image

Juridische vraag: Is er sprake van adequate beveiliging als een usb-stick met gevoelige persoonsdata aangetekend wordt verstuurd?

woensdag 25 januari 2017, 11:18 door Arnoud Engelfriet, 29 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Recent las ik dit nieuwsbericht over de GGD IJsselland die een usb-stick met persoonlijke informatie kwijtraakte. Kan de Autoriteit Persoonsgegevens een boete opleggen als een USB-stick is kwijtgeraakt die gevoelige persoonsgegevens bevatte, maar die per aangetekende post was verzonden?

Antwoord: De Autoriteit Persoonsgegevens kan als toezichthouder inderdaad een boete opleggen wanneer persoonsgegevens worden verwerkt zonder adequate beveiliging.

Onder 'verwerken' valt iedere handeling met persoonsgegevens, dus ook het transporteren daarvan ongeacht het medium. Verzenden per post is dus net zo goed een verwerking als een digitale transmissie.

De wet definieert niet wat 'adequaat' is. Dit moet per geval worden ingeschat en uitgewerkt. Het moet dan zowel gaan om technische als organisatorische beveiliging. Sterke encryptie is bijvoorbeeld leuk, maar als het wachtwoord er op een geel briefje bij zit, dan heb je er alsnog niets aan.

Een verzending per post lijkt me op zich niet adequaat als beveiliging. Ook niet als je dat aangetekend doet. Natuurlijk, er is het briefgeheim maar daarop vertrouwen is een tikje mager. Er zijn genoeg scenario's waarin legitiem de post bij de verkeerde persoon terecht kan komen. De envelop wordt gestolen, hij scheurt onderweg open en de stick valt eruit, en ga zo maar door.

Veel beter was geweest die usb-stick van encryptie te voorzien, en het wachtwoord via een ander kanaal te versturen. Dan maakt het niet uit dat de stick wordt gestolen, gekopieerd of wat dan ook. En er zijn gewoon standaard sticks in de markt met sterke encryptie, dus er is wat mij betreft geen enkel excuus.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (29)
25-01-2017, 12:01 door Anoniem
Sterker nog; door een stick met belangrijke gegevens onversleuteld, maar aangetekend te versturen, geef je meteen aan dát er belangrijke data op die stick staat.
Het is daarom m.i. veiliger om een onversleutelde stick niet-aangetekend te versturen.
25-01-2017, 12:31 door Anoniem
Daar zijn speciale koeriers voor, maar ik neem aan dat die stick daarnaast op z'n minst encrypted is.
25-01-2017, 13:30 door Anoniem
Onder 'verwerken' valt iedere handeling met persoonsgegevens, dus ook het transporteren daarvan ongeacht het medium.

Zou je dan een bewerkersovereenkomst moeten hebben met PostNL?

En waarom zou het wel acceptabel zijn als het gaat om het versturen van 1 document waarop persoonsgegevens/BSN voorkomen? Die krijg ik namelijk regelmatig in de brievenbus. Mijn zorgverzekeraar lekt dus ook persoonsgegevens?
25-01-2017, 14:21 door Anoniem
Door Anoniem:
Onder 'verwerken' valt iedere handeling met persoonsgegevens, dus ook het transporteren daarvan ongeacht het medium.

Zou je dan een bewerkersovereenkomst moeten hebben met PostNL?

En waarom zou het wel acceptabel zijn als het gaat om het versturen van 1 document waarop persoonsgegevens/BSN voorkomen? Die krijg ik namelijk regelmatig in de brievenbus. Mijn zorgverzekeraar lekt dus ook persoonsgegevens?

Transport valt toch niet onder verwerken? Als data via een verbinding naar een verwerker gaat, is dan het bedrijf dat het netwerkverkeer verzorgt (bv. XS4all) een verwerker? Nee toch?
25-01-2017, 15:05 door Anoniem
Indien je plaintext data verstuurt, dan is het vrij logischer dat iets ''aangetekend versturen'' geen vorm van ''goede beveiliging is''. Het enige wat je hierdoor kan krijgen is een vergoeding van de verzekering indien het pakketje kwijt raakt. Verdere gevolgen kan je voorkomen door daadwerkelijke beveiligingsmaatregelen, zoals encryptie.

Stel dat de stick netjes wordt afgeleverd, conform de afspraken met het postbedrijf. Geeft dat enige garantie op de vraag of de gegevens voor aflevering bijvoorbeeld zijn gekopieerd ? Is de postbode bij een aangetekende pakketje met een USB stick ''betrouwbaarder'', dan met hetzelfde pakketje, niet aangetekend ? ;)
25-01-2017, 15:07 door Anoniem
"maar ik neem aan dat die stick daarnaast op z'n minst encrypted is."

Op basis waarvan neem je dit aan, het niet lezen van de artikelen waarop je reageert ?

GGD IJsselland is een onbeveiligde usb-stick verloren met persoonlijke informatie van een gezin uit het Overijsselse Balkbrug
25-01-2017, 16:01 door Anoniem
Door Anoniem: Transport valt toch niet onder verwerken? Als data via een verbinding naar een verwerker gaat, is dan het bedrijf dat het netwerkverkeer verzorgt (bv. XS4all) een verwerker? Nee toch?
Het antwoord is hierboven al door Arnoud gegeven:
Onder 'verwerken' valt iedere handeling met persoonsgegevens, dus ook het transporteren daarvan ongeacht het medium. Verzenden per post is dus net zo goed een verwerking als een digitale transmissie.
Bedenk dat verwerken iets anders is dan bewerken. In het algemeen is het al zo dat bewerken iets verandert, maar verwerken niet per se, iets in een andere omgeving brengen is al verwerken volgens woorden.org. Maar hier gaat het niet om algemeen taalgebruik maar om wat de betreffende wet onder verwerken van persoonsgegevens bestaat, en dat is ongetwijfeld zorgvuldig gedefinieerd. En ook dat maakt deel uit van Arnoud's antwoord: het gaat om iedere handeling.
25-01-2017, 16:15 door Arnoud Engelfriet
Transport valt onder verwerken (artikel 1 punt b Wbp), zie "doorzending" met name. Ik denk dat PostNL desondanks buiten de Wbp valt omdat zij een niet-geautomatiseerde verwerking zonder bestand doet (artikel 2 lid 1 Wbp). Ook zou je kunnen zeggen dat PostNL een zelfstandig verantwoordelijke is omdat ze zelf doel en middelen bepalen van hun postdienst.

En @Anoniem 16:01, nooit een woordenboek gebruiken om de betekenis van een juridische term te achterhalen. Altijd eerst kijken of de wet zelf een definitie heeft.
25-01-2017, 17:13 door Anoniem
Ik denk dat in dit geval adequaat inderdaad minimaal encrypten is. En aangetekend omdat je zeker wil zijn dat de kans het grootst is dat de ontvanger die je bedoeld de stick ontvangt.
Je moet nog een adequate maatregel nemen, je moet gegevens ook beschermen tegen verlies of verandering. Ik zou er tevens voor kiezen om de stick te beschermen tegen electromagnetische straling.
25-01-2017, 17:34 door Briolet
Door Anoniem: Is de postbode bij een aangetekende pakketje met een USB stick ''betrouwbaarder'', dan met hetzelfde pakketje, niet aangetekend ? ;)

Ja. De stroom aangetekende brieven worden anders behandeld dan gewone brieven. Er komen minder mensen mee in aanraking en intern wordt beter bijgehouden wie bij een overdracht van een poststuk betrokken is. Lang niet alle sorteercentra verwerken de aangetekende zendingen.

