Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Ik ben lid van een vereniging, en ik krijg als onderdeel van het lidmaatschap toegang tot een POP3-mailbox. Nu heeft men onlangs de administratie online gezet, maar dan met hetzelfde wachtwoord als voor de mailbox. Dat was handig volgens het bestuur, maar daarmee is mijn privacy wel in het geding. Het mailbox-wachtwoord wordt immers onversleuteld verstuurd, dus iemand die dat te pakken krijgt, kan nu ook bij mijn persoonlijke gegevens uit de administratie (met onder andere NAW, geboortedatum en persoonlijke interesses). Hoe kan ik ze dwingen om een apart wachtwoord te laten gebruiken?
Antwoord: Een bedrijf, vereniging, stichting of andere instelling die persoonsgegevens van anderen verwerkt, is verplicht deze "afdoende" te beveiligen tegen ongeautoriseerde toegang of misbruik. We hebben in juli al eens gediscussieerd over wat dat precies betekent maar het gebruik van een wachtwoord en versleutelde verbinding om bij die gegevens te komen, lijkt me toch wel het minimum vandaag de dag.
Zo te lezen heeft deze vereniging echter wel degelijk een beveiliging ingevoerd. Alleen is er het probleem dat het wachtwoord van die beveiliging kennelijk ook voor een onveilige dienst (POP3, bestaat dat nog) gehanteerd wordt. Iemand die het POP3-wachtwoord weet te achterhalen, kan dus ook bij de beveiligde interface. De vraag is natuurlijk wel hoe realistisch dit aanvalsscenario is.
Je zult moeten hardmaken dat de beveiliging van de persoonsgegevens niet afdoende is omdat het wachtwoord in een ander systeem over plaintext kanalen verstuurd wordt. Als je dat lukt, kun je eisen dat men maatregelen neemt die wel afdoende zijn. Of dat automatisch is dat er een ander wachtwoord moet worden gehanteerd, durf ik niet te zeggen. Er zijn immers nog genoeg andere oplossingen, bv. de POP3-verbinding over een SSL-kanaal laten lopen - of POP3 dumpen en alles via IMAP of webmail laten gaan.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Deze posting is gelocked. Reageren is niet meer mogelijk.