Mijn persoonsgegevens zijn via mijn werkgever gelekt. Wat kan ik juridisch doen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?
Antwoord: Allereerst: erg jammer en vervelend dat er anno 2020 nog steeds werkgevers zijn die dus dit soort gevoelige gegevens rondsjouwen zonder zelfs maar full-disk encryptie. Het is erg pijnlijk om daar via een datalekmelding achter te moeten komen.
De procedure is zo te lezen netjes gevolgd: de werknemer moet worden geïnformeerd en de AP ook, want de gegevens zijn zeer gevoelig en misbruik daarvan kan zeker tot schade bij de werknemer(s) leiden. Ook als het maar een handjevol mensen was - BSN en medische gegevens tellen als zeer gevoelig ook bij kleine hoeveelheden.
Dat wil niet zeggen dat de kous daarmee af is. De werknemer kan desondanks immers schade lijden door het lek, en volgens de AVG is de werkgever daar gewoon voor aansprakelijk stellen.
Het lastige hierbij is natuurlijk aan te tonen wat je schade is, zeker als er nog geen kwaadwillend gebruik van je gegevens is gemaakt. En bij diefstal van een laptop is de kans reëel dat dat ook niet gaat gebeuren; waarschijnlijk herinstalleert de dief Windows en verkoopt hij het ding tweedehands. Je kunt dan natuurlijk gaan monitoren op misbruik maar je zult waarschijnlijk niets tegenkomen.
Het gaat me wat ver om te zeggen dat een werkgever maar gewoon een bedrag moet geven bij wijze van forfaitaire schadevergoeding. Maar zonder concreet aangetoonde schade kan de werknemer verder niet zo veel. Bij financiële gegevens zou je nog kunnen eisen dat de werkgever een monitoringdienst betaalt om op het ahem "dark web" te kijken of je creditcard daar opduikt, maar voor bsn's of medische dossiers is er niet echt zo'n markt.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
- Waarom vind je dit niet genoeg? Je kan eisen dat de werkgever dat nooit meer zo doet, maar ik vermoed dat deze met al het gedoe en een AP melding zijn lesje nu wel geleerd heeft.
- Op het moment dat je daadwerkelijk schade ondervindt, is die - zoals Arnoud schrijft - verhaalbaar. Maar zolang er geen schade is, wat wil je dan?
- Je hebt het over 'juridisch doen tegen...'. Waarom gelijk over de juridische as? Zou gewoon een goed gesprek met je werkgever niet meer opleveren dan een juridische procedure. Wat gebeurd is, is toch niet terug te draaien. Verbetering moet je dus zoeken in de toekomst. Vraag bijvoorbeeld of je werkgever bereid is een privacy audit uit te laten voeren om zo te toetsen dat zijn bedrijfsvoering qua privacy op orde is.
Of.....ben je enkel op zoek naar een manier om hier persoonlijk geldelijk gewin uit te halen? Bespaar je dan de moeite. Juristen en rechters wegen belangen af. Als jij geen schade hebt, is er geen reden om je een financiële compensatie te geven.
Die gegevens horen alleen bij HRM te liggen. En een beetje bedrijf zorgt ervoor dat die ergens op een in-house server staan en niet op een of andere onbeveiligde laptop.
De basis van het probleem blijf dat die gegevens ergens beschikbaar zijn waar ze niet horen te zijn. Enige uitzondering zou zijn dat jij bij HRM werkt en dat dus alle data van het hele bedrijf door operhoofd HRM zijn verloren.
Dat doet echter geen recht aan medische gegevens. Die hoort je werkgever gewoon niet eens te hebben. Ook HRM niet.
De kans dat de gegevens misbruikt worden is klein, de kans is zelfs groot dat de gegevens vernietigd worden en dat de schade dus meevalt.
Iemand die persoonsgegevens zou willen verkopen steelt niet een laptop van een stropdas maar breekt in bij HRM en download een backup van de database of zo.
Wat "14:04 door Anoniem" ook al aangeeft; Je laat erg doorschemeren dat je uit bent op een zak geld, dat zal de relatie met je werkgever nooit ten goede komen en zal hoogst waarschijnlijk resulteren in een zoek opdracht op Monsterboard.
In kennelijk toenemende mate worden mensen zogenaamd door hun bank gebeld waarbij de bellers over allerlei vertrouwelijke gegevens blijken te beschikken. Daarmee overtuigen zij de gebelde dat het echt om een bankmedewerker moet gaan. Die gegevens moeten ergens vandaan komen, en steeds vaker lijken er allerlei "diensten" te bestaan die (deels vertouwelijke) identificerende gegevens verzamelen en verkopen. Niet alleen op het dark web; bijv. ook in chatgroepjes.
Recent voorbeeld: "Onderzoekers TU/e vinden enorme zwarte markt voor handel in online ‘fingerprints’" (van webbrowsers). Kennelijk zijn ook die gegevens al geld waard: https://www.security.nl/posting/675689/Marktplaats+voor+gestolen+profielgegevens+laat+criminelen+RBA-systemen+omzeilen.
Die gegevens horen alleen bij HRM te liggen. En een beetje bedrijf zorgt ervoor dat die ergens op een in-house server staan en niet op een of andere onbeveiligde laptop.
