Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Als IT-administrator krijg ik op mijn werk te maken met gegevens die onder de Wbp (Wet Bescherming Persoonsgegevens) vallen. Deze wet stelt eisen en beperkingen aan het verwerken van gegevens. Gelden die beperkingen ook voor netwerkapparatuur (switches, routers, firewalls, IDS) en de betreffende beheerders? Geldt die regelgeving ook als het verkeer tijdens transmissie versleuteld wordt?

Antwoord: Wanneer je gegevens verwerkt die direct of indirect te koppelen zijn aan personen, valt die verwerking onder de Wet bescherming persoonsgegevens. De salarisadministratie is een evident voorbeeld, maar de maillogs zijn óók persoonsgegevens: daar staan immers persoonsgebonden mailadressen in genoemd.

De Wbp geldt in alle omstandigheden, dus ook bij analyses of beheer van netwerkverkeer, infrastructuur en dergelijke. Beheerders moeten dus rekening houden met de privacy van personen voor wie zij de diensten in de lucht houden. Natuurlijk wil dat niet zeggen dat het verboden is om netwerkverkeer te bekijken - als het nodig is voor de dienst, dan mag het. Maar je hebt wel geheimhoudingsplicht omtrent wat je dan ziet.

Wanneer gegevens versleuteld zijn, dan valt er weinig aan te zien voor het beheer. In dat geval hoef je de gegevens niet als persoonsgegevens te beschouwen, want jij kunt er niets uit halen dat tot een persoon te herleiden is.

Het heeft sterk de voorkeur om beheer van IT-infrastructuur zo in te richten dat je zo min mogelijk persoonsgegevens langs ziet komen wanneer dat niet strikt nodig is. Vaak is het bijvoorbeeld genoeg om op geaggregeerd niveau gebruiksgegevens te zien. Laat dan de software de gegevens anonimiseren en aggregeren voordat de gebruiker ze kan bekijken. Dan sluit je privacyschendingen uit.

Ook zijn waarschuwingen en problemen vaak geautomatiseerd af te handelen. Stel je wilt voorkomen dat er al te veel gedownload wordt. Je kunt dan zelf rapporten van downloadverkeer inzien en de personen uit de top-5 gaan mailen, maar je kunt ook een script maken dat standaard-waarschuwingen mailt en jou pas waarschuwt als iemand bij herhaling in de top-5 komt. Op basis van je IT-reglement (je hébt toch een IT-reglement?) kun je zo'n gewaarschuwd mens dan aanspreken.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".