Achtergrond
image

Juridische vraag: mag ik zomaar een security bedrijf beginnen?

woensdag 2 april 2014, 12:31 door Redactie, 7 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Ik wil een eigen ICT-bedrijf opstarten, en het onderwerp security testing en penetration testing heeft mijn interesse. Maar mag ik zomaar zo'n bedrijf beginnen of heb ik daar vergunningen voor nodig? Aan wat voor regels moet ik voldoen?

Antwoord: Een securitybedrijf is niet aan specifieke regels gebonden. Natuurlijk moet je je aan dezelfde wetten houden als iedereen. Dat zullen hier met name de Wet computercriminaliteit en de privacywet (Wet bescherming persoonsgegevens) zijn.

Je mag niet inbreken (computervredebreuk) op computersystemen van derden, of gegevens manipuleren of kopiëren zonder toestemming. Ook mag je onder de Wbp niet zomaar persoonlijke gegevens van derden vergaren, wat zomaar kan gebeuren bij network monitoring, screenen van mailboxen of zelfs maar het loggen van gebeurtenissen op een server.

Het beste is dan ook om bij dergelijk werk vooraf geregeld te hebben dat je opdrachtgever hier de toestemming voor heeft verkregen, plus een verklaring dat je opdrachtgever je vrijwaart van aansprakelijkheid als er toch claims van derden komen. Dit document heet een pentest waiver en dit is dan ook een belangrijk document om te hebben als security-onderzoeker.

Specifiek bij vergaren en analyseren van persoonsgegevens op verzoek van klanten kun je tegen de Wet particuliere beveiligingsorganisaties en recherchebureaus aanlopen. Deze wet bepaalt dat je een vergunning nodig hebt voor "het vergaren en analyseren van persoonsgegevens op verzoek van een derde, in verband met een eigen belang van deze derde". Iemand de hele dag volgen met een camera valt hieronder, maar ook iemand de hele dag op het netwerk volgen is recherchewerk onder die wet.

Wel moet het dan gaan om gericht onderzoek naar personen. Word je gevraagd om dataherstel te doen en kom je dan toevallig wat persoonsgegevens tegen, dan ben je nog geen particulier recherchewerk aan het doen. Maar bied je aan om cyberfraude op te sporen, dan wel.

Het belangrijkste om mee te beginnen lijkt me altijd een set algemene voorwaarden waarin je je aansprakelijkheid beperkt, en waarin je een strakke betalingstermijn (met incassobeding) hanteert. En vergeet niet je voorwaarden altijd mee te sturen met je offerte; bij de KVK deponeren of verwijzen naar je website is juridisch niet genoeg. Het zou zonde zijn als je aansprakelijk bent voor dataverlies omdat je algemene voorwaarden niet correct ter hand waren gesteld.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (7)
02-04-2014, 12:53 door Anoniem
Uh....eigen bedrijfje starten maar niet weten waar je je info moet zoeken?
Lijkt erop dat het gedoemd is om te mislukken met zo'n (lees geen) voorbereiding.
02-04-2014, 14:06 door Anoniem
interessante vraag! en hoe zit het met een verklaring omtrent
gedrag of een andere screening? is het normaal gesproken
de werkgever die dit wil voor zijn personeel, of vereist de wet
dit soms ook voor bepaalde werkzaamheden? en kun je dit in het
laatste geval ook voor jezelf aanvragen?
02-04-2014, 14:27 door Anoniem
Nu nog even de titel Prof. voor mijn naam zetten en een incasso bureau beginnen en ik hoor er helemaal bij ! ;)
02-04-2014, 16:20 door Orion84
Door Anoniem: interessante vraag! en hoe zit het met een verklaring omtrent
gedrag of een andere screening? is het normaal gesproken
de werkgever die dit wil voor zijn personeel, of vereist de wet
dit soms ook voor bepaalde werkzaamheden? en kun je dit in het
laatste geval ook voor jezelf aanvragen?
Dat zijn typisch zaken die je met je opdrachtgevers regelt. Zij kunnen dergelijke eisen stellen voordat ze je je werk laten doen. En het kan zijn dat een opdrachtgever vanuit bepaalde wet / regelgeving verplicht is om werknemers / externen te screenen.

Dergelijke screenings zijn namelijk ook altijd in het licht van de specifieke werkzaamheden die je gaat verrichten.

Wellicht dat er wel wat mogelijkheden liggen op het gebied van certificeringen die je als persoon / bedrijf kan behalen om extra vertrouwen te wekken.
02-04-2014, 17:07 door Arnoud Engelfriet
Een Verklaring omtrent het gedrag is bij sommige branches wettelijk verplicht, maar in andere branches mag men dat eisen als opdrachtgever. Securityonderzoek kent die verplichting niet, behalve bij opsporings- en veiligheidsdiensten. Zie http://www.antwoordvoorbedrijven.nl/regel/vog

Ik dacht altijd dat hier wel privacygrenzen aan zaten, immers 'zomaar' vragen om zo'n verklaring voelt wat gek. Maar aan de andere kant, in een VOG staat alleen "geen bezwaar tegen dat meneer X werk Y doet" en niet de hele doopceel.
08-04-2014, 11:53 door Anoniem
Het beperken van de aansprakelijkheid in de algemene voorwaarden kan uitsluitend binnen de contractuele verhoudingen.
Het verzamelen van persoonsgegevens betreft vaak een derde en deze aansprakelijkheid kun je niet beperken. Als dit verzamelen ( verwerken ) niet op de juiste wijze gebeurd is de verzamelaar aansprakelijk uit onrechtmatige daad en is de verzamelaar gehouden om de daaruit voortvloeiende schade te vergoeden.m
27-05-2014, 16:55 door Jacob Lageveen
Als je gewoon een incassobureau mag beginnen dan mag je dit ook gewoon doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure