Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Wanneer de curator van een bedrijf de domeinnamen laat verlopen, spreek je dan van een datalek onder de AVG? Nieuwe mails komen dan mogelijk bij de nieuwe eigenaar van het domein aan, en je kunt het bedrijf niet langer bereiken per mail.
Antwoord: Helaas komt het vaak voor dat curatoren een domeinnaam laten verlopen van een bedrijf na faillissement. Dat kan zijn omdat er geen geld meer is om die in stand te houden, of omdat simpelweg niet duidelijk is dat die domeinnaam überhaupt eigendom is van het bedrijf.
Er is een veiligheidsrisico bij het zomaar opheffen van een domeinnaam, omdat een ander de domeinnaam dan kan registreren en bijvoorbeeld mail bestemd voor het oude bedrijf kan omleiden. Daarmee zou die ander dan persoonsgegevens te pakken krijgen, zoals gegevens van oude klanten of zelfs gevoelige dossiers die worden nagemaild.
Een datalek onder de AVG is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot misbruik of verlies van persoonsgegevens (artikel 4). Ik zie zeker wel hoe dit ‘kapen’ van de domeinnaam kan leiden tot enige vorm van misbruik van persoonsgegevens, maar ik zet mijn vraagtekens bij het element "inbreuk op de beveiliging". Welke beveiliging wordt er immers doorbroken?
Ik kan een domeinnaam an sich moeilijk als een beveiligingsmaatregel zien, zodat het opheffen of laten verlopen daarvan (door een curator of gewoon uit slordigheid) volgens mij ook geen inbreuk of schending daarvan is. Het voelt wat creatief om te zeggen, de domeinnaam is deel van de beveiliging van de e-mail (want wie de domeinnaam beheerst, beheerst de routering van de mail) en het opheffen daarvan is dus een beveiligingsschending. Alsof de curator het mailserverwachtwoord op internet zet. Mja. Het kan, maar lekker voelt het niet.
Dat neemt niet weg dat het bepaald onzorgvuldig is om dit zomaar te doen, zelfs in een faillissement. Al is het maar omdat klanten en leveranciers gewoonlijk via de mail contact zullen zoeken, toch iets waar je rekening mee moet houden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...
Ik las op diverse plekken dat Nederland een wet heeft aangenomen dat providers verplicht kunnen worden om Huawei-apparatuur uit ...
Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...
Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.