ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Bij ons bedrijf wil men een Intrusion Detection Systeem (IDS) opzetten waarmee het netwerk kan worden gemonitord. Een aantal mensen maakt zich zorgen over de privacy en stelt dat een IDS niet mag van de Wet bescherming persoonsgegevens. Er is immers geen toestemming om IP-adressen en andere persoonsgebonden data te loggen! Klopt dat?
Antwoord: Onder de Wet bescherming persoonsgegevens is toestemming inderdaad de hoofdregel: je mag alleen persoonsgegevens, oftewel direct of indirect tot personen herleidbare informatie, verzamelen of gebruiken met duidelijke toestemming van die personen. En wel nadat je ze hebt uitgelegd wat je allemaal van plan bent.
Dit werkt natuurlijk niet in alle situaties. Vandaar dat de wet een uitzondering kent: de eigen dringende noodzaak. Kort gezegd moet je dan een eigen belang hebben dat het moet winnen van de privacy, in een situatie waarin toestemming vragen geen reële optie is.
Security en toezicht geeft zo'n eigen belang en dat kán het winnen van de privacy, afhankelijk van hoe je het inricht. Je maatregelen moeten noodzakelijk en proportioneel zijn voor je securitydoel gezien de privacy.
Bij cameratoezicht in een winkel tegen diefstal zou een camera op de personeelstoiletten niet noodzakelijk zijn, immers daar zullen geen stelende klanten zijn. Alle medewerkers een headcam geven zodat je alles kunt zien, is niet proportioneel want je filmt te veel niet-relevante zaken dan.
Bij een IDS is het dus de vraag of het echt wel noodzakelijk is dat je monitort wat je monitort en logt wat je logt. Kan het niet een logje minder? Moet dat echt, die hele berg data in realtime getoond aan de beheerder? Moet je werkelijk SSL verkeer openbreken en scannen op keywords en een dagelijks rapportje naar management sturen? Of doe je dat alleen maar omdat het handiger is en de securitymensen tijd bespaart? Dat laatste is nadrukkelijk géén argument. Noodzaak is nóódzaak, geen comfort.
Kortom, de inzet van een IDS mag zonder toestemming van de werknemers maar wel moet duidelijk zijn wát de inzet gaat worden en waarom dit gerechtvaardigd wordt als dringende noodzaak voor de werkgever.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.