Ook de bezorger is anders. De postbesteller mag geen aangetekende zendingen bezorgen. Iets wat de postbode vroeger wel deed.
25-01-2017, 17:39 door Anoniem
Een AES encrypted USB stick kopen was goedkoper geweest dat alle energie en tijd die gestopt was in deze forum posting :-)
25-01-2017, 19:30 door karma4
Door Arnoud Engelfriet: Transport valt onder verwerken (artikel 1 punt b Wbp), zie "doorzending" met name. Ik denk dat PostNL desondanks buiten de Wbp valt omdat zij een niet-geautomatiseerde verwerking zonder bestand doet (artikel 2 lid 1 Wbp). ..
PostNL heeft een flink geautomatiseerde verwerking.
Er is echter een postwethttp://wetten.overheid.nl/BWBR0025572/2017-01-01 en een wettelijk briefgeheim
http://www.iusmentis.com/technologie/email/briefgeheim/. De vraagstelling is interessant of bij het fysieke vervoer op een aparte overeenkomst over moet gaan of dat omdat het altijd zo ging en geheimhouding gedekt is voldoende is of dat een generiek raamwerk (algemene voorwaarden) voldoende is.
25-01-2017, 23:51 door Anoniem
Door Anoniem: "maar ik neem aan dat die stick daarnaast op z'n minst encrypted is."

Op basis waarvan neem je dit aan, het niet lezen van de artikelen waarop je reageert ?

GGD IJsselland is een onbeveiligde usb-stick verloren met persoonlijke informatie van een gezin uit het Overijsselse Balkbrug

Waarom baseer ik dat?
Dat is het antwoord op wat AP wenst. als je dat doet is er geen probleem want je hebt gezorgd voor dubbele beveiliging.
1. Encryptie data
2. Fysiek vervoer enkel via "echt veilige" courier (certificaat van transport, speciaal brandwerend kluisje, etc.)
25-01-2017, 23:55 door Anoniem
Door karma4:
Door Arnoud Engelfriet: Transport valt onder verwerken (artikel 1 punt b Wbp), zie "doorzending" met name. Ik denk dat PostNL desondanks buiten de Wbp valt omdat zij een niet-geautomatiseerde verwerking zonder bestand doet (artikel 2 lid 1 Wbp). ..
PostNL heeft een flink geautomatiseerde verwerking.
Er is echter een postwethttp://wetten.overheid.nl/BWBR0025572/2017-01-01 en een wettelijk briefgeheim
http://www.iusmentis.com/technologie/email/briefgeheim/. De vraagstelling is interessant of bij het fysieke vervoer op een aparte overeenkomst over moet gaan of dat omdat het altijd zo ging en geheimhouding gedekt is voldoende is of dat een generiek raamwerk (algemene voorwaarden) voldoende is.

Het briefgeheim is geen garantie voor het veilig bewaren/transporteren van data.
Briefgeheim vergeleken met een internet term zou zeggen, geen briefgeheim is http, wel briefgeheim is https.
Https is veiliger, maar met de minimum voorwaarden om https te draaien ben je nog niet veilig. Echt veilig https gaat toch wat verder.
25-01-2017, 23:59 door Anoniem
Door Anoniem: Een AES encrypted USB stick kopen was goedkoper geweest dat alle energie en tijd die gestopt was in deze forum posting :-)

Ik denk dat ze voor bijv. gegevens incl. BSN 128 bits sleutel niet genoeg gaan vinden. Daar is 256 wel wenselijk denk ik.
26-01-2017, 06:58 door Anoniem
Het briefgeheim werkt volgens mij beter dan het 'onlinegeheim'
26-01-2017, 08:56 door sjonniev
Door Anoniem: Een AES encrypted USB stick kopen was goedkoper geweest dat alle energie en tijd die gestopt was in deze forum posting :-)

Versleutelingssoftware is nog goedkoper https://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophossafeguarddataexchangedsna.pdf
26-01-2017, 10:16 door Anoniem
Het gaat nog een groot probleem worden om dit op te lossen. Jullie kunnen allemaal wel babbelen over hoeveel bits
er gebruikt moeten worden, maar echt een gemiddelde administratief medewerker op een kantoor heeft absoluut geen
idee waar het over gaat en hoe het toe te passen.

