image

Juridische vraag: Mijn opleiding gebruikt op Marktplaats gekochte telefoons met echte data voor een forensische opdracht. Mag dit wel?

donderdag 23 november 2017, 09:23 door Arnoud Engelfriet, 36 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Voor mijn opleiding moet ik een vak volgen over forensische ICT. De opdracht is nu om een telefoon te doorzoeken, en de docent meldde trots dat hij deze op Marktplaats heeft gekocht, om de klus interessanter te maken. Het zijn dus echte telefoons met echte data. Ik voel me daar niet comfortabel bij, mag ik dit wel?

Antwoord: Wat een rare opdracht, en niet eens vanwege de juridische kant. Hoe kun je nu studenten beoordelen die allemaal zó verschillende input krijgen? Je zult net de telefoon van de directeur van Bits of Freedom krijgen en je buurman die van Samantha van der Plas, hoe kun je dat ooit met elkaar vergelijken?

Juridisch gezien denk ik niet dat dit door de beugel kan. Natuurlijk wordt de school eigenaar van die telefoon wanneer een docent die koopt, en het is toegestaan je eigendom te doorzoeken of er andere schoolactiviteiten mee te ondernemen. Maar dat recht houdt op wanneer andermans persoonsgegevens in het gedrang komen.

De school weet donders goed dat die telefoon vol zit met persoonsgegevens van een ander, dat is immers het hele doel van die opdracht. Er is geen toestemming van die mensen om daarmee te werken. (Enkel dat iemand zijn telefoon verkoopt is nog geen uitdrukkelijke specifieke toestemming voor gebruik van die persoonsgegevens.) Er is ook geen contract dat dit onderzoek rechtvaardigt.

Je komt dan uit bij de eigen dringende noodzaak: ik kan niet anders, en ik heb rekening gehouden met de privacy. De belangenafweging is dan simpel, kom nou toch. Je kunt immers prima zo'n telefoon voorzien van nepdata en dan de studenten aan de slag laten gaan. En daarmee is er dus geen legitiem eigen belang om hiermee te gaan werken. Met een beetje goede wil kun je dit zelfs het opzettelijk verzorgen van een datalek noemen, een ongeautoriseerde verwerking.

Het lastige is alleen: hoe vertel je dat die docent?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (36)
23-11-2017, 09:38 door [Account Verwijderd] - Bijgewerkt: 23-11-2017, 09:41
Arnoud, wanneer ik via Marktplaats een toestel zou kopen, waar word ik dan eigenaar van?

- Fysieke device? Ja
- Licentie software? Ja
- /system partitie? Ja
- /cache partitie? Misschien?
- /data partitie? Nee?

Is het niet zo dat wanneer ik een toestel koop, dat ik van het volledige toestel eigenaar wordt? En als iemand zijn toestel niet eens gewiped blijkt te hebben, ben ik dan in 1 keer in overtreding?

En als ik geen eigenaar wordt van de data partitie, omdat ik volgens de wet niet mag beschikken over die data die daar op staat, dan zou ik niet eens het toestel mogen/kunnen gebruiken. Immers is het overschrijven van persoonsgegevens ook een verwerking van persoonsgegevens.

Wanneer de school vertrouwelijk om gaat met het onderzoek, vind ik zelf dat naast het forensische aspect, het ook nog eens een mooie awareness les is voor de schoolgaanden. Maar dat is maar een mening :).
23-11-2017, 10:01 door Anoniem
Door [Account Verwijderd]:Is het niet zo dat wanneer ik een toestel koop, dat ik van het volledige toestel eigenaar wordt? En als iemand zijn toestel niet eens gewiped blijkt te hebben, ben ik dan in 1 keer in overtreding?
Natuurlijk wordt de koper eigenaar van het volledige toestel en natuurlijk is de eigenaar niet gelijk in overtreding. Het gaat er in deze vraag om, dat iemand met alle macht probeert persoonsgegevens van de vorige eigenaar te achterhalen.

Het is vergelijkbaar met een contactformulier op een website waar iemand een vraag kan stellen. Als de vraagsteller zijn hele medische dossier in het contactformulier gooit, is de eigenaar van de website ook niet gelijk in overtreding, ook al is er geen uitdrukkelijke specifieke toestemming voor het verwerken van deze bijzondere persoonsgegevens. De website-eigenaar moet echter, zodra deze dat ontdekt, deze gegevens zo snel mogelijk verwijderen, anders is hij wel in overtreding.

Dat betekent volgens mij dus ook, dat als je als koper ontdekt dat de vorige eigenaar zijn gegevens niet heeft gewist, je dit alsnog zou moeten doen. Als je de contactgegevens van de verkoper nog hebt, kun je zelfs vriendelijk zijn en vooraf nog vragen, of hij deze gegevens nog nodig heeft.
23-11-2017, 10:07 door Arnoud Engelfriet
Door [Account Verwijderd]:
Is het niet zo dat wanneer ik een toestel koop, dat ik van het volledige toestel eigenaar wordt? En als iemand zijn toestel niet eens gewiped blijkt te hebben, ben ik dan in 1 keer in overtreding?

Volgens de wet behoor je eigenaar te worden van het hele toestel, zonder enige last of beperking (art. 7:15 lid 1 BW). Als er toch nog data van iemand op blijkt te staan, dan is dat dus een beperking die er niet hoort te zijn. Daar kun je de verkoper dus op aanspreken, hij moet deze tekortkoming in de koopovereenkomst herstellen. Heel formeel moet het toestel dus terug, waarna de verkoper het wist en het opnieuw aan je geeft. Praktisch gezien zou ik geen bezwaar zien tegen even namens de verkoper die data wissen, dat is effectief hetzelfde en scheelt een hoop rompslomp.
23-11-2017, 10:18 door Anoniem
Ik ben het met teusink hier eens. Er is zelfs past precedence. De gegevens als ze niet gewiped zijn mag je bij. Zij geven toestemming door die gegevens te verkopen, al hebben zij het niet door, gelukkig gaat dat maar 1 stap, want je mag het weer niet verder verkopen want je bent geen eigenaar van de data, het is alleen aan jouw verkocht.
Het grootste probleem dat ik hier zie is dat je het niet mag distribueren. En dat gebeurt op het moment dat de scholieren hier over zouden rapporteren. Dan distribueren zij het naar de leraar. Als ze er indirect over rapporteren is er weer niks aan de hand. Oftwel niks quoten en maar indirecte analyse. Vervolgens zou het netjes zijn om de data te verwijderen. Maar daar zijn ze wettelijk niet toe verplicht tot zij zelf de telefoon van de hand doen. Het grappigs is dat als je een 2de hands telefoon verkoopt waar data op staat je nog beter op moet letten want je mag je eigen gegevens wegverkopen, maar je mag dat niet van andermans gegevens doen. Dus als zij het 2de hands telefoon van de hand doen en daar niet op letten zijn ze illegaal bezig. Weer zo'n aparte kijk op de wet. Ik ben het wel met je eens dat hier goeie awareness mee wordt gekweekt voor de scholieren. Krijgen ze dezelfde inzicht die een bedrijf moet leren wat betreft omgaan met gegevens. Dus goed wissen als je iets doorverkoopt, en daarmee bedoel ik niet alleen (delete), maar het formatteren overschrijven van 1én en 0én. Disk Boot en Nuke, je weet wel.
23-11-2017, 10:29 door Anoniem
Door Anoniem:
Door teusink:Is het niet zo dat wanneer ik een toestel koop, dat ik van het volledige toestel eigenaar wordt? En als iemand zijn toestel niet eens gewiped blijkt te hebben, ben ik dan in 1 keer in overtreding?
Natuurlijk wordt de koper eigenaar van het volledige toestel en natuurlijk is de eigenaar niet gelijk in overtreding. Het gaat er in deze vraag om, dat iemand met alle macht probeert persoonsgegevens van de vorige eigenaar te achterhalen.

Het is vergelijkbaar met een contactformulier op een website waar iemand een vraag kan stellen. Als de vraagsteller zijn hele medische dossier in het contactformulier gooit, is de eigenaar van de website ook niet gelijk in overtreding, ook al is er geen uitdrukkelijke specifieke toestemming voor het verwerken van deze bijzondere persoonsgegevens. De website-eigenaar moet echter, zodra deze dat ontdekt, deze gegevens zo snel mogelijk verwijderen, anders is hij wel in overtreding.

Dat betekent volgens mij dus ook, dat als je als koper ontdekt dat de vorige eigenaar zijn gegevens niet heeft gewist, je dit alsnog zou moeten doen. Als je de contactgegevens van de verkoper nog hebt, kun je zelfs vriendelijk zijn en vooraf nog vragen, of hij deze gegevens nog nodig heeft.

Het gaat er in eerste instantie om of hij gegevens mag achterhalen, niet of hij uit alle macht persoons gegevens probeert te achterhalen. Als hij/zij persoonsgegevens vindt dan moet die gepast omgaan met deze persoonlijke gegevens. Vorige eigenaar informeren, en daarna als deze ze niet nodig heeft verwijderen.
23-11-2017, 11:02 door Anoniem
Volgens de wet behoor je eigenaar te worden van het hele toestel, zonder enige last of beperking (art. 7:15 lid 1 BW). Als er toch nog data van iemand op blijkt te staan, dan is dat dus een beperking die er niet hoort te zijn

Als ik jou redenatie volg, dan zou je de creditcard gegevens van de vorige eigenaar mogen misbruiken, indien je die aantreft op het toestel. Of zijn email account, of andere persoonlijke zaken. Het is jouw toestel, je hebt alle recht om de data te verwijderen. Maar indien je de data gaat misbruiken, dan zijn er nog altijd andere wetten die je daarmee kan overtreden, bijvoorbeeld op het gebied van privacy.

Stel dat er naaktfoto's op staan van de vorige eigenaar, denk je dan soms dat jij die, omdat je het toestel hebt gekocht, zonder meer kan publiceren ?

Ik ben het met teusink hier eens. Er is zelfs past precedence. De gegevens als ze niet gewiped zijn mag je bij. Zij geven toestemming door die gegevens te verkopen, al hebben zij het niet door, gelukkig gaat dat maar 1 stap, want je mag het weer niet verder verkopen want je bent geen eigenaar van de data, het is alleen aan jouw verkocht.

De vraag waar je het mee eens bent is vrij irrelevant, indien je gedreven door jouw mening de wet gaat overtreden. De rechter zal er geen boodschap aan hebben. Ook zal hij stellen dat jij had moeten en kunnen weten dat persoonsgegevens onbedoeld zijn meegeleverd.

Naast de wet is er verder ook nog zoiets als ethiek. In dit soort reacties lijkt ethiek geheel afwezig.
23-11-2017, 11:08 door [Account Verwijderd]
Dank voor de reacties en aanvullingen!

De aanvulling van verkoop zonder beperkingen vind ik een interessante. Want als je kijkt naar de GDPR dan mag je persoonsgegevens op geen enkele manier verwerken, tenzij expliciet toegestaan. In die zin wordt je dan beperkt bij de koop van een mobiel met data en dan zou je inderdaad terug moeten naar de verkoper. Als je dat niet zou doen, en de verkoper bedenkt ineens dat hij het vergeten is, je wellicht problemen kan krijgen in het kader van GDPR. De expliciete toestemming was er niet, en jij kan niet aantonen wat je er wel/niet mee gedaan hebt.

Alleen is het wel zo dat voor mij als individu de GDPR -niet- geldt wanneer ik de rol particulier heb op voorwaarde dat het om een verwerking in de huishoudelijke sfeer gaat. Intessante case t.a.v. studenten.

De aanvulling van distributie is ook een mooie. Als er inderdaad presendence is t.a.v. eigenaar worden van de data door verkoop (zij het dat het maar 1 hop is), dan mag je alles met die data doen, zolang je het maar niet distribueerd. De student kan dan volstaan met het anonimiseren van de vondsten en dit rapporteren aan zijn/haar docent.

Deze case is glad ijs, maar vind het net te kort door de bocht om te zeggen dat het niet mag. In die zin mis ik het aanstippen van verantwoordelijkheid van de burger zelf. Als jij je privé telefoon verkoopt, ben je zelf verantwoordelijk voor wat er met de data gebeurt. Wipen dus.

En zelf verkoop ik nooit de telefoons die ik gebruik. Ze gaan gewiped in de kast/prullenbak.
23-11-2017, 11:29 door Anoniem
In de cyberweek van de HSD in Den Haag heb ik iets soorgelijks gezien.
De studenten van de Hogeschool uit leiden waren daar bezig met onderzoek.
Zij gebruikte daar ook telefoons die gekocht waren van verkoopsites en repairshops.

Toen ik ze daar op aansprak vonden zij dit de normaalste zaak van de wereld.
er werd ook aangeboden om mijn telefoon uit te lezen.

Als dit de toekomst is van Forensic onderzoek dan zijn ze daar niet erg etisch bezig in Leiden.
23-11-2017, 12:04 door Anoniem
De wet bescherming persoonsgegevens is tot stand gekomen om verwerking alleen toe te staan met uitdrukkelijke toestemming en bij strikte noodzaak. Het recht op bescherming van persoonsgegevens stopt niet als gegevens bewust of onbewust verkregen worden door een verwerker. De verwerker mag nooit zomaar persoonsgegevens verwerken omdat ze verkregen zijn, maar enkel met uitdrukkelijke toestemming voor het doel waarvoor ze verstrekt zijn en een noodzaak tot dat doel. Ik lees in de vraag van de leerling geen verklaring dat die uitdrukkelijke toestemming tot verwerking voor het doel van forensisch onderzoek op een school gegeven is.

