Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Recent las ik dit nieuwsbericht over de GGD IJsselland die een usb-stick met persoonlijke informatie kwijtraakte. Kan de Autoriteit Persoonsgegevens een boete opleggen als een USB-stick is kwijtgeraakt die gevoelige persoonsgegevens bevatte, maar die per aangetekende post was verzonden?
Antwoord: De Autoriteit Persoonsgegevens kan als toezichthouder inderdaad een boete opleggen wanneer persoonsgegevens worden verwerkt zonder adequate beveiliging.
Onder 'verwerken' valt iedere handeling met persoonsgegevens, dus ook het transporteren daarvan ongeacht het medium. Verzenden per post is dus net zo goed een verwerking als een digitale transmissie.
De wet definieert niet wat 'adequaat' is. Dit moet per geval worden ingeschat en uitgewerkt. Het moet dan zowel gaan om technische als organisatorische beveiliging. Sterke encryptie is bijvoorbeeld leuk, maar als het wachtwoord er op een geel briefje bij zit, dan heb je er alsnog niets aan.
Een verzending per post lijkt me op zich niet adequaat als beveiliging. Ook niet als je dat aangetekend doet. Natuurlijk, er is het briefgeheim maar daarop vertrouwen is een tikje mager. Er zijn genoeg scenario's waarin legitiem de post bij de verkeerde persoon terecht kan komen. De envelop wordt gestolen, hij scheurt onderweg open en de stick valt eruit, en ga zo maar door.
Veel beter was geweest die usb-stick van encryptie te voorzien, en het wachtwoord via een ander kanaal te versturen. Dan maakt het niet uit dat de stick wordt gestolen, gekopieerd of wat dan ook. En er zijn gewoon standaard sticks in de markt met sterke encryptie, dus er is wat mij betreft geen enkel excuus.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.