Wij hebben uitgebreide werkinstructies op intranet staan voor het beveiligd versturen van bestanden bijvoorbeeld per
mail of USB stick, maar men snapt niet eens het concept en het doel. Bijvoorbeeld er wordt beschreven hoe je een
willekeurig bestand in een ZIP file met password kunt zetten en dan komt de andere kant met "ja maar ik heb hem
ontvangen en ik kan het document gewoon openen zonder password". Na heel lang heen en weer vragen blijkt dat
men bedoelt dat men wel het wachtwoord invoert voor unzippen maar het bestand wat men dan op de schijf heeft is
niet beveiligd en dat verwacht men wel want het zou immers beveiligd gemaild worden.

Het hele idee dat je een bestand alleen beveiligt voor transport via een onveilig medium dat is iets wat die mensen
totaal niet duidelijk is. En denk niet "dan leg je het uit en dan is dat opgelost" want 2 maanden later komen ze
gewoon met dezelfde vraag. Je moet je inleven met mensen voor wie dit niet een normale manier van denken is
(zoals voor de IT'er) en die zich helemaal niet bewust zijn van wat ze nou precies doen.

In een dergelijke omgeving is het heel lastig om datalekken te voorkomen omdat je niet bezig bent vanuit een bewust
gedrag maar alleen met truukjes en werkbeschrijvingen waarvan de mensen denken "de baas zegt dat het zo moet
dus doe ik het maar, maar ik vind het allemaal maar raar gedoe". Dan is een foutje zo gemaakt.
26-01-2017, 10:50 door Anoniem
Door Anoniem: Een AES encrypted USB stick kopen was goedkoper geweest dat alle energie en tijd die gestopt was in deze forum posting :-)

Dit is klinklare onzin,
Ten eerste zijn in talloze tests zogenaamde encrypted sticks doorgezaagd en door de mand gevallen.
Betrouwbare encrypted sticks zijn goed aan de prijs.

Daarnaast heeft deze posting wel degelijk zin, voor al die mensen die nu weten wat wel en niet goed is om te doen.
Blijkbaar weet jij alle antwoorden al, voeg dan ook wat nuttigs toe.
26-01-2017, 12:12 door Anoniem
Door Anoniem:

<knip>

In een dergelijke omgeving is het heel lastig om datalekken te voorkomen omdat je niet bezig bent vanuit een bewust
gedrag maar alleen met truukjes en werkbeschrijvingen waarvan de mensen denken "de baas zegt dat het zo moet
dus doe ik het maar, maar ik vind het allemaal maar raar gedoe". Dan is een foutje zo gemaakt.

Hear hear! I couldn't agree more.
26-01-2017, 15:58 door Anoniem
Hoe zit het eigenlijk met het ontvangende bedrijf? Zijn die "schoon" en zonder motief om de waarschijnlijk bewijsdragende USB-stick zelf uit de wereld te helpen? En had de GGD nog een kopie van de informatie die op de verdwenen USB-stick stond, zodat uiteindelijk de ontvanger toch nog alle informatie heeft gekregen?
26-01-2017, 17:02 door karma4
Door Anoniem:
Door Anoniem:

<knip>

In een dergelijke omgeving is het heel lastig om datalekken te voorkomen omdat je niet bezig bent vanuit een bewust
gedrag maar alleen met truukjes en werkbeschrijvingen waarvan de mensen denken "de baas zegt dat het zo moet
dus doe ik het maar, maar ik vind het allemaal maar raar gedoe". Dan is een foutje zo gemaakt.

Hear hear! I couldn't agree more.
Eens. Een van mijn ergernissen ict - ers die zeggen hier heb je een tooltje..... veel plezier. Dat het niet eens behulpzaam. Is maakt ze niet eens wat uit.
26-01-2017, 18:36 door Anoniem
Door karma4:
Eens. Een van mijn ergernissen ict - ers die zeggen hier heb je een tooltje..... veel plezier. Dat het niet eens behulpzaam. Is maakt ze niet eens wat uit.

Je hebt het kennelijk helemaal niet begrepen.
Er is geen situatie van "hier heb je een tooltje", er is een complete werkbeschrijving met doel van de handelingen en
beschrijving hoe het precies te doen.

