Juridische vraag: Wat als mijn data op straat belandt?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag Wat kan ik doen als mijn gegevens (buiten mijn schuld om) op straat belanden. Is het verantwoordelijke bedrijf hierop aan te spreken en kan ik te weten komen of mijn gegevens wel in veilige handen bij een website of onderneming zijn?
Antwoord Een bedrijf dat je persoonlijke gegevens opslaat, heeft de wettelijke plicht deze "afdoende" te beschermen tegen misbruik door derden (én door medewerkers). Artikel 13 Wet Bescherming Persoonsgegevens: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Wat precies 'passend' is, is in het algemeen niet te zeggen. Het hangt af van het soort gegevens, de hoeveelheid gegevens, de manier van verwerking en opslag en nog veel meer. Voor je Thunderbird-adresboek (ook een opslag van persoonsgegevens) hoef je minder beveiligingsmaatregelen te nemen dan voor patiëntdossiers in een ziekenhuis.
Verder heb je als betrokkene het recht om bedrijven te vragen welke gegevens ze over je bewaren, wat ze daarmee doen en hoe ze die beveiligen(!). Zie artikel 35 en verder. Volgens artikel 36 heb je daarna het recht om je gegevens te laten aanpassen of zelfs te laten verwijderen. Dat laatste alleen als het bedrijf ze redelijkerwijs niet meer nodig heeft. Een debiteur kan zijn adres dus niet uit de financiële administratie laten verwijderen, maar een klant kan zich te allen tijde laten uitschrijven van de nieuwsbrief.
"Over onze beveiliging kunnen we vanuit security-oogpunt geen mededelingen doen" is daarbij geen argument om inzage te mogen weigeren, maar bedrijven proberen het nog wel eens. Enig aanhouden kan dus nodig zijn.
Worden deze plichten geschonden, dan kun je (art. 49 WBP) een schadeclaim indienen bij de verantwoordelijke. In theorie kun je dus een ziekenhuis aanspreken als ze een USB-stick kwijtraken met jouw persoonsgegevens erop. Helaas is dan het probleem dat je niet kunt aantonen welk bedrag je aan schade hebt geleden. Emotionele schade wordt niet vergoed (behalve in uitzonderlijke gevallen), de rechter wil graag bonnetjes zien. En dat zal niet meevallen bij persoonsgegevens.
Persoonlijk zou ik het een zeer goed idee vinden als er een vast schadebedrag in de wet zou komen te staan: een persoonsgegeven kost 100 euro. Publiceer je per abuis mijn naam, dan krijg ik 100 euro van je. Komt een stick met 100.000 naam / adres / woonplaats-records op straat, dan is dat dus een schadepost van 30.000.000 euro voor het bedrijf. Dat zou wel een stimulans moeten zijn om die stick te versleutelen.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Als Peter R de Vries onderzoek doet naar strafbare feiten binnen het kader van zijn journalistieke werkzaamheden verzamelt hij zoveel mogelijk informatie over een zaak. Daartoe bevraagt, verzamelt, verwerkt en kwalificeert Peter R de Vries persoonsgegevens uit openbare en gesloten bronnen.
Persoonsgegevens geven direct of indirect, informatie over een persoon waardoor ze de sleutel zijn tot het hebben van een goede informatiepositie bij het doen aan opsporingsonderzoek, de bouwstenen vormen voor het doen aan waarheidsvinding en de hoeksteen zijn bij het in kaart brengen van bewijsmateriaal.
In 2006 sprak Michel super PG Harm Brouwer bij de presentatie van het boek ‘Vrijheid van nieuwsgaring’ en vertelde voor Peter R de Vries persoonsgegevens uit gesloten bronnen te hebben verzameld. ” Dat de media om privé-gegevens uit gesloten bronnen vraagt voor het oplossen van strafzaken is een dilemma”, aldus Brouwer.
Hoofdofficier Charles van der Voort van het parket in Den Bosch. "Ik weet niet hoe Peter R de Vries aan zijn informatie komt. Dat De Vries opdrachten geeft die leiden tot het breken van de privacywet is wellicht niet goed, maar in dit soort sommige gevallen moet je als politie misschien meer voor lief nemen. Hij wist hiermee wel de zaak los te krijgen."
In de ogen van Peter R de Vries heiligt het doel ‘de waarheidsvinding’ de middelen” Wat doet het ertoe hoe ik aan informatie kom als het maar klopt.”
Het College Bescherming Persoonsgegevens: “ De Wet Bescherming Persoonsgegevens is ook op de journalistiek van toepassing, maar ons toezicht niet. “
Het verbaast van der Velde dat Peter R de Vries binnen twee dagen de bankgegevens van zijn zus had. Van der Velde: “Ze kunnen blijkbaar meer dan de politie. Misschien kunnen ze een zak met geld bieden.'' De Vries kleurt als hem wordt gevraagd hoe dat kan. “Vraag niet hoe het kan, profiteer er van. Ik ga niet het geheim van de smid vertellen. Aan de andere kant is er heel veel openbaar”. Collega Simon Vuijk over de bankgegevens: “Daar zeg ik liever niets over. Ik denk niet dat het schering en inslag is. Maar je kunt er uit concluderen dat dergelijke dingen kunnen in Nederland.'' Wat De Vries betreft doet hij dus eigenlijk niet veel meer dan de politie of willekeurig welke andere burger ook zou kunnen doen.
http://www.michelkraay.nl/peter-r-de-vries.php?Section=1
Sinds 1 oktober 2008 moet Nevada alle communicatie die gevoelige informatie bevat worden beveiligd (en binnenkort ook in Massachusetts)
http://www.networkworld.com/newsletters/gwm/2008/100608msg2.html
“if you operate a business in either state, you will have to encrypt certain types of sensitive information if you send it past your corporate firewall or else face legal consequences. “
Ze lijken er dus van uit te gaan dat als het niet beveiligd is dat het dan “op straat ligt”.
http://newscenter.verizon.com/press-releases/verizon/2008/verizon-business-data-breach.html
Dus als een bedrijf slim is hebben ze zo al een behoorlijke business case. Veelal is de schade niet inzichtelijk.
Persoon zou ik het erg frustrerend vinden als het het vergoeden van aantoonbare schade het enige is wat een organisatie te vrezen heeft. Dat betekent dat je als "slachtoffer" moet afwachten tot je schade hebt voor je überhaupt iets kunt doen.
Is er ook een vorm van grove nalatigheid waardoor je iets zou kunnen middels het strafrecht?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
