwen hebben gegeven. Je moet zorgen dat je beveiliging op orde is om waardevolle data niet te verliezen. Je moet je beveiliging op orde hebben om te voorkomen dat je bedrijfsprocessen stil vallen. Nou ja, zo kunnen we nog wel even doorgaan met de redenen voor een goede beveiliging.

Die redenen zijn er trouwens al jaren maar die lijken binnen veel organisaties toch niet goed aan te slaan. Het is voor velen een ver van mijn bed show onder het mom van: dat gebeurt ons toch niet.

Misschien is het dan wel goed om boetes op te leggen en misschien is het wel goed als managers inderdaad meer aandacht aan beveiliging gaan besteden om die boete te voorkomen (en daarmee hun eigen bonus veilig te stellen).

Waarom je het ook doet, houd er rekening mee dat beveiliging alleen maar goed geregeld kan zijn als dat vooraf wordt gegaan door een goede manier van risico management, door de juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen. En als we dan toch zo lekker bezig zijn, zullen we dan ook direct de business continuity op orde brengen? Gaat het dan toch fout dan kunnen we er in ieder geval voor zorgen dat de schade beperkt blijft.

Heb je als security manager nooit goed draagvlak kunnen krijgen bij het management dan kun je het nu misschien proberen door ze te wijzen op het risico van boetes. Wij weten dan wel dat we het eigenlijk over bijvoorbeeld het voorkomen van imagoschade hebben…maar dat hoeven zij niet te weten.

Regering wil boete slechte beveiliging verhogen

De regering wil de boete voor slechte beveiliging bij bedrijven die persoonsgegevens laten lekken opschroeven. Waar bedrijven in een concept-wetsvoorstel 200.000 euro boete konden krijgen, wordt dat in het definitieve voorstel 450.000 euro. De boete kan opgelegd worden aan elk bedrijf waarvan persoonsgegevens zijn uitgelekt (bron).

Hoe vaak horen we binnen bedrijven niet dat we die beveiligingsmaatregelen nemen omdat het nu eenmaal van de Compliance afdeling moet? Ik hoor het al jaren om me heen en het lijkt er op dat niemand zich meer afvraagt waarom Compliance er eigenlijk op controleert.

Nu zijn er natuurlijk Compliance afdelingen die zelf ook geen flauw idee hebben en die zich vergeten af te vragen waarom ze eigenlijk controleren. Maar er zijn ook veel competente Compliance medewerkers te vinden.

Laten we er iets verder op inzoomen. Er zijn regels om risico’s af te dekken. Als we kunnen achterhalen welke risico’s dat zijn dan kunnen we daar goede “controls” op zetten. We moeten dus niet langer controleren om te controleren maar we moeten controleren om risico’s af te dekken. Als wij goed voor ogen hebben welke risico’s dat zijn dan kunnen we dat aan de medewerkers uitleggen en dan wordt het voor iedereen een stuk duidelijker waarom we sommige beveiligingsmaatregelen nemen.

En, toegegeven, er zijn binnen bedrijven veel, heel veel, beveiligingsmaatregelen die niet terug te leiden zijn tot een risico. Daarom pleit ik zelf altijd voor minder maatregelen in plaats van meer maatregelen en alles dicht spijkeren.

Het gaat hier te ver om alles volledig uit de doeken te doen (daar kun je hele boeken over schrijven als het moet en je mag me altijd vragen dan kom ik het bij een bak koffie aan je toelichten). Zaak is wel dat we verder kijken dan onze neus lang is en laten we dan bovenstaand artikel als voorbeeld nemen.

Je zou kunnen denken dat we maatregelen nemen om te voorkomen dat we een boete krijgen (voor veel bedrijven is dit ook zo, het gaat om kosten en omzet). Maar het gaat ook om imago. Je wilt dus maatregelen nemen om je imago te beschermen. Dat is allemaal leuk en aardig, maar uiteindelijk gaat het er natuurlijk om dat je de gegevens van je klanten beschermd. Dat is de reden dat we beveiliging moeten inregelen en dan is het opleggen van boetes slechts een pressiemiddel om het voor elkaar te krijgen.

We moeten als bedrijven niet langer “compliant” willen zijn, nee, we moeten er naar streven om “in control” te zijn. Hiermee beschermen we de gegevens van onze klanten en voorkomen we dat we hoge boetes krijgen. Er is nog een lange weg te gaan en die weg begint bij het bewust worden van de zaken die we moeten regelen en met name het antwoord op de vraag: waarom we dat moeten regelen.