Maar wat ontbreekt is het mentale plaatje van wat er precies gebeurt, waarom dat al dan niet effectief is, en wat de
situatie is bij de ontvanger. Dat komt omdat het beeld wat "wij" hebben (wat een bestand is, wat je kunt doen om
het te encryptedn en decrypten, etc) helemaal niet leeft bij een medewerker van de administratie.

En dat verander je niet zomaar door ze te helpen, althans wel bij de een maar niet bij de ander.
Het zou op zich niet erg zijn als men zich dan maar wel slaafs aan de werkbeschrijving houdt, maar je voorkomt
bijna niet dat er fouten gemaakt worden waardoor er uiteindelijk toch weer data lekt.
26-01-2017, 20:26 door karma4
Door Anoniem: ....
Je hebt het kennelijk helemaal niet begrepen.
......
Wat denk je wat ik al tientallen jaren zie gebeuren.
Ict ers die met uitgebreide voorschriften zie komen die volgens hun het proces zijn. Gebruikers moeten vooral niet nadenken ynnyyn 14 re regel van boven 10 naar rechts tik naam.

Bestansduitwisseling alleen via een bepaald loket met vooraf bepaalde bestemmingen en omvang. Iets anders nodig...

Malware gezien koop maar een programma daartegen veel goedkoper dan het probleem aanpakken bij de persoon.

Ooit de kano parabel gelezen net zo bij de tijd als de swing tree.
Het Is onbegrijpelijk dat het probleem niet begrepen wordt. Zal wel iets te maken hebben met veranderingsgezindheid in managen.
27-01-2017, 07:29 door Anoniem
Door karma4:
Door Anoniem:
Door Anoniem:

<knip>

In een dergelijke omgeving is het heel lastig om datalekken te voorkomen omdat je niet bezig bent vanuit een bewust
gedrag maar alleen met truukjes en werkbeschrijvingen waarvan de mensen denken "de baas zegt dat het zo moet
dus doe ik het maar, maar ik vind het allemaal maar raar gedoe". Dan is een foutje zo gemaakt.

Hear hear! I couldn't agree more.
Eens. Een van mijn ergernissen ict - ers die zeggen hier heb je een tooltje..... veel plezier. Dat het niet eens behulpzaam. Is maakt ze niet eens wat uit.

Moeten de ICT'ers zich dan gaan opstellen als security-docenten? Precies. Als men interesse heeft in de werking is daarop in te lezen, dat verklaren behoort niet tot de taak van ICT. Dat behoort nog eerder aan ons algeheel onderwijs en dus uiteindelijk basiskennis toe. I wish I were kidding, maar het is eigenlijk de harde realiteit waar we nu al jaren onderuit proberen te kruipen.
27-01-2017, 07:32 door Anoniem
Door karma4:
Door Anoniem: ....
Je hebt het kennelijk helemaal niet begrepen.
......
Wat denk je wat ik al tientallen jaren zie gebeuren.
Ict ers die met uitgebreide voorschriften zie komen die volgens hun het proces zijn. Gebruikers moeten vooral niet nadenken ynnyyn 14 re regel van boven 10 naar rechts tik naam.

Bestansduitwisseling alleen via een bepaald loket met vooraf bepaalde bestemmingen en omvang. Iets anders nodig...

Malware gezien koop maar een programma daartegen veel goedkoper dan het probleem aanpakken bij de persoon.

Ooit de kano parabel gelezen net zo bij de tijd als de swing tree.
Het Is onbegrijpelijk dat het probleem niet begrepen wordt. Zal wel iets te maken hebben met veranderingsgezindheid in managen.