Bij een mobiele telefoon is het evident dat daar niet alleen persoonsgegevens van de eigenaar op staan maar ook van veel andere personen. De vraag of de gegevens met toestemming van de eigenaar van de mobiele telefoon verwerkt mogen worden is dan te beantwoorden met nee. Je hebt immers geen toestemming van al die andere eigenaren van de andere persoonsgegevens zoals in de adresboeken, mails, chatgesprekken enz. Die uitdrukkelijke toestemming ontstaat niet spontaan bij een verkoop en het recht op bescherming van ieders persoonsgegevens vervalt niet door verkoop door wie dan ook.

Het verkopen van een apparaat met daarop persoonsgegevens van diverse personen is geen passende grond voor toestemming om die persoonsgegevens te mogen verwerken.
23-11-2017, 12:28 door Anoniem
Met deze verwerking van persoonsgegevens, want daar gaat het hier om, moet je ook nog rekening houden met art. 8 EVRM. Het belang van de betrokkenen weegt hiermee zwaarder dan het eigen belang van een organisatie. Als verantwoordelijke moet je verdomd goed kunnen uitleggen wat jouw gerechtvaardigd belang is waarom je de belangen van betrokkenen, door kennis te nemen van hun gegevens, ondergeschikt acht aan het doel waarvoor je de gegevens gaat verwerken. Dat de telefoons gekocht zijn maakt het verwerken van de gegevens nog niet rechtmatig. Door de gegevens zo te gebruiken verwerkt de opleider persoonsgegevens zonder daarvoor een doel vast gelegd te hebben. Forensisch onderzoek, in het geval van een opleiding, is geen doel want dat kan ook zonder persoonsgegevens. In dit geval is er mijns inziens sprake van een overtreding van art. 8 WBP maar ook, en deze is iets ernstiger, art. 8 EVRM. Als leerling heb je zelf ook de verantwoordelijkheid om de opleider hierop aan te spreken en deze aan te geven dat je hier desnoods een melding van gaat maken bij de Autoriteit Persoonsgegevens. Voor hetzelfde geld zit jouw medeleerling straks een telefoon van een familielid van jouw door te lichten en dat zou je niet willen hebben lijkt me.
23-11-2017, 12:41 door Anoniem
Interessante bijdrages, bedankt voor de info.

En ik probeer hier vat op te krijgen en ik ben geen jurist maar ben net gestart met een bepaalde opleiding waar ik liever verder niet op in ga hier...maar daaruit volgen vragen aan Arnoud zoals:

Ik weet niet of je er uberhaupt antwoord op kan geven omdat ik zelf dingen door elkaar haal of wil of mag ..maar als je me wat op weg kan helpen graag. Alvast bedankt!

Mbt het bewust achterhalen van achtergebleven data op een gekochte telefoon.

Valt dit onder Privaat Recht? =>Rechtsgebied strafrecht/Burgelijk recht?

zoja valt het bv onder materieel recht? Stelen is verboden oid? Welke strafbare feiten zijn dan te onderkennen?

Als het een strafbaar feit is welke norm/kwalificatie en sanctie(s) zijn er dan van toepassing?

Uit welke bronnen van recht wordt er dan geput? gewoonte/wetten/verdragen/jurisprudentie?

Waar valt ethiek juridisch gezien onder? normen = > gewoonterecht?

Is hier uberhaupt jurisprudentie over te vinden?

Kan marktplaats hierdoor indirect medeplichtig zijn? Lijkt me niet als er geen opzet in het spel is..maar ja zodra je het weet dan maakt het de situatie weer anders natuurlijk
23-11-2017, 12:52 door Anoniem
Ik denk dat dit zonder meer van toepassing is:

Artikel 8
Persoonsgegevens mogen slechts worden verwerkt indien:

a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;


b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.


http://wetten.overheid.nl/BWBV0001000/2010-06-10
23-11-2017, 12:53 door Anoniem
Ten eerste wordt het afgeraden om je oude smartphone voor een paar rot tientjes te verkopen waar dan ook. Want je verkoopt voor dat geld wel je complete privégegevens. Is dat het waard? Gezien tegenwoordig heel gemakkelijk informatie verkregen kan worden uit een oude smartphone wordt het namelijk afgeraden het te verkopen, ondanks dat je de smartphone gereset en teruggezet hebt in fabrieksinstellingen blijkt het nog steeds simpel om gegevens eruit te krijgen wat eigenlijk niet mogelijk zou moeten zijn.. Zo heb ik dat ooit gelezen op het internet. Volgens mij kun je dan het beste het laatste doen: Of je oude smartphone zelf gebruiken als camera webcam, of voor je games, of als fotolijstje voor op je kast. Je kunt zoveel dingen zelf met je oude smartphone en als je dat laatste ook niet wilt dan kun je hem bij speciale bedrijven laten vernietigen. Of je doet het zelf. Kortom, liever je smartphone zelf gebruiken of vernietigen dan te gaan verkopen waarbij je de kans loopt dat je data en gegevens op straat terecht komen toch? Of ben ik te naïef?
23-11-2017, 13:01 door Anoniem
Door Arnoud Engelfriet:
Door [Account Verwijderd]:
Is het niet zo dat wanneer ik een toestel koop, dat ik van het volledige toestel eigenaar wordt? En als iemand zijn toestel niet eens gewiped blijkt te hebben, ben ik dan in 1 keer in overtreding?

Volgens de wet behoor je eigenaar te worden van het hele toestel, zonder enige last of beperking (art. 7:15 lid 1 BW). Als er toch nog data van iemand op blijkt te staan, dan is dat dus een beperking die er niet hoort te zijn.
Arnoud, is het voor dit antwoord ook nog van belang dat je volgens het Nederlandse recht helemaal niet kan spreken van eigendom van data, omdat dat alleen over stoffelijk zaken gaat, zoals je in onderstaande link uitlegt?
https://blog.iusmentis.com/2017/01/10/wordt-eens-tijd-om-data-eigendom-wettelijk-gaan-regelen-dimorefi/
23-11-2017, 13:21 door Anoniem
Door Anoniem:
Volgens de wet behoor je eigenaar te worden van het hele toestel, zonder enige last of beperking (art. 7:15 lid 1 BW). Als er toch nog data van iemand op blijkt te staan, dan is dat dus een beperking die er niet hoort te zijn

Als ik jou redenatie volg, dan zou je de creditcard gegevens van de vorige eigenaar mogen misbruiken, indien je die aantreft op het toestel. Of zijn email account, of andere persoonlijke zaken. Het is jouw toestel, je hebt alle recht om de data te verwijderen. Maar indien je de data gaat misbruiken, dan zijn er nog altijd andere wetten die je daarmee kan overtreden, bijvoorbeeld op het gebied van privacy.

Stel dat er naaktfoto's op staan van de vorige eigenaar, denk je dan soms dat jij die, omdat je het toestel hebt gekocht, zonder meer kan publiceren ?

Ik ben het met teusink hier eens. Er is zelfs past precedence. De gegevens als ze niet gewiped zijn mag je bij. Zij geven toestemming door die gegevens te verkopen, al hebben zij het niet door, gelukkig gaat dat maar 1 stap, want je mag het weer niet verder verkopen want je bent geen eigenaar van de data, het is alleen aan jouw verkocht.

De vraag waar je het mee eens bent is vrij irrelevant, indien je gedreven door jouw mening de wet gaat overtreden. De rechter zal er geen boodschap aan hebben. Ook zal hij stellen dat jij had moeten en kunnen weten dat persoonsgegevens onbedoeld zijn meegeleverd.

Naast de wet is er verder ook nog zoiets als ethiek. In dit soort reacties lijkt ethiek geheel afwezig.

Hier wordt melding gemaakt van gegevens, niet specifiek persoons gegevens.
23-11-2017, 13:58 door Anoniem
Door Anoniem: Ten eerste wordt het afgeraden om je oude smartphone voor een paar rot tientjes te verkopen waar dan ook. Want je verkoopt voor dat geld wel je complete privégegevens. Is dat het waard? Gezien tegenwoordig heel gemakkelijk informatie verkregen kan worden uit een oude smartphone wordt het namelijk afgeraden het te verkopen, ondanks dat je de smartphone gereset en teruggezet hebt in fabrieksinstellingen blijkt het nog steeds simpel om gegevens eruit te krijgen wat eigenlijk niet mogelijk zou moeten zijn.. Zo heb ik dat ooit gelezen op het internet.

Hoe zeggen ze dat ook al weer? "Dattu hep gestoan oppe feesboek!".
Maar daarmee is het nog niet waar.
Een "moderne" smartphone heeft alle data encrypted op de storage staan en als je hem wiped wordt de encryptie
key weg gegooid en daarmee is alle data onherstelbaar weg.
Als je een wat ouder type hebt is die encryptie optioneel. Het is dan een kwestie van de encryptie aanzetten, even
wachten (lader moet ingeplugd zijn) tot ie klaar is, en daarna wipen.
23-11-2017, 14:26 door Anoniem
at teusink en originele poster
de wet op eigendom van zaken kent bij persoonsgegeven beperkingen via de wbp.
De wbp heeft het over een soort gegeven (persoonsgegeven), ongeacht de locatie. Vergeet denken in partities of mappen, dat is te beperkt.
recht op bescherming van persoonsgegevens is een persoonlijk recht.
recht op verwerking via de wbp is een per individueel persoon per soort persoonsgegeven vergeven ondubbelzinnige toestemming onder voorwaarden. Geen individuele ondubbelzinnige toestemming is geen recht op verwerken.

met aankoop van een zaak met daarop digitaal opgelagen een persoonsgegeven is er sprake van verwerking van een persoonsgegeven in de vorm van verzamelen. Het recht laat geen mogelijkheid toe om achteraf pas van verwerking te spreken. Een verweer dat de koper of eigenaar van een zaak niet wist of er persoonsgegevens op stonden is verwerpelijk daar er een plicht is om dat uit te sluiten voor de gegevens verwerkt worden. De persoon die de zaak heeft verkocht behoort ook te weten of er persoonsgegevens op staan en zo ja van wie en toestemming voor de verwerking hebben. Maar zelfs als die er geen weet van meent te hebben ontslaat dat je niet van een plicht om de toestemming van de individuen van wie de persoonsgegevens zijn te hebben als er toch persoonsgegevens op blijken te staan.

Vanwege het individuele karakter van de bescherming en de ondubbelzinnige toestemming die ieder individue moet geven aan een verwerker kan het dus niet zo zijn dat je maar 1 keer in overtreding bent als er persoonsgegevens van meerdere individueen op een medium staan en het medium daarna verkregen is zonder vooraf per invididue verkrijgen van een ondubbelzinnige toestemming tot verwerken.

Samengevat: je mag geen enkele zaak met digitale opslag gebruiken zonder te weten of er andere persoonsgegevens op staan buiten die van de individue waarvan je ondubbelzinnige toestemming hebt om specifieke persoonsgegevens van haar/hem te verwerken. De wet gaat niet in op hoe je dat bezit moet uitsluiten of wat je moet doen als je in overtreding bent.
23-11-2017, 14:47 door Anoniem
En ik probeer hier vat op te krijgen en ik ben geen jurist maar ben net gestart met een bepaalde opleiding waar ik liever verder niet op in ga hier...maar daaruit volgen vragen zoals
Jurist is een vrij beroep. Iedereen behoort de wet te kennen dus mag je jezelf net zo goed een justist beschouwen als ieder ander. Je kan veel juristen vragen om een mening hoe het zal moeten zitten maar uiteindelijk geeft een rechter het oordeel. Juristen geven alleen een eigen visie op basis van ervaring en eigen overtuiging.

Privacy en bescherming van persoonsgegevens liggen vast in de grondwet en (op dit moment) de wet bescherming persoonsgegevens. Als je wilt weten hoe de bescherming van persoonsgegevens in Nederland in de wet geregeld is dan is een goede start de teksten van die wet en de achtergrondteksten te lezen. En met lezen bedoel ik begrijpend lezen, je proberen te verdiepen in de betekenis en de gevolgen. Kost tijd, pijn en moeite, zelfs bij een kleine wet als de wbp.

Je vragen lenen zich ook prima voor een gratis discussie met een jurist bij een organisatie als het juridisch loket. Kan je je opleiding ook laten zien dat je moeite doet om je te verdiepen in de materie in plaats van wat vragen te posten en te hopen op een antwoord zodat jij je studiepuntjes makkelijk kan scoren.
23-11-2017, 14:48 door Anoniem
Onderzoekt die docent wellicht welke student wel of niet integer is?
23-11-2017, 15:20 door Anoniem
Ik weet het niet hoor. Vind de ethiek echt ver te zoeken. Wat is de volgende stap, bij mensen aan de deur rammelen of ze hem wel goed op slot hebben en dan naar binnen op zoek naar vingerafdrukken en DNA? Is voor forensisch onderzoek een goede praktijkoefening maar het lijkt me toch geen wenselijk gedrag.

