image

Juridische vraag: Wat als mijn data op straat belandt?

dinsdag 21 april 2009, 13:06 door Arnoud Engelfriet, 5 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag Wat kan ik doen als mijn gegevens (buiten mijn schuld om) op straat belanden. Is het verantwoordelijke bedrijf hierop aan te spreken en kan ik te weten komen of mijn gegevens wel in veilige handen bij een website of onderneming zijn?

Antwoord Een bedrijf dat je persoonlijke gegevens opslaat, heeft de wettelijke plicht deze "afdoende" te beschermen tegen misbruik door derden (én door medewerkers). Artikel 13 Wet Bescherming Persoonsgegevens: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Wat precies 'passend' is, is in het algemeen niet te zeggen. Het hangt af van het soort gegevens, de hoeveelheid gegevens, de manier van verwerking en opslag en nog veel meer. Voor je Thunderbird-adresboek (ook een opslag van persoonsgegevens) hoef je minder beveiligingsmaatregelen te nemen dan voor patiëntdossiers in een ziekenhuis.

Verder heb je als betrokkene het recht om bedrijven te vragen welke gegevens ze over je bewaren, wat ze daarmee doen en hoe ze die beveiligen(!). Zie artikel 35 en verder. Volgens artikel 36 heb je daarna het recht om je gegevens te laten aanpassen of zelfs te laten verwijderen. Dat laatste alleen als het bedrijf ze redelijkerwijs niet meer nodig heeft. Een debiteur kan zijn adres dus niet uit de financiële administratie laten verwijderen, maar een klant kan zich te allen tijde laten uitschrijven van de nieuwsbrief.

"Over onze beveiliging kunnen we vanuit security-oogpunt geen mededelingen doen" is daarbij geen argument om inzage te mogen weigeren, maar bedrijven proberen het nog wel eens. Enig aanhouden kan dus nodig zijn.

Worden deze plichten geschonden, dan kun je (art. 49 WBP) een schadeclaim indienen bij de verantwoordelijke. In theorie kun je dus een ziekenhuis aanspreken als ze een USB-stick kwijtraken met jouw persoonsgegevens erop. Helaas is dan het probleem dat je niet kunt aantonen welk bedrag je aan schade hebt geleden. Emotionele schade wordt niet vergoed (behalve in uitzonderlijke gevallen), de rechter wil graag bonnetjes zien. En dat zal niet meevallen bij persoonsgegevens.

Persoonlijk zou ik het een zeer goed idee vinden als er een vast schadebedrag in de wet zou komen te staan: een persoonsgegeven kost 100 euro. Publiceer je per abuis mijn naam, dan krijg ik 100 euro van je. Komt een stick met 100.000 naam / adres / woonplaats-records op straat, dan is dat dus een schadepost van 30.000.000 euro voor het bedrijf. Dat zou wel een stimulans moeten zijn om die stick te versleutelen.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (5)
21-04-2009, 13:27 door Anoniem
Peter R de Vries & onderzoeksjournalistiek
Als Peter R de Vries onderzoek doet naar strafbare feiten binnen het kader van zijn journalistieke werkzaamheden verzamelt hij zoveel mogelijk informatie over een zaak. Daartoe bevraagt, verzamelt, verwerkt en kwalificeert Peter R de Vries persoonsgegevens uit openbare en gesloten bronnen.

Persoonsgegevens geven direct of indirect, informatie over een persoon waardoor ze de sleutel zijn tot het hebben van een goede informatiepositie bij het doen aan opsporingsonderzoek, de bouwstenen vormen voor het doen aan waarheidsvinding en de hoeksteen zijn bij het in kaart brengen van bewijsmateriaal.

In 2006 sprak Michel super PG Harm Brouwer bij de presentatie van het boek ‘Vrijheid van nieuwsgaring’ en vertelde voor Peter R de Vries persoonsgegevens uit gesloten bronnen te hebben verzameld. ” Dat de media om privé-gegevens uit gesloten bronnen vraagt voor het oplossen van strafzaken is een dilemma”, aldus Brouwer.

