image

Juridische vraag: Als PC-monteur wordt mij wel eens ongevraagd persoonlijke informatie gemaild. Hoe ga ik hier mee om?

woensdag 2 augustus 2017, 14:52 door Arnoud Engelfriet, 11 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Af en toe krijgen wij als PC-monteurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail is natuurlijk onbeveiligd. Wat moeten wij daar mee?

Antwoord: Inderdaad ben je onder de AVG verplicht zorgvuldig met persoonsgegevens om te gaan die je binnenkrijgt, en het doet er niet toe of je gevraagd hebt om die gegevens. Maar het is niet zo dat je per direct een boete krijgt wanneer iemand je ongevraagd zijn medisch dossier mailt, of zelfs maar dat die persoon een schadeclaim kan indienen. Zolang je maar adequaat je mail monitort op dergelijke gegevens, en ze wist zodra duidelijk is dat ze irrelevant zijn.

Wanneer de gegevens van een collega komen, wordt het een iets ander verhaal. Die collega is verantwoordelijke voor die gegevens, en mag ze niet zomaar aan een derde verstrekken. Dat mag in dit soort situaties eigenlijk alleen als jij als verwerker (voorheen: bewerker) bent aangesteld en er een verwerkersovereenkomst tussen jou en hem is gesloten, waarin staat dat jij in de uitvoering van je PC-reparaties persoonsgegevens kan ontvangen, dat je daarmee zorgvuldig om zult gaan et cetera. Die zal er dus sowieso moeten komen.

Nog steeds ben je dan niet schadeplichtig als je die mails binnenkrijgt en er adequaat op reageert. Maar hij is dat wel: hij verstrekt persoonsgegevens aan derden zonder afdoende maatregelen te hebben genomen. Dus de bal ligt bij hem om hier wat aan te doen. Hooguit ontstaat voor jou een probleem als dit stelselmatig gebeurt en je nooit eens een escalatie opstart om hier een einde aan te maken (of een verwerkersovereenkomst te sluiten).

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (11)
02-08-2017, 17:33 door Anoniem
Geen wachtwoorden doorgeven via Email maar doorbellen.
02-08-2017, 18:13 door Anoniem
Zorg dat je mailserver transport security ondersteunt. Dan kan je ernaar wijzen en zeggen dat je ook voor ongevraagde emails je best gedaan hebt de boel te versleutelen. Practisch zal het nauwlijks wat uitmaken, maar het is een puntje in je voordeel voor de rechter. Nog wel even de toegang tot de server beveiligen en wellicht full disk encryptie erop, en let op je backups.

Publiceer ook een GPG-sleutel voor versleutelde communicatie (en zorg dat je zo versleutelde emails kan lezen!) zodat er in voorkomende gevallen ook echt end-to-end versleuteld gemaild kan worden. Dan heb je iets wat ook technisch zoden aan de dijk zet.

Maargoed, wat de klanten danwel de eerstelijnsdienstverleners zouden moeten doen, is nadenken en de gevoelige data eruit strepen. Als ze dat ongevraagd en onnodig toch sturen, zelf dan maar wegstrepen, zeker als je het doorstuurt naar anderen. Als je strikt wil zijn kan je een mailtje terugsturen (ZONDER de originele informatie, ook niet als ge-top-poste quote, of doorgestuurd aanhangsel, zeg) en zeggen dat dit veel te veel informatie is en stuur het maar opnieuw met meer relevante en minder irrelevante informatie, en nu versleuteld graag. Als dat een duidelijk bedrijfscultuurtje wordt is er weinig meer om je over op je vingers te tikken.

Lijkt me dat de samenwerking aanhalen met die eerstelijnsdienstverleners door zowel een informatieverwerkingsovereenkomst als duidelijke afspraken wat wel en niet door te sturen, wellicht een korte cursus versleuteld emailen naar jullie, een hele goede investeringen in de toekomst is. Zeker als je er gelijk tussenstopt hoe effectief te emailen (RFC1855, etc.) en er dus minder in opperste verwarring heen-en-weer gemaild hoeft te worden, wat toch een groot deel van de bedrijfsemailstroom uitmaakt.
03-08-2017, 08:51 door Anoniem
Door Anoniem:
Publiceer ook een GPG-sleutel voor versleutelde communicatie (en zorg dat je zo versleutelde emails kan lezen!) zodat er in voorkomende gevallen ook echt end-to-end versleuteld gemaild kan worden. Dan heb je iets wat ook technisch zoden aan de dijk zet.
Afgezien even dat PGP bijna door niemand ondersteund wordt, en zelfs dat de meeste er nog nooit van gehoord hebben. Ga dan voor s/mime, dat kan zowel authenticatie als encryptie gebruikt worden, en wordt bijna door iedere mail client direct ondersteund. Is ook iets gemakkelijker uit te leggen aan een gebruiker.
03-08-2017, 09:37 door Anoniem
Door Anoniem:
Door Anoniem:
Publiceer ook een GPG-sleutel voor versleutelde communicatie (en zorg dat je zo versleutelde emails kan lezen!) zodat er in voorkomende gevallen ook echt end-to-end versleuteld gemaild kan worden. Dan heb je iets wat ook technisch zoden aan de dijk zet.
Afgezien even dat PGP bijna door niemand ondersteund wordt, en zelfs dat de meeste er nog nooit van gehoord hebben. Ga dan voor s/mime, dat kan zowel authenticatie als encryptie gebruikt worden, en wordt bijna door iedere mail client direct ondersteund. Is ook iets gemakkelijker uit te leggen aan een gebruiker.
Mijn ervaring is anders. Mensen die wel encryptie begrijpen hebben vaker GPG dan S/MIME paraat. Maargoed, ondersteun S/MIME ook als je toch bezig bent.