Gebruikers lever je instructies, op het moment dat je dit soort beveiligingskwesties aan laat komen aan eigen ingeving van de gebruiker krijg je niet-kloppende aannames. Dan is het volgen van een instructie (die niet alles in werking maar in stappen uitlegt) belangrijker dan het missen van de interpretatie erachter waar de gebruiker feitelijk niet in geinteresseerd blijkt. Anders zijn de bronnen daarvoor, wederom overal te vinden.
27-01-2017, 09:00 door SecGuru_OTX
Beste Arnoud,

Ik zou veel liever het voorbeeld van de Nederlandse rechtbanken willen gebruiken. De AP verplicht om persoonsgegevens adequaat te beveiliging, de rechtbanken accepteren alleen geen beveiligde USB sticks, zie de letterlijke tekst op rechtspraak.nl (https://www.rechtspraak.nl/SiteCollectionDocuments/Instructie-indienen-stukken-in-IE-zaken.pdf)

"Alle processtukken (dagvaarding, conclusies en aktes) dienen in onbeveiligd en volledig bewerkbaar Word-format alsmede in PDF-format te worden ingediend op een digitale drager, bij voorkeur een USB-stick."

Dit terwijl advocaten die de processtukken moeten indienen, ook nog eens met een beroepsgeheim te maken hebben.

Voldoet de rechtbank hier zelf dan niet aan de wet bescherming persoonsgegevens?
27-01-2017, 14:10 door Anoniem
Beste Arnoud,

Wat mij dwars zit in deze zaak, is dat vóór het digitale tijdperk nog gewoon leesbaar papier zou zijn gebruikt dat iedereen zou kunnen lezen. Oók degene voor wiens ogen het niet bestemd is, en die het document onderweg heeft ontvreemd.
Wat deed je vroeger dan met je papieren documenten? Dan verzond je het aangetekend. Raakte het dan toch kwijt, dan kon dat heel vervelend zijn, maar trof naar mijn weten de verzender juridisch geen blaam.

De onversleutelde USB-stick die hier kwijt is geraakt, is vergelijkbaar met ouderwetse leesbare documenten.
Beide informatiedragers zouden gekopieerd kunnen worden en verspeid (papieren documenten bijv. via de roddelpers).
Ik zie daarom niet zo de noodzaak om een USB-stick versleuteld op te versturen in geval van aangetekende post.
Maar bij versturen via de gewone post zou de USB-stick wél versleuteld moeten zijn.
27-01-2017, 19:49 door karma4
Door Anoniem:Het briefgeheim is geen garantie voor het veilig bewaren/transporteren van data. ... .
De clou is dat er iets voor het fysieke papier/post wel een regeling / strafmaat is geregeld. In de cyber wereld echter niets.
Techniek is niet alles er zal altijd een weg omheen zijn legaal dan wel illegaal.

Door Anoniem: ....
Gebruikers lever je instructies, op het moment dat je dit soort beveiligingskwesties aan laat komen aan eigen ingeving van de gebruiker krijg je niet-kloppende aannames. .
En wat dan met de niet-kloppende aannames van degeen die de instructies maakt. Die zijn echt niet onfeilbaar.

Door Anoniem:
Moeten de ICT'ers zich dan gaan opstellen als security-docenten? Precies. Als men interesse heeft in de werking is daarop in te lezen, dat verklaren behoort niet tot de taak van ICT. Dat behoort nog eerder aan ons algeheel onderwijs en dus uiteindelijk basiskennis toe. I wish I were kidding, maar het is eigenlijk de harde realiteit waar we nu al jaren onderuit proberen te kruipen.
Interessante stellingname waar ik me wel in kan vinden. Als we het BSN er bij halen en dan identiteitsfraude noemen. Waar is het bewustzijn dat er een verschil is met te zeggen wie je bent (mag liegen identificatie) en het bewijs leveren dat die bewering klopt (autenticatie). Waarna nog acties rond autorisatie kunnen spelen. kennen kunnen kannen worden door elkaar gegooid en het wordt nog gewoon gevonden ook.

Door SecGuru_OTX: <knip> Voldoet de rechtbank hier zelf dan niet aan de wet bescherming persoonsgegevens?
Ook heel interssant. Aanvullende vrageng van mij:
- welke deel van de rechts/processtukken is openbaar
- wat valt onder het beroepsgeheim van advocaten, komt dat ooit wel bij rechtbanken of handhavers..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.