Juridische vraag: welke mogelijkheden heb je als slachtoffer van een datalek?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: De verhuurder van mijn woning heeft mij laatst gewaarschuwd voor een datalek. Er had een cyberaanval plaatsgevonden op het bedrijf waar mijn verhuurder huurdergegevens registreert. Uit forensisch onderzoek is gebleken dat bij de cyberaanval data zoals persoonsgegevens zijn gekopieerd of onttrokken. Het gaat mogelijk om naam, e-mailadres, telefoonnummer, adresgegevens en bankrekeningnummer. Ik vraag mij af wat ik als slachtoffer hier tegen kan doen?
Antwoord: Het juridisch juiste maar praktisch heel frustrerende antwoord is dat je zorgvuldig bijhoudt welke schade je lijdt door dit datalek, en vervolgens de verhuurder daar aansprakelijk voor stelt.
Ik formuleer het met opzet zo omdat het voor mij een nogal schrijnend punt is dat er zo veel plekken zijn waar persoonsgegevens grootschalig worden opgeslagen (vaak zonder echte noodzaak) en vervolgens vanwege slechte beveiliging komen bloot te liggen. Waarna het slachtoffer weinig anders kan doen dan afwachten tot daar misbruik van wordt gemaakt.
Natuurlijk staat de wet je ook toe om preventieve maatregelen te nemen, als die redelijk zijn om de schade te voorkomen. Maar dat is een beetje lastig hier. Een nieuwe bankrekening nemen is nogal wat, en tegen welk concreet gevaar is dat een preventieve maatregel? Een nieuw e-mailadres voorkomt spam of gerichte phishing van criminelen die alleen het oude kennen. Maar welke financiële schade kun je daar aan koppelen?
Tegelijk moet ik daar tegenover zetten dat er heel vaak niet daadwerkelijk zich meetbare schade voordoet. Ook daarom is het lastig om kwantitatieve uitspraken te doen over wat de schade moet kosten, of welke concrete maatregelen je kunt nemen.
Een cyberverzekering nemen is bijvoorbeeld een veel geopperde mogelijkheid, hoewel je dat natuurlijk moet doen vóór de datadiefstal. Een monitoringdienst die dagelijks het dark web afsurft of je daar verhandeld wordt, het kan maar voelt een tikje overdreven. Vandaar dat ik steeds uitkom bij "afwachten maar" en ongericht "goed opletten".
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Daarmee resteert enkel gevolgschade van misbruik van gegevens. Je moet dus eerst vermoord worden voordat je daar een schadeclaim voor mag indienen.
Plak gewoon een stelwaarde op privedata (waar dan later eventuele gevolgschade nog bovenop komt). Dan worden ook diefstal en uitleenrisico's van data berekenbaar. Heb je dan veel privedata in een bestand, dan zal er zeker heel veel voorzichtiger mee worden omgesprongen. Niet enkel om het geld, maar ga al die schadevergoedingen maar eens administratief afhandelen. wat natuurlijk ook een verzekeraar gelijk doorberekent in een polis voor databeheerders. En wellicht een korting voor hen die de zaakjes wél aantoonbaar op orde hebben.
Ik formuleer het met opzet zo omdat het voor mij een nogal schrijnend punt is dat er zo veel plekken zijn waar persoonsgegevens grootschalig worden opgeslagen (vaak zonder echte noodzaak) en vervolgens vanwege slechte beveiliging komen bloot te liggen. Waarna het slachtoffer weinig anders kan doen dan afwachten tot daar misbruik van wordt gemaakt.
Omdat ik zelf in de informatiebeveiliging werkzaam ben, probeer ik - zonder op alle slakken zout te leggen - het al te hard uit de bocht vliegen wel te voorkomen. Zo mocht mijn zoon voor de Corona pandemie met zijn klas naar Londen. De juf had bedacht dat het wel handig was dat elke leerling een kopietje paspoort/ID bij haar zou inleveren. Toen heb ik de functionaris gegevensbescherming (FG) maar eens gebeld met de vraag wat hij van dit plan vond. Het ging mij niet om die juf aan te vallen, ik snap dat zij dit met de beste intenties doet. Maar ik hoop dat zo'n FG intern het gesprek aangaat en dat bij volgende schoolreisjes iets verstandiger met persoonsgegevens wordt omgesprongen.
Daarom moet je als burger aan de voorkant eigenlijk al heel kritisch zijn over je persoonsgegevens. Mijn indruk is dat veel mensen vaak denken 'het zal wel' en anderzijds zal er vaak ook een machtsverhouding zijn. Als je eindelijk in de krappe woningmarkt een huis hebt gevonden en jij gaat lastige privacyvragen stellen bij de verhuurder, dan zal die zeggen: "graag of niet, voor jouw 10 andere."
Omdat ik zelf in de informatiebeveiliging werkzaam ben, probeer ik - zonder op alle slakken zout te leggen - het al te hard uit de bocht vliegen wel te voorkomen. Zo mocht mijn zoon voor de Corona pandemie met zijn klas naar Londen. De juf had bedacht dat het wel handig was dat elke leerling een kopietje paspoort/ID bij haar zou inleveren. Toen heb ik de functionaris gegevensbescherming (FG) maar eens gebeld met de vraag wat hij van dit plan vond. Het ging mij niet om die juf aan te vallen, ik snap dat zij dit met de beste intenties doet. Maar ik hoop dat zo'n FG intern het gesprek aangaat en dat bij volgende schoolreisjes iets verstandiger met persoonsgegevens wordt omgesprongen.
Het grootste probleem is "wat kan er met die gegevens gedaan worden". De in dit topic genoemde gegevens zijn
van het soort wat je ook in een telefoonboek vindt of wat verder geen problemen geeft. Als mensen mijn banknummer
weten kunnen ze er geld op overmaken, als ze dat willen dan zijn ze welkom. Zomaar overboeken kan niet zonder
allerlei andere beveiligingen te doorbreken. En automatisch afschrijven is nu ook beter beveiligd dan voorheen.
Dus ik schaar me bij de groep "waar maak je je druk over??".
Kopieen van paspoorten/ID kaarten is eigenlijk hetzelfde verhaal, alleen daar zijn het de ontvangers die er laks mee
omgaan. Dat je met een kopie je kunt legitimeren en verplichtingen aangaan dat is leuk, maar wel het probleem van
het bedrijf wat die contracten afsluit. "maar we hadden een kopie van je paspoort" dat is leuk voor hen, maar natuurlijk
geen reden om mij dan aan een verplichting te kunnen houden. Dan moeten ze maar beter controleren. Viinden ze
dat te veel moeite of te duur dan ook prima, maar dan wel als een man de risico's en verliezen dragen en niet achter
de slachtoffers van identiteitsdiefstal aan gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
