Juridische vraag: mag ik zomaar een security bedrijf beginnen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Ik wil een eigen ICT-bedrijf opstarten, en het onderwerp security testing en penetration testing heeft mijn interesse. Maar mag ik zomaar zo'n bedrijf beginnen of heb ik daar vergunningen voor nodig? Aan wat voor regels moet ik voldoen?
Antwoord: Een securitybedrijf is niet aan specifieke regels gebonden. Natuurlijk moet je je aan dezelfde wetten houden als iedereen. Dat zullen hier met name de Wet computercriminaliteit en de privacywet (Wet bescherming persoonsgegevens) zijn.
Je mag niet inbreken (computervredebreuk) op computersystemen van derden, of gegevens manipuleren of kopiëren zonder toestemming. Ook mag je onder de Wbp niet zomaar persoonlijke gegevens van derden vergaren, wat zomaar kan gebeuren bij network monitoring, screenen van mailboxen of zelfs maar het loggen van gebeurtenissen op een server.
Het beste is dan ook om bij dergelijk werk vooraf geregeld te hebben dat je opdrachtgever hier de toestemming voor heeft verkregen, plus een verklaring dat je opdrachtgever je vrijwaart van aansprakelijkheid als er toch claims van derden komen. Dit document heet een pentest waiver en dit is dan ook een belangrijk document om te hebben als security-onderzoeker.
Specifiek bij vergaren en analyseren van persoonsgegevens op verzoek van klanten kun je tegen de Wet particuliere beveiligingsorganisaties en recherchebureaus aanlopen. Deze wet bepaalt dat je een vergunning nodig hebt voor "het vergaren en analyseren van persoonsgegevens op verzoek van een derde, in verband met een eigen belang van deze derde". Iemand de hele dag volgen met een camera valt hieronder, maar ook iemand de hele dag op het netwerk volgen is recherchewerk onder die wet.
Wel moet het dan gaan om gericht onderzoek naar personen. Word je gevraagd om dataherstel te doen en kom je dan toevallig wat persoonsgegevens tegen, dan ben je nog geen particulier recherchewerk aan het doen. Maar bied je aan om cyberfraude op te sporen, dan wel.
Het belangrijkste om mee te beginnen lijkt me altijd een set algemene voorwaarden waarin je je aansprakelijkheid beperkt, en waarin je een strakke betalingstermijn (met incassobeding) hanteert. En vergeet niet je voorwaarden altijd mee te sturen met je offerte; bij de KVK deponeren of verwijzen naar je website is juridisch niet genoeg. Het zou zonde zijn als je aansprakelijk bent voor dataverlies omdat je algemene voorwaarden niet correct ter hand waren gesteld.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Lijkt erop dat het gedoemd is om te mislukken met zo'n (lees geen) voorbereiding.
gedrag of een andere screening? is het normaal gesproken
de werkgever die dit wil voor zijn personeel, of vereist de wet
dit soms ook voor bepaalde werkzaamheden? en kun je dit in het
laatste geval ook voor jezelf aanvragen?
gedrag of een andere screening? is het normaal gesproken
de werkgever die dit wil voor zijn personeel, of vereist de wet
dit soms ook voor bepaalde werkzaamheden? en kun je dit in het
laatste geval ook voor jezelf aanvragen?
Dergelijke screenings zijn namelijk ook altijd in het licht van de specifieke werkzaamheden die je gaat verrichten.
Wellicht dat er wel wat mogelijkheden liggen op het gebied van certificeringen die je als persoon / bedrijf kan behalen om extra vertrouwen te wekken.
Ik dacht altijd dat hier wel privacygrenzen aan zaten, immers 'zomaar' vragen om zo'n verklaring voelt wat gek. Maar aan de andere kant, in een VOG staat alleen "geen bezwaar tegen dat meneer X werk Y doet" en niet de hele doopceel.
Het verzamelen van persoonsgegevens betreft vaak een derde en deze aansprakelijkheid kun je niet beperken. Als dit verzamelen ( verwerken ) niet op de juiste wijze gebeurd is de verzamelaar aansprakelijk uit onrechtmatige daad en is de verzamelaar gehouden om de daaruit voortvloeiende schade te vergoeden.m
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.