image

Juridische vraag: welke mogelijkheden heb je als slachtoffer van een datalek?

woensdag 23 maart 2022, 11:11 door Arnoud Engelfriet, 5 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De verhuurder van mijn woning heeft mij laatst gewaarschuwd voor een datalek. Er had een cyberaanval plaatsgevonden op het bedrijf waar mijn verhuurder huurdergegevens registreert. Uit forensisch onderzoek is gebleken dat bij de cyberaanval data zoals persoonsgegevens zijn gekopieerd of onttrokken. Het gaat mogelijk om naam, e-mailadres, telefoonnummer, adresgegevens en bankrekeningnummer. Ik vraag mij af wat ik als slachtoffer hier tegen kan doen?

Antwoord: Het juridisch juiste maar praktisch heel frustrerende antwoord is dat je zorgvuldig bijhoudt welke schade je lijdt door dit datalek, en vervolgens de verhuurder daar aansprakelijk voor stelt.

Ik formuleer het met opzet zo omdat het voor mij een nogal schrijnend punt is dat er zo veel plekken zijn waar persoonsgegevens grootschalig worden opgeslagen (vaak zonder echte noodzaak) en vervolgens vanwege slechte beveiliging komen bloot te liggen. Waarna het slachtoffer weinig anders kan doen dan afwachten tot daar misbruik van wordt gemaakt.

Natuurlijk staat de wet je ook toe om preventieve maatregelen te nemen, als die redelijk zijn om de schade te voorkomen. Maar dat is een beetje lastig hier. Een nieuwe bankrekening nemen is nogal wat, en tegen welk concreet gevaar is dat een preventieve maatregel? Een nieuw e-mailadres voorkomt spam of gerichte phishing van criminelen die alleen het oude kennen. Maar welke financiële schade kun je daar aan koppelen?

Tegelijk moet ik daar tegenover zetten dat er heel vaak niet daadwerkelijk zich meetbare schade voordoet. Ook daarom is het lastig om kwantitatieve uitspraken te doen over wat de schade moet kosten, of welke concrete maatregelen je kunt nemen.

Een cyberverzekering nemen is bijvoorbeeld een veel geopperde mogelijkheid, hoewel je dat natuurlijk moet doen vóór de datadiefstal. Een monitoringdienst die dagelijks het dark web afsurft of je daar verhandeld wordt, het kan maar voelt een tikje overdreven. Vandaar dat ik steeds uitkom bij "afwachten maar" en ongericht "goed opletten".

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (5)
23-03-2022, 15:36 door Anoniem
Heb het al eerder geopperd. Privegegevens op zich zijn (nog) niet in geldwaarde waardeerbaar. Terwijl er wel al levendig en op grote schaal in gehandeld wordt. Op de beurs worden er fortuinen voor gegeven (want je kunt toch niks claimen tot je misbruik waterdicht hebt kunnen aantonen, en toon dat maar eens aan met al die afgesloten algoritmes!).

Daarmee resteert enkel gevolgschade van misbruik van gegevens. Je moet dus eerst vermoord worden voordat je daar een schadeclaim voor mag indienen.

Plak gewoon een stelwaarde op privedata (waar dan later eventuele gevolgschade nog bovenop komt). Dan worden ook diefstal en uitleenrisico's van data berekenbaar. Heb je dan veel privedata in een bestand, dan zal er zeker heel veel voorzichtiger mee worden omgesprongen. Niet enkel om het geld, maar ga al die schadevergoedingen maar eens administratief afhandelen. wat natuurlijk ook een verzekeraar gelijk doorberekent in een polis voor databeheerders. En wellicht een korting voor hen die de zaakjes wél aantoonbaar op orde hebben.
23-03-2022, 17:56 door Anoniem
Bestaat er bij een datalek geen optie om een immateriële schadevergoeding te claimen? Voor de stress en onzekerheid over wat er eigenlijk gebeurt is met de gelekte gegevens?
23-03-2022, 20:31 door Anoniem
Door Anoniem: Bestaat er bij een datalek geen optie om een immateriële schadevergoeding te claimen? Voor de stress en onzekerheid over wat er eigenlijk gebeurt is met de gelekte gegevens?
Ja, maar dat bestaat er dan uit dat degene die de data gelekt heeft in de stress en onzekerheid moet zitten mbt de schade die in de toekomst wellicht betaald moet worden.
24-03-2022, 09:55 door Anoniem
Antwoord: Het juridisch juiste maar praktisch heel frustrerende antwoord is dat je zorgvuldig bijhoudt welke schade je lijdt door dit datalek, en vervolgens de verhuurder daar aansprakelijk voor stelt.