Hoofdofficier Charles van der Voort van het parket in Den Bosch. "Ik weet niet hoe Peter R de Vries aan zijn informatie komt. Dat De Vries opdrachten geeft die leiden tot het breken van de privacywet is wellicht niet goed, maar in dit soort sommige gevallen moet je als politie misschien meer voor lief nemen. Hij wist hiermee wel de zaak los te krijgen."

In de ogen van Peter R de Vries heiligt het doel ‘de waarheidsvinding’ de middelen” Wat doet het ertoe hoe ik aan informatie kom als het maar klopt.”
Het College Bescherming Persoonsgegevens: “ De Wet Bescherming Persoonsgegevens is ook op de journalistiek van toepassing, maar ons toezicht niet. “

Het verbaast van der Velde dat Peter R de Vries binnen twee dagen de bankgegevens van zijn zus had. Van der Velde: “Ze kunnen blijkbaar meer dan de politie. Misschien kunnen ze een zak met geld bieden.'' De Vries kleurt als hem wordt gevraagd hoe dat kan. “Vraag niet hoe het kan, profiteer er van. Ik ga niet het geheim van de smid vertellen. Aan de andere kant is er heel veel openbaar”. Collega Simon Vuijk over de bankgegevens: “Daar zeg ik liever niets over. Ik denk niet dat het schering en inslag is. Maar je kunt er uit concluderen dat dergelijke dingen kunnen in Nederland.'' Wat De Vries betreft doet hij dus eigenlijk niet veel meer dan de politie of willekeurig welke andere burger ook zou kunnen doen.

http://www.michelkraay.nl/peter-r-de-vries.php?Section=1
21-04-2009, 13:36 door Martijn Brinkers
Wat wel lastig is te definiëren wat je verstaat onder “op straat belanden”. Stel je verstuurt zonder extra beveiliging patiëntgegevens per email. Aangezien je niet weet wat er onderweg met je email gebeurt, wie kan het allemaal lezen?, zou je kunnen aannemen dat de email “op straat is beland”. Voor zover ik weet mag je medische gegevens niet zonder beveiliging mailen. Toch gebeurd dit in de praktijk.

Sinds 1 oktober 2008 moet Nevada alle communicatie die gevoelige informatie bevat worden beveiligd (en binnenkort ook in Massachusetts)

http://www.networkworld.com/newsletters/gwm/2008/100608msg2.html


“if you operate a business in either state, you will have to encrypt certain types of sensitive information if you send it past your corporate firewall or else face legal consequences. “

Ze lijken er dus van uit te gaan dat als het niet beveiligd is dat het dan “op straat ligt”.
21-04-2009, 19:25 door Anoniem
Om de discussie "Op straat liggen" plat te slaan moet iedereen die gegevens gaat opslaan VOORAF vastleggen waar deze gegevens voor gebruikt gaan worden en WIE er inzage heeft (etc.) Indien er gegevens buiten dat kader opduiken is er dus sprake van een lek.
21-04-2009, 20:08 door Anoniem
De kosten van de databreach van een enkel record wordt door Verizon geschat op *meer* dan 100 euro. Zo staat dat in het rapport van Verizon over Data Breaches.
http://newscenter.verizon.com/press-releases/verizon/2008/verizon-business-data-breach.html

Dus als een bedrijf slim is hebben ze zo al een behoorlijke business case. Veelal is de schade niet inzichtelijk.
24-04-2009, 13:30 door Night
Als ik het goed begrijp kun je dus civiel rechtelijk iets doen tegen een nalatige partij.

Persoon zou ik het erg frustrerend vinden als het het vergoeden van aantoonbare schade het enige is wat een organisatie te vrezen heeft. Dat betekent dat je als "slachtoffer" moet afwachten tot je schade hebt voor je überhaupt iets kunt doen.

Is er ook een vorm van grove nalatigheid waardoor je iets zou kunnen middels het strafrecht?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.