In het bijzonder, GPG doet prima authenticatie; het verschil is dat als je betaalt voor een PKI-certificaat er een of ander bedrijf er zijn stempel op zet, en daarmee "garandeert" dat je niet tegen het bedrijf gelogen hebt. De waarde daarvan is een stuk minder dan als iemand die jij goed kent je vertelt dat de houder van deze sleutel ook is wie jij denkt dat'ie is. Je regelt dus met je eerstelijnsdienstverleners dat zij ook een GPG-sleutel paraat hebben en je signeert elkanders sleutel. Je kan zelfs zeggen dat je sleutels door hen gesigneerd ook wel wil vertrouwen.

Dus om nou te zeggen een encryptiesysteem dat afhangt van "commerciële bedrijven die je beschermen tegen iedereen van wie ze geen geld aannemen" is een beter plan dan een systeem dat afhangt van "technisch vaardige types die onderling wel uitmaken wie ze vertrouwen en wie niet", waar de voorkeur voor S/MIME en het argument tegen GPG uiteindelijk op neerkomt, of je het leuk vindt of niet, daar ga ik niet in mee.
03-08-2017, 10:25 door Anoniem
Hoe gaat dat in zijn werk dan?

Hoi mijn PC is kapot.

P.S. Ik heb gisteren een galblaas operatie gehad.

Met vriendelijke groet,

John Dough
03-08-2017, 10:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Publiceer ook een GPG-sleutel voor versleutelde communicatie (en zorg dat je zo versleutelde emails kan lezen!) zodat er in voorkomende gevallen ook echt end-to-end versleuteld gemaild kan worden. Dan heb je iets wat ook technisch zoden aan de dijk zet.
Afgezien even dat PGP bijna door niemand ondersteund wordt, en zelfs dat de meeste er nog nooit van gehoord hebben. Ga dan voor s/mime, dat kan zowel authenticatie als encryptie gebruikt worden, en wordt bijna door iedere mail client direct ondersteund. Is ook iets gemakkelijker uit te leggen aan een gebruiker.
Mijn ervaring is anders. Mensen die wel encryptie begrijpen hebben vaker GPG dan S/MIME paraat. Maargoed, ondersteun S/MIME ook als je toch bezig bent.

De vraag/stelling was: ik krijg ongevraagd persoonlijke informatie gemaild.
Hoe gaat message-level encryptie daar iets aan doen? Als je de mensen kunt vragen om hun bericht te encrypten
(wat niet realisitisch is voor een relatie klant-PC monteur lijkt me...) dan kun je ze ook vragen geen persoonlijke
informatie te mailen.

Die transport encryptie is wat dat betreft een realistischer aanpak, maar wat het precies oplost blijft natuurlijk de vraag.
Je mail is dan wel beveiligd op weg naar je mailserver, maar in de rest van het proces natuurlijk niet.
03-08-2017, 11:34 door Anoniem
Door Anoniem: Hoe gaat dat in zijn werk dan?

Hoi mijn PC is kapot.

P.S. Ik heb gisteren een galblaas operatie gehad.

Met vriendelijke groet,

John Dough
UIteraard kunnen wij uw pc maken.
Graag uw patientendossier en uw belastingaangifte meesturen voor een offerte.

Groeten,
De monteur.
03-08-2017, 13:28 door Anoniem
Door Anoniem: De vraag/stelling was: ik krijg ongevraagd persoonlijke informatie gemaild.
Hoe gaat message-level encryptie daar iets aan doen? Als je de mensen kunt vragen om hun bericht te encrypten
(wat niet realisitisch is voor een relatie klant-PC monteur lijkt me...) dan kun je ze ook vragen geen persoonlijke
informatie te mailen.
Dat was ook de inslag van het originele bericht: Zorg dat de MTA versleuteling ondersteunt, zodat in ieder geval dat stukje van de weg die het emailtje aflegt versleuteld is. Dat mensen beter niet allerlei gevoelige data ongevraagd rondsturen is helemaal waar, maar de gedachte is, als je het dan toch doet, doe het dan versleuteld. Daarom publiceer je alsnog je GPG sleutel (en roep je dat je S/MIME ook ondersteunt). En inderdaad, veel mensen snappen dat niet, zelfs nog minder dan dat ze snappen wat ze wel en niet versturen. Maar precies daarom probeer je dat weer een beetje in te perken, door in ieder geval de eerstelijnsbedrijven, dat zijn dus de bedrijven die het bedrijf van de vraagsteller als tweedelijnsondersteuner inschakelen, te vertellen hoe ze veilig informatie kunnen doorsturen en tegelijk te zorgen dat je zo'n juridische informatieverwerkersovereenkomst hebt. Dat is dus een een-tweetje van technische handreiking en juridisch de boel afdekken.