Politie waarschuwt voor nepboetes

De politie Noord-Holland Noord waarschuwt voor internetoplichting via e-mails die van de politie afkomstig lijken. De slachtoffers krijgen bericht dat ze wegens het downloaden van muziek een boete van 100 euro moeten betalen. Als de boete niet wordt betaald, worden alle bestanden van de computer verwijderd, zo waarschuwt ‘de politie’ in de e-mail (bron).

De mails die afkomstig lijken te zijn van de banken hebben we inmiddels allemaal wel eens gezien en grote kans dat je toch even bent gaan twijfelen bij het lezen van die mails. “U heeft bij ons via internet gebankierd maar uw sessie niet juist afgesloten, klik hier om uw sessie veilig te beëindigen”. Je zou bijna geneigd zijn om te klikken, toch?

Gelukkig weten meer en meer mensen dat de banken je nooit dergelijke mails zullen sturen. Twijfel je toch nog dan bel je de bank even die dit aan je zal bevestigen. Maar wat doe je als je mails van de politie ontvangt? Jij wilt geen strafblad en eerlijk is eerlijk, je hebt inderdaad laatst wat muziek gedownload.

Als je te hard rijdt dan moet je daarvoor ook een boete betalen als je er voor gepakt wordt. Dus het lijkt misschien logisch om voor het downloaden van muziek ook een boete te krijgen als ze je snappen. Maar ook hiervoor geldt natuurlijk dat de politie nooit op zo’n manier een boete zal innen en ze zullen je ook nooit dreigen met het verwijderen van al jouw gegevens van de pc als je niet betaald. Sterker nog: het downloaden is nog steeds niet verboden of strafbaar, het uploaden dan weer wel.

Nee, met een beetje logisch nadenken gooi je dit soort mails met een gerust hart in de prullenbak. De vraag is natuurlijk wat voor mails we de komende jaren nog mogen verwachten. Er staat vast wel weer een creatieveling op die een mooi mailtje in elkaar zet dat jou aan het schrikken maakt. Nou, voor je ook maar ergens klikt, voor je ook maar een euro betaald is het goed om even uit te zoeken of het allemaal wel de waarheid is die je ziet.

Gemeenten: geen enorme fraude in bijstand

Hadden we het gisteren nog over het wetsvoorstel van Minister Opstelten voor het harder aanpakken van fraudeurs, dan gaan we vandaag iets verder in op de fraude in de bijstand (die volgens Gemeenten wel meevalt, het is maar hoe je er naar kijkt natuurlijk).

‘Zo’n 10 √° 20 procent van de bijstandstrekkers frauderen voor 1 miljard euro per jaar’ stelde het Landelijk Contact Sociaal Rechercheurs (LCSR) maandag. Gemeenten stellen dat deze getallen veel lager liggen op 53 miljoen euro zo’n 2% van de bijstanstrekkers (bron).

Het gevaar van dergelijke grote verschillen in aantallen is dat de discussie voorlopig gaat over wie er nu gelijk heeft en welk aantal nu het juiste is. Waarschijnlijk hebben beide partijen geen gelijk en ligt de waarheid ergens in het midden.

Dus kom op: het gaat helemaal niet om de aantallen, het gaat er om dat we de individuen die inderdaad fraude plegen opsporen en keihard aanpakken. Als Nederland mogen we nog steeds trots zijn dat we dergelijke sociale vangnetten hebben voor mensen die ze echt nodig hebben. Al die mensen die daar onterecht gebruik van maken moeten we weer op het rechte pad zien te krijgen.

In het “ergste” geval verdient de Nederlandse Staat daar 53 miljoen euro per jaar mee (of eigenlijk verdient ze het niet maar geeft ze het minder uit). In het beste geval levert het ons 1 miljard per jaar op. Bedragen die we nu en in de toekomst prima kunnen gebruiken, dus wat mij betreft terugvorderen en daarbovenop nog een flinke boete (zodat het gat in de staatskas nog iets sneller gedicht wordt).

Vreemd overigens dat we zware bezuinigen nodig hebben om dergelijke fraude zaken beter op te gaan sporen. Het lijkt het bedrijfsleven wel: in goede tijden is er geld in overvloed en wordt er aan alle kanten op een inefficiënte wijze gewerkt. Gaat het wat minder dan moeten we bezuinigen en gaat de kaasschaaf er over heen.

Stel nu eens dat we dit omdraaien (als we eenmaal weer uit deze crisis zijn). In goede tijden sturen we ook gewoon op efficiëntie, we smijten het geld niet over de balk maar reserveren het voor economisch mindere tijden. Een leuk idee, maar zie de aandeelhouders daar maar eens van te overtuigen als er weer gouden bergen zijn.

Voorlopig moeten we er dus alles aan doen om uit dat dal te kruipen om er vervolgens weer achter te komen dat hausses en biasses elkaar gewoon op blijven volgen…alleen wat sneller dan we in het verleden hebben meegemaakt. Maar of we nu in een hausse of een biasse zitten: bijstandsfraude moeten we in beide gevallen opsporen en aanpakken.

Agent moet hoogte boetes zelf kunnen bepalen

Het moet toch allemaal niet gekker worden. De Stichting Maatschappij, Veiligheid en Politie (SMVP) pleit ervoor dat agenten zelf moeten kunnen beslissen hoe hoog de boete wordt die ze uitschrijven. De SMVP wil dat agenten kunnen kiezen uit bijvoorbeeld drie verschillende boetebedragen per overtreding (Bron).

Natuurlijk ben ik niet voor de bonnenquota en natuurlijk vind ik de verhoging die binnenkort wordt doorgevoerd niet echt een goed idee. Maar blijkbaar zijn er nog gekkere ideeën te bedenken.

Stel je voor dat we dat breder door gaan voeren. Kom je in een winkel en staan er 3 prijzen bij hetzelfde product. De verkoopster mag zelf bepalen hoeveel ze jou wil laten betalen. Is ze in een goede bui dan kon je wel eens lekker goedkoop uit zijn…maar ja, hoe vaak kom jij nog in een winkel waar je als klant echt hartelijk ontvangen wordt (de uitzonderingen daargelaten natuurlijk). Als je al durft te vragen of die spijkerbroek er ook in jouw maat is dan moet je al behoorlijk assertief zijn tegenwoordig. Nee, ik ben er mee gestopt om een chagrijnig kijkende verkoopster om hulp te vragen. “Als hij er niet hangt dan is hij er vast niet” dus dan maar op naar de volgende winkel om daar in het rek te kijken.

Als we de agenten zelf gaan laten beslissen dan wordt het een onderhandelingsspelletje. Wordt je een boete opgelegd van 350 euro omdat je per ongeluk je toeter aan durfde te raken dan begint het spel. Nou agent, kan het niet een beetje minder? Weet je wat, ik geef je 175 euro dan praten we er niet meer over. De agent moet dan met een tegenbod komen en wil het voor niet minder doen dan 250 euro. Omdat jij vast ook wel eens in een land bent geweest waar onderhandelen heel normaal is, weet je dat je vol moet houden en anders weg moet lopen. Nou goed dan 200 euro is echt je laatste bod. “Special price for you, my friend”. Zie je het voor je? De mensen die minder goed zijn in onderhandelen delven het onderspit.

Maar ook de mensen die een wat dikkere portemonnee hebben zullen het moeilijk krijgen. Rij je in een dure auto dan zou het me zomaar verbazen als je de laagste prijs geboden krijgt. Nee, grote kans dat die agent ook maar een mens is en denkt dat jij die hoogste boete best kunt betalen.

Gaan we dan echt toe naar een politie staat? De Stichting Maatschappij, Veiligheid en Politie (SMVP) ken ik niet en alle ins en outs natuurlijk ook niet (misschien willen ze slechts een statement maken) maar ik krijg er zo geen hoge pet van…deze pet past dus niet iedereen.

Nederlandse spammer krijgt 600.000 euro boete

Een Nederlands bedrijf en twee natuurlijke personen moeten wegens overtreding van het spamverbod een boete van 600.000 euro betalen, waar eerst 660.000 euro was opgelegd. De partijen kregen van de OPTA (Onafhankelijke Post en Telecommunicatie Autoriteit) een boete voor het (laten) versturen van ongevraagde commerciële e-mailberichten, zonder voorafgaande toestemming van de ontvanger. Daarbij werd er niet altijd een goed functionerende afmeldmogelijkheid geboden. In totaal werden meer dan 60 miljoen spamberichten verstuurd. (bron)

€ 600.000 / 60.000.000 = € 0,01 (met dank aan: pieterstam.nl voor de berekening) per verzonden bericht. Kijk, dat zijn tenminste straffen waar we over na gaan denken (tenminste: als je kijkt naar de totale boete en niet naar de boete per bericht…een postzegel is duurder). Dit zou inderdaad moeten voorkomen dat ongenuanceerd SPAM verzonden wordt. Nu zullen we natuurlijk allemaal juichen van geluk en we vinden het allemaal terecht dat er flink gestraft wordt.