Expres tweedehands toestellen kopen om te kijken of je gegevens kan vinden, riekt er ook naar dat het gaat om toestellen waarvan de verkoper wel dacht zijn gegevens gewist te hebben, maar dat niet goed gedaan heeft. Dan kun je moeilijk zeggen dat hij bewust zijn gegevens verstrekt heeft. Of het gaat om gestolen telefoons, waar dus gegevens op staan van mensen die daar al helemaal niet om gevraagd hebben. Gaat de docent nog kijken of die oorspronkelijke eigenaren te achterhalen zijn?

Al bij al lijkt dit me een prima actie voor hackers, maar niet voor een docent van een erkende opleiding. Je mag toch verwachten dat die jurisprudentie en maatschappelijke verantwoordelijkheid afweegt en niet voor de lawless cowboy methode kiest.

Het doet een beetje denken aan de vraag aan de AP: mag je testen met persoonsgegevens? Antwoord: Nee.
23-11-2017, 15:30 door Anoniem
Door Anoniem:at teusink en originele poster
de wet op eigendom van zaken kent bij persoonsgegeven beperkingen via de wbp.
De wbp heeft het over een soort gegeven (persoonsgegeven), ongeacht de locatie. Vergeet denken in partities of mappen, dat is te beperkt.
recht op bescherming van persoonsgegevens is een persoonlijk recht.
recht op verwerking via de wbp is een per individueel persoon per soort persoonsgegeven vergeven ondubbelzinnige toestemming onder voorwaarden. Geen individuele ondubbelzinnige toestemming is geen recht op verwerken.

met aankoop van een zaak met daarop digitaal opgelagen een persoonsgegeven is er sprake van verwerking van een persoonsgegeven in de vorm van verzamelen. Het recht laat geen mogelijkheid toe om achteraf pas van verwerking te spreken. Een verweer dat de koper of eigenaar van een zaak niet wist of er persoonsgegevens op stonden is verwerpelijk daar er een plicht is om dat uit te sluiten voor de gegevens verwerkt worden. De persoon die de zaak heeft verkocht behoort ook te weten of er persoonsgegevens op staan en zo ja van wie en toestemming voor de verwerking hebben. Maar zelfs als die er geen weet van meent te hebben ontslaat dat je niet van een plicht om de toestemming van de individuen van wie de persoonsgegevens zijn te hebben als er toch persoonsgegevens op blijken te staan.

Vanwege het individuele karakter van de bescherming en de ondubbelzinnige toestemming die ieder individue moet geven aan een verwerker kan het dus niet zo zijn dat je maar 1 keer in overtreding bent als er persoonsgegevens van meerdere individueen op een medium staan en het medium daarna verkregen is zonder vooraf per invididue verkrijgen van een ondubbelzinnige toestemming tot verwerken.

Samengevat: je mag geen enkele zaak met digitale opslag gebruiken zonder te weten of er andere persoonsgegevens op staan buiten die van de individue waarvan je ondubbelzinnige toestemming hebt om specifieke persoonsgegevens van haar/hem te verwerken. De wet gaat niet in op hoe je dat bezit moet uitsluiten of wat je moet doen als je in overtreding bent.
Deze reactie is in heel veel opzichten onjuist en onvolledig, onder andere:

- De Wbp geldt niet voor "activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden" (art. 2 lid 2 sub a Wbp). Zolang de verkoper het apparaat enkel voor zulke activiteiten gebruikt, is de Wbp niet van toepassing. Dit is echter bij de oorspronkelijke vraag (waarschijnlijk) niet het geval.
- Zelfs als de Wbp van toepassing zou zijn, is ondubbelzinnige toestemming niet nodig als aan één van de andere eisen in artikel 8 is voldaan (art. 8 sub b-f Wbp).
- Het is vaak niet mogelijk technisch uit te sluiten dat persoonsgegevens onbedoeld worden verwerkt. Dan moet dit echter organisatorisch achteraf zo spoedig mogelijk worden gecorrigeerd (bijvoorbeeld door de gegevens te verwijderen).
23-11-2017, 16:00 door Arnoud Engelfriet - Bijgewerkt: 23-11-2017, 16:00
Door Anoniem: Arnoud, is het voor dit antwoord ook nog van belang dat je volgens het Nederlandse recht helemaal niet kan spreken van eigendom van data, omdat dat alleen over stoffelijk zaken gaat, zoals je in onderstaande link uitlegt?
https://blog.iusmentis.com/2017/01/10/wordt-eens-tijd-om-data-eigendom-wettelijk-gaan-regelen-dimorefi/

Nee, dat staat er los van. Het gaat er niet om dat je eigenaar zou moeten worden van die data of zo. Het punt is dat die telefoon belast is met iets dat er niet op hoort te zitten, en bij verkoop hoort het product vrij van last verkocht te worden. (Denk aan verkoop van een auto die ik tegelijkertijd verhuur aan iemand of waarvan het kinderstoeltje geleend is, dat mag ook niet tenzij expliciet vastgelegd van wel.)

Verder blijf ik erbij dat je géén toestemming van betrokkenen hebt door aanschaf van een drager met hun persoonsgegevens, zelfs niet als de drager eigendom was van de betrokkenen. Zeker niet onder de AVG omdat toestemming daar expliciet en apart moet zijn:
elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

Wat dat betreft:
Als ik jou redenatie volg, dan zou je de creditcard gegevens van de vorige eigenaar mogen misbruiken, indien je die aantreft op het toestel. Of zijn email account, of andere persoonlijke zaken. Het is jouw toestel, je hebt alle recht om de data te verwijderen.
Dat is niet wat ik zeg. Ik zeg dat het toestel vrij van persoonsgegevens verkocht moet worden, en dus ook vrij van logindata of creditcards. Formeel moet het toestel nu terug en moet de oude eigenaar het wissen, jij als koper hebt dat recht niet. Maar praktisch gezien zie ik SPECIFIEK met het direct wissen van die informatie geen probleem. Noem het zaakwaarneming voor mijn part, noem het invullen van je plicht tot dataminimalisatie of juistheid (artikel 5 AVG) maar ik kan dat niet als onrechtmatige verwerking zien.
23-11-2017, 16:18 door [Account Verwijderd]
Door Anoniem: at teusink en originele poster
de wet op eigendom van zaken kent bij persoonsgegeven beperkingen via de wbp.
De wbp heeft het over een soort gegeven (persoonsgegeven), ongeacht de locatie. Vergeet denken in partities of mappen, dat is te beperkt.
recht op bescherming van persoonsgegevens is een persoonlijk recht.
recht op verwerking via de wbp is een per individueel persoon per soort persoonsgegeven vergeven ondubbelzinnige toestemming onder voorwaarden. Geen individuele ondubbelzinnige toestemming is geen recht op verwerken.

met aankoop van een zaak met daarop digitaal opgelagen een persoonsgegeven is er sprake van verwerking van een persoonsgegeven in de vorm van verzamelen. Het recht laat geen mogelijkheid toe om achteraf pas van verwerking te spreken. Een verweer dat de koper of eigenaar van een zaak niet wist of er persoonsgegevens op stonden is verwerpelijk daar er een plicht is om dat uit te sluiten voor de gegevens verwerkt worden. De persoon die de zaak heeft verkocht behoort ook te weten of er persoonsgegevens op staan en zo ja van wie en toestemming voor de verwerking hebben. Maar zelfs als die er geen weet van meent te hebben ontslaat dat je niet van een plicht om de toestemming van de individuen van wie de persoonsgegevens zijn te hebben als er toch persoonsgegevens op blijken te staan.

