image

Juridische vraag: Help, mijn persoonsgegevens zijn gelekt, wat nu?

woensdag 23 november 2016, 14:52 door Arnoud Engelfriet, 18 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Je hebt regelmatig aandacht besteed aan datalekken, maar vanuit het perspectief van een slachtoffer wilde ik toch wat vragen. Afgelopen zaterdag informeerde mijn werkgever me dat mijn adres en BSN op straat ligt door een fout van een ingehuurd bedrijf. Maar meer dan "de kans op fraude is laag" en dat ik goed op mijn rekening moet letten zie ik niet. Kan ik hier juridisch wat mee?

Antwoord: Helaas komen datalekken erg vaak - te vaak - voor. Gelukkig niet altijd van deze omvang. Je zou hopen dat die nieuwe wet hier snel verandering in brengt.

Een bedrijf is verplicht datalekken te melden bij de toezichthouder, en bij vermoedelijke negatieve gevolgen ook bij betrokkenen zelf. Die brief is dus op zich terecht verstuurd. De brief moet ook vermelden wat "de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken" zijn (art. 34a lid 3 Wbp).

De tekst van die brief doet wat plichtmatig aan. Dat kan ik zelf ook wel bedenken, dat ik goed moet gaan uitkijken. Maar ja, heel veel meer dan "let op je creditcard" en “log regelmatig overal even in om te zien of niemand met je BSN identiteitsfraude heeft gepleegd” kan ik ook niet bedenken. Want er ís niet veel meer dat je kunt doen als consument.

Ja, heb je concreet nadeel van dit datalek dan is dat te verhalen. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden. Dit even los van boetes die de toezichthouder oplegt. Alleen, wat is je schade bij een privacyschending? Welk getal zet je op de tijd en het gedoe met je energiemaatschappij of zorgverzekeraar omdat een grapjas bijvoorbeeld je contract heeft opgezegd?

Ik zou graag positiever zijn maar helaas is het best wel slecht geregeld voor mensen die getroffen worden door een datalek.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
23-11-2016, 15:19 door Anoniem
De overheid zou zijn BSN nummer moeten annuleren en een nieuwe moeten geven... Dat is de enige "VEILIGE" oplossing.
Daarnaast slaat die wet zonder toezicht / controle en dus uitdelen boetes, etc. nergens op... veel te weinig mensen om alle meldingen te controleren en toetsen.
23-11-2016, 15:46 door Anoniem
'Oplossing' op termijn: nieuw BSN verstrekken

De overheid zou slachtoffers van fraude een nieuw BSN dienen te verstrekken.
En aangezien de overheid toch al alles koppelt en gekoppeld heeft zou het administratieve rompslomp argument er weinig meer toe moeten doen.

Bewezen datalek? : nieuw BSN.
Geen gemaar en klaar!
23-11-2016, 15:46 door Ron625
Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden. Dit even los van boetes die de toezichthouder oplegt. Alleen, wat is je schade bij een privacyschending? Welk getal zet je op de tijd en het gedoe met je energiemaatschappij of zorgverzekeraar omdat een grapjas bijvoorbeeld je contract heeft opgezegd?
Dat lijkt mij duidelijk.
Degene die een database beheert met persoonsgegevens is daarvoor verantwoordelijk.
Wordt het lek veroorzaakt door een derde partij, dat moet de beheerder dat uitzoeken met de derde partij, het slachtoffer heeft alleen te maken met de beheerder en niet met derden.
Hierbij is de beheerder verantwoordelijk voor de directe kosten, de indirecte kosten en de vervolg kosten.
Zelfs de (extra) tijd die je nodig hebt voor controles zal de beheerder m.i. moeten vergoeden.
23-11-2016, 17:14 door Anoniem
De enige manier is om niet overal persoonlijke data op te hopen, zoals nu nog wel gebeurt en op vele plekken in de wet is vastgelegd (*kuch* medische gegevens en BSN *kuch*). Oh, en ook eminent oplosbare structurele fouten in aanpak die duidelijk misstanden in de hand werken worden niet eens door de "autoriteit" persoonsgegevens als zodanig herkend (*kuch* ov-faalkaart *kuch*). Er wordt nog veel te vaak naar gemak voor het bedrijf of de overheid gegrepen en gewoon niet nagedacht (*kuch* kentekenparkeren *kuch*). Kan wel even doorgaan, maar... nee, ik denk niet dat een tandeloos vingerzwaaiwetje hier zoden aan de dijk gaat zetten.

Heb vaak genoeg aangeboden uit te leggen hoe het dan wel moet maar overheid en bedrijfsleven willen het gewoon niet horen. Nou, dan maar voelen. Alleen een beetje jammer dat de burger hier met zijn persoonsgegevens als nauwlijks nog als menselijk gezien schild wordt ingezet.
23-11-2016, 17:53 door karma4 - Bijgewerkt: 23-11-2016, 22:08
Door Anoniem: 'Oplossing' op termijn: nieuw BSN verstrekken

De overheid zou slachtoffers van fraude een nieuw BSN dienen te verstrekken.
En aangezien de overheid toch al alles koppelt en gekoppeld heeft zou het administratieve rompslomp argument er weinig meer toe moeten doen.

Bewezen datalek? : nieuw BSN.
Geen gemaar en klaar!
Een bsn hoort geen autenticatie ofwel bewijs van je identiteit te zijn. Het is makelij technisch koppelgegeven als naw verbetering.

In de wet is opgenomen dat de identiteit degelijkgecontroleerd hoort te worden. Ga dat dan ook doen ipv dd bsn als iets bijzonders te zien.
Die stap zou makkelijker worden als we er om te beginnen niet zo moeilijk meer over doen en des te moeilijker over de onzin als iemand zegt: ik weet de naam en bsn dan is het bewijs geleverd.

http://wetten.overheid.nl/BWBR0006297/2014-01-20#HoofdstukV_Artikel5 Het kennen / weten van een bsn nummer valt er niet onder.
http://wetten.overheid.nl/BWBR0011468/2016-01-01 artikel 24 noemt het bsn niet expliciet. Er staat alleen dat het enkel voor het genoemde doel gebruikt mag worden. Dat is registratie en koppelen gegevens van bestanden door de overheid. Ik ben nog nergens een wet tegengekomen die zegt dat het doel van de bsn de identificatie is.
24-11-2016, 07:01 door Anoniem
"Ja, heb je concreet nadeel van dit datalek dan is dat te verhalen. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden."

Ik zie het kat en muis spelletje alweer aankomen dat ik aan moet gaan tonen dat de schade veroorzaakt is door dat specifieke lek.

In de toekomst zullen er alleen maar meer en vaker persoonsgegevens lekken en is het dan ook voor de hand liggend dat van 1 persoon door meerdere partijen gegevens gelekt zijn, toon dan maar eens aan dat de schade door een specifiek lek veroorzaakt is.
24-11-2016, 08:56 door Anoniem
Dit is natuurlijk de hamvraag die gelijk beantwoord had moeten worden bij instelling van de plicht melding datalekken.
Wat heeft de gedupeerde aan de melding? Hoe verkleint de datalekker de schade voor de gedupeerde?

Het is nu echt over de schutting gooien: "Wij hebben uw persoonlijke gegevens gelekt, geen idee aan wie of wat ermee gaat gebeuren, maar nu weet u ervan dus het is niet meer ons probleem. Succes! En we zien u graag terug als klant."
Yeah, right. Je zit er maar mooi mee. En het advies om je gegevens niet af te staan, komt ten eerste te laat en legt ten tweede de bal ook weer bij de verkeerde.
24-11-2016, 10:26 door Anoniem
Door Anoniem:
In de toekomst zullen er alleen maar meer en vaker persoonsgegevens lekken en is het dan ook voor de hand liggend dat van 1 persoon door meerdere partijen gegevens gelekt zijn, toon dan maar eens aan dat de schade door een specifiek lek veroorzaakt is.

Ik zie dit juist als positief. Als het een uitzondering zou zijn dan zou het voor de paar slachtoffers vechten tegen de
bierkaai worden. Maar als er meer en meer persoonsgegevens gelekt worden dan wordt het op een gegeven moment
een voor iedereen duidelijk te begrijpen fenomeen, en zal het geen moeite meer kosten om als slachtoffer aan te geven
wat er fout is gegaan.

In dit geval (BSN en adres gelekt) is er eigenlijk helemaal niks aan de hand. Het is vergelijkbaar met telefoonnummer
en adres gelekt, ofwel het telefoonboek. Er mag op grond van deze gegevens geen misbruik mogelijk zijn.
Gebeurt dat toch, dan kun je als slachtoffer degene die op grond van BSN en adres iets heeft gedaan waar jij nadeel
van hebt te kijk zetten want "wie accepteert er nou een BSN als identificatie, iedereen weet toch dat die gelekt zijn".

Feit blijft: identiteitsfraude op grond van kennis van BSN is de fout van degene die dit gegeven accepteert als identiteit.
Niks meer en niks minder.
24-11-2016, 10:44 door Anoniem
Privacy bestaat toch niet meer, dus wat nu? Niets nu.
Voor de mensen die huilen hierover en Facebook hebben. Please stfu, k?
24-11-2016, 12:55 door Anoniem
Feit blijft: identiteitsfraude op grond van kennis van BSN is de fout van degene die dit gegeven accepteert als identiteit.
Niks meer en niks minder.
Ja het is toch van de zotten dat het mogenlijk is om van alles aan en af te sluiten alleen om dat ze je BSN gegevens hebben, en geloof maar om die te krijgen hoeven ze niet eens veel moeite te doen, ze kunnen hier mee heel
je gegevens mee opvragen.
En het zelfde geldt voor een kopie van je ID kaart.
24-11-2016, 13:08 door Anoniem
Door Anoniem: Privacy bestaat toch niet meer, dus wat nu? Niets nu.
Voor de mensen die huilen hierover en Facebook hebben. Please stfu, k?

Het gaat niet om dingen die jijzelf vrijwillig "lekt", maar om jouw gegevens die bijvoorbeeld door je werkgever worden gelekt.
In het eerste geval heb je een keuze. In het tweede geval niet.
24-11-2016, 14:11 door Anoniem
Bij werkgevers, die gegevens over hun personeel lekken, is er ook nog zoiets als een ondernemingsraad. Deze kan wel wat meer met een lek want het gaat nooit om een enkel gegeven maar meestal om meer gegevens van medewerkers.
De OR kan de bestuurder aanspreken op diens verantwoordelijkheid en maatregelen eisen om herhaling te voorkomen waarbij een OR kan eisen om hiervan op de hoogte gehouden te worden.
Helaas hebben de meeste OR'en geen flauw benul dat privacy ook de gegevens van de eigen medewerkers betreft want ik heb verslagen van OR'en voorbij zien komen waarin akkoord gegeven werd voor verwerkingen waarvan toch iemand had moeten bedenken dat het niet helemaal in de haak was.
Zo werden gehele personeelsdossiers overgedragen, in verband met een aankomende reorganisatie, aan verschillende headhunters om te zien of ze medewerkers aan een anders baan kunnen helpen, jawel inclusief beoordelingen, ziekteverzuim en eventuele medische zaken. Het kan dus nog veel erger en meestal komen medewerkers daar zelf nooit achter totdat er incidenten ontstaan. OR'en die op een dergelijke manier liggen te slapen, maar ook personeelsmanagers die dergelijke verwerking regelen, dienen per direct op non-actief gesteld te worden want de schade die deze mensen aanrichten is niet te overzien.
Maar medewerkers zelf moeten ook mondiger worden, zo mogen medewerkers gewoon van een werkgever inzage vragen in hun dossier maar ook met wie gegevens worden gedeeld en welke gegevens dat dan zijn.
24-11-2016, 14:43 door Anoniem
Door Anoniem: "Ja, heb je concreet nadeel van dit datalek dan is dat te verhalen. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden."

Ik zie het kat en muis spelletje alweer aankomen dat ik aan moet gaan tonen dat de schade veroorzaakt is door dat specifieke lek.

In de toekomst zullen er alleen maar meer en vaker persoonsgegevens lekken en is het dan ook voor de hand liggend dat van 1 persoon door meerdere partijen gegevens gelekt zijn, toon dan maar eens aan dat de schade door een specifiek lek veroorzaakt is.

Het zou veel mooier zijn dat iedere lekker hoofdelijk aansprakelijk is voor alle door jouw geleden schade.

Aan de vraagsteller zou ik aanraden om de werkgever terug te melden dat je het bericht hebt ontvangen en dat je hem nu en in de toekomst hoofdelijk aansprakelijk stelt voor iedere schade die eventueel veroorzaakt kan zijn door het lekken van adres en BSN. Dat die aansprakelijkheid ook geldt indien andere partijen de gegevens lekken.

Omdat het de werkgever is, lijkt het verstandig om gezamelijk, via de OR, dit bij de werkgever neer te leggen. Hij kan dat vervolgens gewoon doorzetten naar die externe partij.

Peter
24-11-2016, 15:38 door Anoniem
Als het BSN gevoelig zou zijn: elke eenmanszaak heeft als BTW-nummer het persoonlijke BSN nummer van de eigenaar. Op dit moment liggen er dus potentieel 1.000.000 BSN nummers op straat via de KvK database.
24-11-2016, 15:51 door Anoniem
Door Anoniem:
Helaas hebben de meeste OR'en geen flauw benul dat privacy ook de gegevens van de eigen medewerkers betreft want ik heb verslagen van OR'en voorbij zien komen waarin akkoord gegeven werd voor verwerkingen waarvan toch iemand had moeten bedenken dat het niet helemaal in de haak was.