Toch blijft het allemaal een beetje vreemd. Bij ongewenste email straffen we zwaar. Maar wordt er ook nog een boete opgelegd als ik toch ongevraagde post in mijn postbus krijg terwijl ik een “nee, nee” sticker op mijn brievenbus plak? En als ik me aan heb gemeld voor het “bel me niet”-register en ik word toch gebeld, hoe sterk sta ik dan als ik een klacht indien? Is het dan hun woord tegen het mijne?

Nu zijn er natuurlijk genoeg voorbeelden van SPAM te vinden, maar er zijn ook grijze gebieden. Er wordt door een organisatie te goeder trouw een mailtje gestuurd aan een beperkte groep mensen. Dat is SPAM, omdat het niet gewenst is en men er geen toestemming voor heeft gegeven. Stel dat de bakker op de hoek je een mailtje stuurt waar jij niet op zat te wachten…klaag jij hem dan direct aan? Vast niet.

Waar het bij SPAM natuurlijk om gaat is de grote SPAMMERS die inderdaad direct een mailtje sturen aan 60 miljoen mensen met onderwerpen als penis-verlenging, haargroei middelen en ga zo nog maar even door.

Toch valt het mij persoonlijk mee hoeveel van dergelijke berichten ik nog ontvang. Het zijn eerder de minder opvallende SPAM berichten. Sites waar je ooit wel eens je email adres hebt achtergelaten, onderwerpen waar je op zich wel in geïnteresseerd bent, etc.

Een oplossing blijft natuurlijk om een emailadres aan te maken waarop je SPAM kunt ontvangen. Dat adres kun je achter laten waar je maar wilt. Belangrijke mail ontvang je er toch niet op, dus 1x in de zoveel tijd gooi he hem gewoon even leeg.

OPTA waarschuwt tientallen over SPAM

Toezichthouder OPTA heeft 39 waarschuwingen uitgedeeld aan bedrijven die vermoedelijk het spamverbod hebben overtreden. In totaal zijn sinds 1 oktober vorig jaar ruim 19.000 klachten binnengekomen, waarvan ruim 10.000 klachten over spam op een zakelijk adres gingen (bron).

19.000 klachten klinkt natuurlijk veel, maar er wordt in de echte wereld toch meer SPAM verzonden, veel meer. Net als velen heb ik natuurlijk meerdere email adressen waarbij er een gebruikt wordt voor wat mysterieuze sites. Daarop alleen al heb ik sinds oktober volgens mij meer SPAM ontvangen dan 19.000.

De klachten zijn ingediend bij spamklacht.nl. OPTA kan aan de hand van de klachten besluiten waarschuwingen uit te delen of direct over te gaan tot een onderzoek. Niet elke klacht is een overtreding, verklaart een woordvoerster van de OPTA. We moeten prioriteiten stellen, we kunnen helaas niet alles aanpakken. In het uiterste geval kan dat het bedrijf een boete van 450.000 euro per overtreding opleveren.

Een boete van 450.000 euro klinkt erg bedreigend, maar bedrijven zullen simpelweg uitrekenen welke extra omzet ze verwachten en als die uitkomt boven de boete dan blijft SPAM een interessant middel. Het is een kwestie van de grote aantallen. Als ik 1 miljard emails verstuur en gemiddeld verdien ik een euro per emailadres dan lachen we natuurlijk om zo’n boete. Sterker nog, we kiezen een land waar de boete niet gegeven wordt of lager uitvalt en we spammen lekker verder…dat is het voordeel van het internet…het is grensoverschrijdend. Kortom: voorlopig zullen we nog wel SPAM blijven ontvangen, maar of dat nu echt zo erg is voor de eindgebruiker mag je je afvragen. Kleine moeite om ongewenste mail gewoon te deleten…toch?

Opmerkelijk vind ik ook dat er eigenlijk met 2 maten gemeten wordt (zeker op de zakelijke markt), het verzenden van ongewenste email wordt als SPAM gezien en kan worden bestraft, maar als we het op papier uitprinten en via de oude vertrouwde post versturen is er niks aan de hand.