11/17/2014

mensura.be and the other belgian leaks : what will the privacycommission do ?

There are those guidelines from januari 2013 (nearly two years old but a bit hidden in the website and happily forgotten by most of the industry and services)  http://www.privacycommission.be/sites/privacycommis...

and in french (they aren't translated) Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données

based on this, any victim can go to court or place a formal complaint with the privacycommission (just send an email to commission@privacycommission.be) 

and in those guidelines we also read the following 

about the notification 

"Meer in het bijzonder moeten in geval van openbaar incident de bevoegde autoriteiten (Privacycommissie) binnen de 48 u geïnformeerd worden over de oorzaken en de schade.

27. Een openbare informatiecampagne zal opgestart worden 24 tot 48u na kennisgeving aan de autoriteiten."

there was no public informationcampaign, there was nothing on the website about the hack - the news about the hack did the rounds because I have published it and NOT because the firm has published it. THe firm is in negotiation with the hacker since some time)

about filing a complaint (about time that a message is send to the market)

"Meer nog, in geval van niet-naleving ervan engageert de Commissie zich ertoe om alle wettelijk beschikbare middelen in te zetten waardoor de aansprakelijkheid van de verantwoordelijke voor de verwerking in het gedrang komt en deze het risico loopt te worden vervolgd. Immers, tenzij de wet anders bepaalt, doet de Commissie bij de procureur des Konings aangifte van de misdrijven waarvan zij kennis heeft (art. 32, §2 WVP).

35. Dit geheel van regels vormt dus de door iedere verantwoordelijke voor een verwerking na te leven regels van de kunst teneinde een optimale informatieveiligheid te verzekeren en bijgevolg de beveiliging van de persoonsgegevens van de betrokkenen te waarborgen.

36. De onderhavige aanbeveling zal de gerechtelijke autoriteiten, wanneer aanklachten bij hen aanhangig worden gemaakt of zij deze ambtshalve in behandeling nemen, toelaten ieder feit dat een inbreuk vormt op de WVP te beoordelen alsook de ernst ervan te evalueren.

37. Ten slotte herinnert de Commissie er aan dat de verantwoordelijke voor de verwerking verantwoordelijk is voor de schade die voortvloeit uit een handeling die in strijd is met de bij of krachtens de WVP bepaalde voorschriften. Hij is van deze aansprakelijkheid ontheven indien hij bewijst dat het feit dat de schade heeft veroorzaakt hem niet kan worden toegerekend (art. 15bis van de WVP). "

sql injection is known since.....2000 and can be tested and prevented with any terms

keeping all that data online even if you don't need it online (but you can transfer it back to a secured server behind the firewall with unidirection traffic (everything in, nothing out), full encryption, limitations on data-use and so on..... these are all normal standard things to do when you have to protect data and which are written about and advocated since years and doesn't cost a lot of effort or money.

so guilty as charged..... I rest my case 

Permalink | |  Print |  Facebook | | | | Pin it! |

The comments are closed.