Vanwege het individuele karakter van de bescherming en de ondubbelzinnige toestemming die ieder individue moet geven aan een verwerker kan het dus niet zo zijn dat je maar 1 keer in overtreding bent als er persoonsgegevens van meerdere individueen op een medium staan en het medium daarna verkregen is zonder vooraf per invididue verkrijgen van een ondubbelzinnige toestemming tot verwerken.

Samengevat: je mag geen enkele zaak met digitale opslag gebruiken zonder te weten of er andere persoonsgegevens op staan buiten die van de individue waarvan je ondubbelzinnige toestemming hebt om specifieke persoonsgegevens van haar/hem te verwerken. De wet gaat niet in op hoe je dat bezit moet uitsluiten of wat je moet doen als je in overtreding bent.

Dank voor je reactie.

Dan is het dus zaak om, bij aankoop van een 2e-handse zaak waarop digitale opslag mogelijk is, dat je vooraf eerst schriftelijk overeenkomt dat je toestemming hebt om elk achtergebleven gegeven te verwerken (hoewel dit ook niet kan, want de categorie aan gegevens moet expliciet genoemd worden). Een bewerkersovereenkomst dus. Want het toestel aandoen en kijken is ook al verwerken.

Ik voel een feature-request voor Marktplaats aankomen XD.
23-11-2017, 16:21 door [Account Verwijderd]
Door Arnoud Engelfriet: Ik zeg dat het toestel vrij van persoonsgegevens verkocht moet worden, en dus ook vrij van logindata of creditcards. Formeel moet het toestel nu terug en moet de oude eigenaar het wissen, jij als koper hebt dat recht niet. Maar praktisch gezien zie ik SPECIFIEK met het direct wissen van die informatie geen probleem. Noem het zaakwaarneming voor mijn part, noem het invullen van je plicht tot dataminimalisatie of juistheid (artikel 5 AVG) maar ik kan dat niet als onrechtmatige verwerking zien.

En wat nu als dat je een dag na het wipen gebeld wordt: "Ik heb x data nodig van mijn telefoon, anders passeert mijn hypotheek niet en moet ik boete betalen aan notaris."? Vervolgens meldt jij dat je de telefoon gewiped hebt. Kan die persoon nu zeggen dat de nieuwe eigenaar van het toestel een onrechtmatige verwerking heeft gepleegd, wat tot schade heeft geleid bij data-subject (de vorige eigenaar)? Als dat zo is, dan kun je dus ook aansprakelijk gesteld worden.

Of niet?
23-11-2017, 16:38 door Anoniem
Door teusink:
Door Arnoud Engelfriet: Ik zeg dat het toestel vrij van persoonsgegevens verkocht moet worden, en dus ook vrij van logindata of creditcards. Formeel moet het toestel nu terug en moet de oude eigenaar het wissen, jij als koper hebt dat recht niet. Maar praktisch gezien zie ik SPECIFIEK met het direct wissen van die informatie geen probleem. Noem het zaakwaarneming voor mijn part, noem het invullen van je plicht tot dataminimalisatie of juistheid (artikel 5 AVG) maar ik kan dat niet als onrechtmatige verwerking zien.

En wat nu als dat je een dag na het wipen gebeld wordt: "Ik heb x data nodig van mijn telefoon, anders passeert mijn hypotheek niet en moet ik boete betalen aan notaris."? Vervolgens meldt jij dat je de telefoon gewiped hebt. Kan die persoon nu zeggen dat de nieuwe eigenaar van het toestel een onrechtmatige verwerking heeft gepleegd, wat tot schade heeft geleid bij data-subject (de vorige eigenaar)? Als dat zo is, dan kun je dus ook aansprakelijk gesteld worden.

Of niet?
Zoals Arnoud schrijft, moet volgens de letter van de wet het apparaat terug naar de oude eigenaar en moet die de gegevens wissen. Of dit echter ook de geest van de wet is (en dus in jouw concrete voorbeeld tot aansprakelijkheid kan leiden), kan enkel een rechter bepalen.
23-11-2017, 19:56 door Anoniem
Door teusink:
Door Arnoud Engelfriet: Ik zeg dat het toestel vrij van persoonsgegevens verkocht moet worden, en dus ook vrij van logindata of creditcards. Formeel moet het toestel nu terug en moet de oude eigenaar het wissen, jij als koper hebt dat recht niet. Maar praktisch gezien zie ik SPECIFIEK met het direct wissen van die informatie geen probleem. Noem het zaakwaarneming voor mijn part, noem het invullen van je plicht tot dataminimalisatie of juistheid (artikel 5 AVG) maar ik kan dat niet als onrechtmatige verwerking zien.

En wat nu als dat je een dag na het wipen gebeld wordt: "Ik heb x data nodig van mijn telefoon, anders passeert mijn hypotheek niet en moet ik boete betalen aan notaris."? Vervolgens meldt jij dat je de telefoon gewiped hebt. Kan die persoon nu zeggen dat de nieuwe eigenaar van het toestel een onrechtmatige verwerking heeft gepleegd, wat tot schade heeft geleid bij data-subject (de vorige eigenaar)? Als dat zo is, dan kun je dus ook aansprakelijk gesteld worden.

Of niet?

Is er aansprakelijkheid voor de gemeentereiniging wanneer je (per ongelijk in de vuilnisbak gegooide en opgehaalde) papieren inmiddels in de oven liggen ?

Lijkt me niet, en evenmin voor gewiste/vernietigde data van een verkochte telefoon.

Ik moet zeggen dat hier de formele regel nogal zeikerig vind.

Het aspect dat niet iedereen hetzelfde resultaat kan behalen is inderdaad een punt, maar heb je eens een docent die werk maakt van een realistisch practicum, komt er weer een muggezifter .

