Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Wanneer de curator van een bedrijf de domeinnamen laat verlopen, spreek je dan van een datalek onder de AVG? Nieuwe mails komen dan mogelijk bij de nieuwe eigenaar van het domein aan, en je kunt het bedrijf niet langer bereiken per mail.
Antwoord: Helaas komt het vaak voor dat curatoren een domeinnaam laten verlopen van een bedrijf na faillissement. Dat kan zijn omdat er geen geld meer is om die in stand te houden, of omdat simpelweg niet duidelijk is dat die domeinnaam überhaupt eigendom is van het bedrijf.
Er is een veiligheidsrisico bij het zomaar opheffen van een domeinnaam, omdat een ander de domeinnaam dan kan registreren en bijvoorbeeld mail bestemd voor het oude bedrijf kan omleiden. Daarmee zou die ander dan persoonsgegevens te pakken krijgen, zoals gegevens van oude klanten of zelfs gevoelige dossiers die worden nagemaild.
Een datalek onder de AVG is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot misbruik of verlies van persoonsgegevens (artikel 4). Ik zie zeker wel hoe dit ‘kapen’ van de domeinnaam kan leiden tot enige vorm van misbruik van persoonsgegevens, maar ik zet mijn vraagtekens bij het element "inbreuk op de beveiliging". Welke beveiliging wordt er immers doorbroken?
Ik kan een domeinnaam an sich moeilijk als een beveiligingsmaatregel zien, zodat het opheffen of laten verlopen daarvan (door een curator of gewoon uit slordigheid) volgens mij ook geen inbreuk of schending daarvan is. Het voelt wat creatief om te zeggen, de domeinnaam is deel van de beveiliging van de e-mail (want wie de domeinnaam beheerst, beheerst de routering van de mail) en het opheffen daarvan is dus een beveiligingsschending. Alsof de curator het mailserverwachtwoord op internet zet. Mja. Het kan, maar lekker voelt het niet.
Dat neemt niet weg dat het bepaald onzorgvuldig is om dit zomaar te doen, zelfs in een faillissement. Al is het maar omdat klanten en leveranciers gewoonlijk via de mail contact zullen zoeken, toch iets waar je rekening mee moet houden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.