Ik formuleer het met opzet zo omdat het voor mij een nogal schrijnend punt is dat er zo veel plekken zijn waar persoonsgegevens grootschalig worden opgeslagen (vaak zonder echte noodzaak) en vervolgens vanwege slechte beveiliging komen bloot te liggen. Waarna het slachtoffer weinig anders kan doen dan afwachten tot daar misbruik van wordt gemaakt.
Daarom moet je als burger aan de voorkant eigenlijk al heel kritisch zijn over je persoonsgegevens. Mijn indruk is dat veel mensen vaak denken 'het zal wel' en anderzijds zal er vaak ook een machtsverhouding zijn. Als je eindelijk in de krappe woningmarkt een huis hebt gevonden en jij gaat lastige privacyvragen stellen bij de verhuurder, dan zal die zeggen: "graag of niet, voor jouw 10 andere."

Omdat ik zelf in de informatiebeveiliging werkzaam ben, probeer ik - zonder op alle slakken zout te leggen - het al te hard uit de bocht vliegen wel te voorkomen. Zo mocht mijn zoon voor de Corona pandemie met zijn klas naar Londen. De juf had bedacht dat het wel handig was dat elke leerling een kopietje paspoort/ID bij haar zou inleveren. Toen heb ik de functionaris gegevensbescherming (FG) maar eens gebeld met de vraag wat hij van dit plan vond. Het ging mij niet om die juf aan te vallen, ik snap dat zij dit met de beste intenties doet. Maar ik hoop dat zo'n FG intern het gesprek aangaat en dat bij volgende schoolreisjes iets verstandiger met persoonsgegevens wordt omgesprongen.
24-03-2022, 13:13 door Anoniem
Door Anoniem:
Daarom moet je als burger aan de voorkant eigenlijk al heel kritisch zijn over je persoonsgegevens. Mijn indruk is dat veel mensen vaak denken 'het zal wel' en anderzijds zal er vaak ook een machtsverhouding zijn. Als je eindelijk in de krappe woningmarkt een huis hebt gevonden en jij gaat lastige privacyvragen stellen bij de verhuurder, dan zal die zeggen: "graag of niet, voor jouw 10 andere."

Omdat ik zelf in de informatiebeveiliging werkzaam ben, probeer ik - zonder op alle slakken zout te leggen - het al te hard uit de bocht vliegen wel te voorkomen. Zo mocht mijn zoon voor de Corona pandemie met zijn klas naar Londen. De juf had bedacht dat het wel handig was dat elke leerling een kopietje paspoort/ID bij haar zou inleveren. Toen heb ik de functionaris gegevensbescherming (FG) maar eens gebeld met de vraag wat hij van dit plan vond. Het ging mij niet om die juf aan te vallen, ik snap dat zij dit met de beste intenties doet. Maar ik hoop dat zo'n FG intern het gesprek aangaat en dat bij volgende schoolreisjes iets verstandiger met persoonsgegevens wordt omgesprongen.

Het grootste probleem is "wat kan er met die gegevens gedaan worden". De in dit topic genoemde gegevens zijn
van het soort wat je ook in een telefoonboek vindt of wat verder geen problemen geeft. Als mensen mijn banknummer
weten kunnen ze er geld op overmaken, als ze dat willen dan zijn ze welkom. Zomaar overboeken kan niet zonder
allerlei andere beveiligingen te doorbreken. En automatisch afschrijven is nu ook beter beveiligd dan voorheen.
Dus ik schaar me bij de groep "waar maak je je druk over??".

Kopieen van paspoorten/ID kaarten is eigenlijk hetzelfde verhaal, alleen daar zijn het de ontvangers die er laks mee
omgaan. Dat je met een kopie je kunt legitimeren en verplichtingen aangaan dat is leuk, maar wel het probleem van
het bedrijf wat die contracten afsluit. "maar we hadden een kopie van je paspoort" dat is leuk voor hen, maar natuurlijk
geen reden om mij dan aan een verplichting te kunnen houden. Dan moeten ze maar beter controleren. Viinden ze
dat te veel moeite of te duur dan ook prima, maar dan wel als een man de risico's en verliezen dragen en niet achter
de slachtoffers van identiteitsdiefstal aan gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.