Ik zie toch minimaal een moreel - en wellicht een juridisch - verschil tussen 'gebruikt voor onderzoek : "64,2 % van de tweedehands smartphones bevatte persoonsdata , Apple telefoons significant minder dan Android etc" , data daarna vernietigd' versus 'gevonden data misbruikt' .

kip en ei'tje - hoe maak je een 'realistische' dummy data telefoon zonder verdeling van de realiteit te kennen .
Tussen "niks gewiped" en "perfect schoon" zit gegarandeerd een heel scala van wellicht gebruikersmisvattingen - in de prullenmand is nog niet gewist -
23-11-2017, 23:07 door Anoniem
Tussendoor aantekeningetje oa aangaande 'beugeltjes' en gelijke privacy

Je zult net de telefoon van de directeur van Bits of Freedom krijgen en je buurman die van Samantha van der Plas, hoe kun je dat ooit met elkaar vergelijken?
Laten we voor de eerlijker vergelijking dan allebei bij naam noemen.
De directeur van BOF heet Hans de Zwart.

Daarna kijken we naar de telefoons, lastig te vinden want beiden staan graag alleen met hun smoeltje cq driekwart in beeld.
Merk telefoons?
Ja best belangrijk want een gemiddelde iPhone is al stukken lastiger te kraken dan een Android.

Zoeken op fotos' levert voorsprong voor Samantha op, die is wel te vinden met een foto in beeld.
http://weekend-online.nl/images/content/Schermafbeelding%202016-01-13%20om%2012.48.39.png
Hee, als dat niet mooi is, een iPhone!

Zoeken op hans foto's en telefoon is geen sinecure, altijd die telefoon in de binnenzak van dat colbert.
(En misschien toch wel meer affiniteit met samantha dan je denkt, https://www.bof.nl/wp-content/uploads/IMG_20150625_123927.jpg, maar dat terzijde *).
Na lang zoeken is er wel een indicatie te vinden.
Namelijk dat Hans de directeur iets moeilijks heeft met Moodle, technisch ontwerpen enzo, maar wel, hee alleen voor de iPhone! (laten we de moodle ontwerpen op bais van php en security discussie nu even voor wat het is).
Daaruit valt wel af te leiden dat hij hoogst waarschijnlijk ook een iPhone gebruikt en ook geen kraakbaarder android.

Tussenstand : een gelukkige, met twee iPhones, dat is eigenlijk meer dan vrij goed met elkaar vergelijkbaar.

Welnu, als beiden een pincode hebben ingesteld, wat heel goed te doen is, zijn ze allebei even veilig.
Wie er net een stukkie (ingefluisterd of vals gespeeld geholpen door een Bof kantoorcollega) slimmer was en een 6 digit pincode heeft ingesteld is niet bekend.
Misschien doen ze het allebei of allebei wel niet.
Of Samantha wel en drukke snelle Hans wel niet.

De grote vraag is of een van beiden al een iPhone van de hand heeft gedaan via marktplaats en allebei hebben ze heel goede redenen om dat niet te doen.
Onbekend en geen uitgangspunt.
Wel kunnen ze elke dag allebei die telefoon verliezen en gelukkig maakt Apple geen onderscheid tussen mensen waar Arnoud dat wel doet, Apple beschermt die telefoons evengoed en die klas zal dan ook even hard haar best moeten doen om die telefoons te kraken.

Maar als de fbi al een krap jaar loopt te jengelen dat ze het niet kunnen en daar een miljoen dollar tegenaan moesten smijten, geef ik een startklasje weinig kans.
Goed nieuws voor zowel Samantha als Baas Hans.

Moraal van het verhaal
beetje onnnodig al te gemakkelijk voorbeeld en niet heel symphatiek om dat op deze manier over de rug van één iemand te doen.
Het is goedkoop om die twee met elkaar te vergelijken en daarnaast ook bepaald niet fair, vrij hooghartig zelfs om de één wel bij naam te noemen en de ander op zijn titel van directeur te vermelden.

Hans de zwart en Samantha van der Plas, allebei een voor en een achternaam en allebei een iPhone die dat klasje even hard gaan laten zweten.
Dus niets geen appels en peren, appels en appels.

Ondergetekende heeft geen banden met 1 van de twee genoemde personen maar wilde het wel ff kwijt bij tussenregelige suggetiviteit.
;-)


* de andere gefotografeerde (verpakte) camera's worden vermoedelijk niet aangeboden op marktplaats
https://www.bof.nl/2015/06/25/thorbeckeplein-was-vandaag-surveillance-vrij-orwellplein/
24-11-2017, 09:27 door Anoniem
De verwerker mag nooit zomaar persoonsgegevens verwerken omdat ze verkregen zijn, maar enkel met uitdrukkelijke toestemming voor het doel waarvoor ze verstrekt zijn en een noodzaak tot dat doel.

Waarbij het gaat om *bedrijfsmatige* verwerking. De GDPR is niet van toepassing op jou als prive persoon.
24-11-2017, 09:30 door Anoniem
Het aspect dat niet iedereen hetzelfde resultaat kan behalen is inderdaad een punt, maar heb je eens een docent die werk maakt van een realistisch practicum, komt er weer een muggezifter .

De vraag of je wel/niet werkt conform wettelijke regels, dat noem je muggeziften ? Indien zo'n docent leerlingen niet leert om zorgvuldig met dat soort zaken om te gaan, is dat dan geen bedreiging voor hen later, indien ze bij bedrijven zitten ? Immers moet je je daar ook houden aan geldende wetgeving. Veel van deze studenten zullen later ook aan de slag moeten met compliancy; waarbij het gaat om de vraag of men zich houdt aan regelgeving, en andere voorschriften op IT security gebied.

Nee, dit is *geen* muggeziften.
24-11-2017, 09:32 door Anoniem
Zoals Arnoud schrijft, moet volgens de letter van de wet het apparaat terug naar de oude eigenaar en moet die de gegevens wissen. Of dit echter ook de geest van de wet is (en dus in jouw concrete voorbeeld tot aansprakelijkheid kan leiden), kan enkel een rechter bepalen.

Indien de data reeds is verwijderd, dan zal geen enkele rechter stellen dat de oude eigenaar de data er alsnog af kan halen. Da's gewoon logica, en heeft weinig met de letter of de geest van de wet te maken. Immers is dat niet uitvoerbaar. En de noodzaak voor het verzoek is hoe dan ook vervallen.
24-11-2017, 09:35 door Anoniem
Dan is het dus zaak om, bij aankoop van een 2e-handse zaak waarop digitale opslag mogelijk is, dat je vooraf eerst schriftelijk overeenkomt dat je toestemming hebt om elk achtergebleven gegeven te verwerken (hoewel dit ook niet kan, want de categorie aan gegevens moet expliciet genoemd worden). Een bewerkersovereenkomst dus. Want het toestel aandoen en kijken is ook al verwerken.