Als OR kun je ook niet al te veel doen. Op veel punten heb je alleen een adviesrol (je kunt wel adviseren het niet
te doen maar daar kan de directie toch anders op beslissen) en op punten waar wel je akkoord nodig is kun je ook
niet te hele tijd nee zeggen en je hakken in het zand zetten want daarmee verpest je de sfeer in het overleg met
de directie. Vaak wil men die goed houden voor andere situaties die wellicht belangrijker gevonden worden.

Uitbesteden van niet-core-business activiteiten is tegenwoordig zo gebruikelijk dat je wel een sterk verhaal moet hebben
om dat tegen te houden, het algemene verhaal "het gaat heel vaak mis" daar kom je er niet mee, zeker omdat dit
soort partijen vaak met wollige kwaliteitskeurmerken en certificaties aan komt. Dat die niet meer waard zijn dan
het papier waarop ze gedrukt zijn dat weten "wij" wel, maar een directeur ziet dat anders.
24-11-2016, 18:18 door Anoniem
Door Anoniem:
Aan de vraagsteller zou ik aanraden om de werkgever terug te melden dat je het bericht hebt ontvangen en dat je hem nu en in de toekomst hoofdelijk aansprakelijk stelt voor iedere schade die eventueel veroorzaakt kan zijn door het lekken van adres en BSN. Dat die aansprakelijkheid ook geldt indien andere partijen de gegevens lekken.

Dat lijkt me nogal autistisch. De meesten willen de relatie met hun werkgever niet op deze manier verpesten.


Omdat het de werkgever is, lijkt het verstandig om gezamelijk, via de OR, dit bij de werkgever neer te leggen. Hij kan dat vervolgens gewoon doorzetten naar die externe partij.

Ach die externe partij heeft inmiddels al verklaard dat zij het niet gedaan hebben en dat het gedaan is door een andere
externe partij die zij weer hadden ingeschakeld... dit gaat echt niks opleveren.
24-11-2016, 20:03 door karma4 - Bijgewerkt: 24-11-2016, 20:05
De vraag doe me denken aan het Philips / ASML lek.
CIAN de interne afdeling afgestoten naar randstad in 2007 en in 2009 weer verkocht aan NGA (NorthGateArinso). Dat betekent ook conversie van de data naar andere "systemen" (nee OS niet relevant). Dan vind er een bestandsoverdracht plaats via ? (eg usb sticky zipped). http://www.ed.nl/economie/philips/cian-door-randstad-afgestoten-aan-britten-1.2169474.

ASML en Philips waren ooit één organisatie dat HR ASML altijd elders is gebleven gebeurt vaker.
http://www.nu.nl/internet/4350472/salarisgegevens-asml-medewerkers-gelekt.html of http://agconnect.nl/artikel/ook-gegevens-asmlers-op-straat Ook op de NOS staat een artikel met de verwijzing dat het om jaaropgaven over 2010 ging. Elders weer data dat datastructurering niet met die van NGA aanpak overeen komt.

Even kijken naar het bedrijf zelf http://nl.ngahr.com/over/nieuws Veel bedrijven hebben dit soort werk buiten de deur niet alleen NGA er zijn velen namen Ik geloof dat 80% van de bedrijven zoiets uitbesteed heeft. Vreemd dat er op dit forum geen aandacht aan dat datalek aan gegeven is.

Nee een OR zal er niets aan kunnen doen, een OR lid moet oppassen dat hij niet er uit gewerkt wordt omdat hij te lastig is. Je zou de OR ook kunnen feteren met extra's om niet te lastig te zijn (Bouwman).

Met het AP en WBP is er één troost de werkgever (Philips/Asml) blijft eerste verantwoordelijke. De verhaalvraag daar neerleggen voorkomt een kastje muur effect.

Door Anoniem: Als het BSN gevoelig zou zijn: elke eenmanszaak heeft als BTW-nummer het persoonlijke BSN nummer van de eigenaar. Op dit moment liggen er dus potentieel 1.000.000 BSN nummers op straat via de KvK database.
Bedrijfsleiding is hoofdelijk aansprakelijk met het gevolg dat ze met naam en toenaam bekend zijn. Als ondernemer moet je je profileren, je moet gevonden kunnen worden. Dat betekent in de legale wereld openbaar en illegale wereld via bepaalde kringen. Alles ligt uiteindelijk op straat, met illegale wereld en hun afrekeningen wat naar in hun context.
24-11-2016, 22:19 door Ron625
Door Anoniem: Ach die externe partij heeft inmiddels al verklaard dat zij het niet gedaan hebben en dat het gedaan is door een andere externe partij die zij weer hadden ingeschakeld.
Maar dat is hun probleem, niet die van "ons".
Piet heeft een database, waar jij in staat, dus is Piet verantwoordelijk naar jou.
Partijen waar Piet mee in zee gaat, is een probleem van en voor Piet, jij hebt alleen met Piet te maken!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.