Met uiteindelijke doel natuurlijk dat ze beter snappen waar ze mee bezig zijn, dat je dat intern duidelijk hebt, maar ook dat je voor een rechter kan laten zien dat je toch echt je best gedaan hebt om niet alleen zorgvuldig met gegevens om te gaan maar ook te zorgen dat je "ketenpartners" dat doen, waarmee je niet alleen aan de letter, maar ook aan de geest van je juridische verplichtingen kan voldoen.

En dat doe je met die bedrijven want daar komen meerdere klanten vandaan en daar heb je een doorlopende overeenkomst mee, dus daar kun je ook dit als voorwaarde stellen om nog zaken met ze te doen, plus hulp om het op te zetten en zo verder. Dat de uiteindelijke klant zelf het niet snapt, ach, dat komt hopelijk zoveel mogelijk op het bordje van die eerstelijnsbedrijven. Het was niet mijn bedoeling alle problemen in de wereld tegelijk op te lossen. Maar ik denk wel dat dit combinatieideetje haalbaar is.

Dit combineren van het technische en het juridische is belangrijk want technisch op zichzelf halen nogal veel de schouders over op en juridisch op zichzelf zorgt voor wassen neuzen of hooguit hap-snap-incompatibel-met-alle-anderen nonoplossingen en onzin.

Die transport encryptie is wat dat betreft een realistischer aanpak, maar wat het precies oplost blijft natuurlijk de vraag.
Je mail is dan wel beveiligd op weg naar je mailserver, maar in de rest van het proces natuurlijk niet.
Ook dat stipte ik al aan: Het maakt technisch weinig uit, maar je kan ermee laten zien dat je toch echt je best gedaan hebt. Dat zijn van die pluspuntjes waar je als je voor de rechter staat het voordeel van de twijfel mee naar je toetrekt.

Is dit nou echt zo moeilijk te snappen? Volgens mij is dit inzichtelijker dan grote dikke rapporten waar je dik voor betaalt aan Hele Dure Consultants die vooral heel veel woorden gebruiken om minder te zeggen dan ik in twee reacties.
03-08-2017, 15:04 door Anoniem
Door Anoniem: Hoe gaat dat in zijn werk dan?

Hoi mijn PC is kapot.

P.S. Ik heb gisteren een galblaas operatie gehad.

Met vriendelijke groet,

John Dough

Mensen sturen bijvoorbeeld de foutmelding die ze van de mailserver krijgen door naar hun IT vraagbaak.
En daar hangt dan de originele mail aan .

Of ze sturen de mail zelf die maar niet wil aankomen .
"Ik probeer deze mail naar tante_jansen@h0tmail.com sturen en ik krijg telkens een "server bestaat niet" fout .
03-08-2017, 16:59 door Anoniem
Geen wachtwoorden doorgeven via Email maar doorbellen.

Waarom zou iemand je telefonisch een wachtwoord moeten kunnen verstrekken ? Vanuit het oogpunt van non-repudiation kan je beter het wachtwoord geautomatiseerd kunnen aanmaken, en vervolgens enkel en alleen verstrekken aan de persoon die deze gaat gebruiken. Er is geen reden waarom beheerders, of helpdesk medewerkers, je wachtwoord zouden moeten kunnen zien, bepalen, verstrekken etc. Zo heb je accountability, doordat alleen de gebruiker het wachtwoord kent.
03-08-2017, 17:34 door karma4
Door Anoniem:
Geen wachtwoorden doorgeven via Email maar doorbellen.

Waarom zou iemand je telefonisch een wachtwoord moeten kunnen verstrekken ? Vanuit het oogpunt van non-repudiation kan je beter het wachtwoord geautomatiseerd kunnen aanmaken, en vervolgens enkel en alleen verstrekken aan de persoon die deze gaat gebruiken. Er is geen reden waarom beheerders, of helpdesk medewerkers, je wachtwoord zouden moeten kunnen zien, bepalen, verstrekken etc. Zo heb je accountability, doordat alleen de gebruiker het wachtwoord kent.
Het is gecontroleerde unlock van een gebruiker meet een nieuw eenmalig password. Bellen is een extra validatie op de juiste persoon. Een automatische unlock en nieuw ww is een gap wegens ongecontroleerde unlock/change. In het publieke domein is daar behoorlijke misbruik van gemaakt via "geheime" vragen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.