Een bewerkersovereenkomst ? Zoiets bestaat helemaal niet, wanneer het gaat om prive personen, en er geen sprake is van bedrijfsmatige verwerking.

Wat is een bewerkersovereenkomst ?

Een bewerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking een ander bedrijf inschakelt.
24-11-2017, 09:38 door Anoniem
Hebben de mensen die denken dat de GDPR ook op henzelf van toepassing is zich al verdiept in de eisen om te kunnen voldoen aan de GDPR ? Hebben ze bijvoorbeeld, binnen hun gezin, al een Data Protection Officer aangewezen ? En hebben ze de verplichte PIA (Privacy Impact Assessment) al klaar ? Awareness trainingen voor de kinderen ? Overzichten van persoonsgegevens die je verwerkt ?

Er komt nog aardig wat bij kijken voor je GDPR compliant bent ;)
24-11-2017, 10:00 door Anoniem
Het is wel grappig om te zien dat de docent die forensisch onderzoek doceert begint met het overtreden van de wet waardoor de persoon in kwestie meteen laat zien hoe namelijk niet moet. Indien namelijk studenten zelfstandig om te oefenen goedkope oude telefoons opkopen op marktplaats kom je in een vaarwater terecht waarbij mensen het risico lopen een veroordeling aan de broek te krijgen bij foutief gebruik van de data, denk aan onrechtmatig delen van die data, nog voor ze van de opleiding af zijn. Ook is het wel weer erg typisch om te zien dat de onderwerpen privacy en juridische kennis op het gebied van rechtmatigheid, proportionaliteit en doelbinding blijkbaar niet erg sterk aanwezig zijn. Wat weer te denken geeft over de kwaliteit van de opleiding zelf. Als men mensen namelijk niet leert om met deze belangrijke principes rekening te houden loop je het risico dat bewijsmateriaal in andere situaties onrechtmatig verkregen is en daardoor criminelen die een slimme advocaat hebben de dans ontspringen. Een zorgwekkende situatie waarbij de betreffende studenten best wel middels een linkje de docent er op mogen wijzen dat er over is gesproken op dit forum zonder dat ze meteen laten merken dat ze weten dat het over de persoon zelf gaat. Dat is wel zo subtiel. Misschien dat de docent in kwestie dan schrikt en zichzelf verbetert op dit vlak.
24-11-2017, 10:06 door Whacko
Door [Account Verwijderd]:
Door Arnoud Engelfriet: Ik zeg dat het toestel vrij van persoonsgegevens verkocht moet worden, en dus ook vrij van logindata of creditcards. Formeel moet het toestel nu terug en moet de oude eigenaar het wissen, jij als koper hebt dat recht niet. Maar praktisch gezien zie ik SPECIFIEK met het direct wissen van die informatie geen probleem. Noem het zaakwaarneming voor mijn part, noem het invullen van je plicht tot dataminimalisatie of juistheid (artikel 5 AVG) maar ik kan dat niet als onrechtmatige verwerking zien.

En wat nu als dat je een dag na het wipen gebeld wordt: "Ik heb x data nodig van mijn telefoon, anders passeert mijn hypotheek niet en moet ik boete betalen aan notaris."? Vervolgens meldt jij dat je de telefoon gewiped hebt. Kan die persoon nu zeggen dat de nieuwe eigenaar van het toestel een onrechtmatige verwerking heeft gepleegd, wat tot schade heeft geleid bij data-subject (de vorige eigenaar)? Als dat zo is, dan kun je dus ook aansprakelijk gesteld worden.

Of niet?
Nee dat denk ik niet, de meeste moderne telefoons zullen gegevens al overschrijven zodra je je persoonlijke voorkeuren gaat instellen.
Bijvoorbeeld op de iPhone, als je deze wilt verkopen, moet de oude eigenaar EERST zijn of haar iCloud account loskoppelen, hierdoor gebeurt automatisch al een wipe. Een hele slimme forensich onderzoeker zou op dit moment de oude data MISSCHIEN kunnen bemachtigen (want de opslag zit achter een encryptiechip, en ook zonder account blijft die encrypted). Om uberhaupt iets met je nieuw gekochte 2dehands iPhone te kunnen doen, MOET je een iCloud account instellen, en dus wordt er oude data overschreven. hier kun jij niks aan doen. Dus denk dat je hier ook niet aansprakelijk voor gesteld kunt worden.
24-11-2017, 13:43 door Anoniem
Deze reactie is in heel veel opzichten onjuist en onvolledig
Net zoals iedere verkorte uitleg van wetten op te vatten valt als onjuist of onvolledig. De reactie is geschreven in de context van het onderwerp: opleiding/school/bedrijf koopt zaak waarop digitaal persoonsgegevens staan. Laten we daar bij blijven. Je eerste twee punten sla ik nogmaals over, die lijken mij niet relevant voor het onderwerp.

- Het is vaak niet mogelijk technisch uit te sluiten dat persoonsgegevens onbedoeld worden verwerkt. Dan moet dit echter organisatorisch achteraf zo spoedig mogelijk worden gecorrigeerd
Bij dit onderwerp van aankopen van gebruikte digitale goederen waag ik dit te betwijfelen dat je er als koper mee weg komt dat je onbedoeld persoonsgegevens verwerkt. Als het vaak voor komt dat er nog persoonsgegevens zogenaamd onbedoeld doorverkocht worden dan is er geen enkel argument om dergelijke verkopen/aankopen op zich te accepteren. De wet is er niet om op hoop van zege of voor het gemak even te negeren bij een overdacht. Je behoort het ongeoorloofd verwerken uit te sluiten (er is immers een verbod) en dus dien je ook al het mogelijke te doen om onbedoelde verwerking te voorkomen. De zorg voor bewijs daarin het uitsterst gedaan te hebben liggen bij zowel de verkoper en koper. Er rest dan weinig anders dan dat beide partijen zorgvuldig borgen dat gegevens vernietigd zijn of het gebruikt digitaal opslagmedium niet te verkopen of aan te kopen. En zelfs als het dan nog onbedoeld wel gebeurt dan ben je niet minder in overtreding.
24-11-2017, 14:25 door Anoniem
Ik koop (als particulier) ook wel 'ns devices op marktplaats, puur met 't doel m'n forenisic-skills te oefenen... Ik doe er verder nix mee, eenmaal alles gevonden wordt 't device gewiped en gaat 't in een kast...

Als ik iets byzonders vind, stuur 'k wel 'ns een mailtje naar de verkoper om hem/haar hiervan op de hoogte te brengen (volgende keer beter opletten)...

Hoe zit zoiets juridisch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.