...
Nou, dat weet ik niet. Als mij dit zou overkomen dan zou ik diep ongelukkig zijn, net zoals jij ook zou moeten zijn, en zou ik de gang naar de AP geen "straf" vinden voor mijn werkgever. Deze heeft tenslotte bewezen een überprutser van de bovenste plank te zijn en heeft daarmee met mijn persoonlijke gegevens zitten spelen.
Wat mij betreft zou het anno 2020 duidelijk moeten zijn dat je dit niet meer kan doen en zou dit daadwerkelijk afgestraft moeten worden met een (symbolische, waarschijnlijk geldelijke) boete, naar rato van de omzet van het bedrijf: het bedrijf hoeft niet om zeep (bij voorkeur niet), maar ze mogen er wel iets voelen zodat er wat meer motivatie ontstaat om de gang van zaken te verbeteren. Ik zou daarbij niet noodzakelijk op een geldsom voor mij persoonlijk uit te zijn, maar misschien wel voor een goed doel of zo. Een "goed gesprek" met mijn werkgever is volgens mij hiervoor niet de manier.
Maar inderdaad, ik ben geen jurist en ook geen rechter. En zolang die niet nadenken over dit soort motivaties blijft het pappen en nathouden.
Verder, full-disk encryptie of niet, ik vraag me af waarom het anno 2020 noodzakelijk is om al dat soort persoonlijke gegevens op een disk in je laptop mee te nemen. Gebruik een VPN, of iets Citrix-achtigs of zo. Dat is veel controleerbaarder. Voor kleine bedrijven kan ik me voorstellen dat iets Citrix-achtigs wat duur kan zijn, maar een VPN kost niemand meer de kop.
Maar de werknemer mag het wel vertellen, en als dat via email gaat staat het in een database. En als je met beperking te maken gaat krijgen of dat er speciale apparatuur nodig is om je je werk te laten doen is het wel heel erg vreemd om helemaal niet te zeggen. Of het zijn zaken die aan de buitenkant zichtbaar zijn zoals een gebroken been, je kan het hem zeggen of hij ziet het als je in het gips op kantoor aankomt.
Tenzij er sprake is van daadwerkelijke schade, is een verstoorde arbeidsrelatie waarschijnlijk waar dit op uit zal lopen.
Juridisch valt er niets te halen, en je werkgever zal niet gecharmeerd zijn, indien je op deze manier reageert.
Waarom wil je de juridische weg bewandelen, wat hoop je te bereiken ?
Kan je niet beter in gesprek, en bijvoorbeeld vragen welke maatregelen er worden genomen, om herhaling te voorkomen ?
Maar inderdaad, ik ben geen jurist en ook geen rechter. En zolang die niet nadenken over dit soort motivaties blijft het pappen en nathouden.
.
De tijd van praten met dat soort lui is voorbij. Nu wordt het bloeden. En voorbeelden stellen. Echt. Dat kon in 2000 misschien nog maar als je nu niet weet hoe het moet, ben je gewoon een gedrocht dat straf moet krijgen. En wel straffen naar draagkracht! Enige manier om dat soort te laten doen wat moet gebeuren. Want zolang ze overal mee wegkomen, interesseert dat stropdassen tuig totaal niet wat met andermans gegevens gebeurt.
Dit is namelijk een schoolvoorbeeld van hoe je niet met persoonsgegevens moet omgaan.
In het bericht staat niet of de AP wel of niet een straf heeft opgelegd maar gezien hoe de AP op dit moment functioneert verwacht ik dat het bij een melding blijft.
De tijd van praten met dat soort lui is voorbij. Nu wordt het bloeden. En voorbeelden stellen. Echt. Dat kon in 2000 misschien nog maar als je nu niet weet hoe het moet, ben je gewoon een gedrocht dat straf moet krijgen. En wel straffen naar draagkracht! Enige manier om dat soort te laten doen wat moet gebeuren. Want zolang ze overal mee wegkomen, interesseert dat stropdassen tuig totaal niet wat met andermans gegevens gebeurt.
Verder, full-disk encryptie of niet, ik vraag me af waarom het anno 2020 noodzakelijk is om al dat soort persoonlijke gegevens op een disk in je laptop mee te nemen. Gebruik een VPN, of iets Citrix-achtigs of zo. Dat is veel controleerbaarder. Voor kleine bedrijven kan ik me voorstellen dat iets Citrix-achtigs wat duur kan zijn, maar een VPN kost niemand meer de kop.
Wellicht waren die ook wel encrypted maar was men daar niet helemaal zeker van, en heeft dus veiligheidhalve maar aangenomen dat ze niet encrypted waren.
Maar inderdaad, zet die data gewoon niet op de laptop, dan kan het ook niet zo gemakkelijk verloren gaan. Niet alleen is het slecht als het in handen van anderen valt, het is vast ook niet fijn dat de man er nu zelf niet meer over beschikt.
(laten we maar aannemen dat ie geen backups maakte)
https://support.microsoft.com/nl-nl/windows/apparaatversleuteling-in-windows-10-ad5dcf4b-dbe0-2331-228f-7925c2a3012d
https://support.microsoft.com/nl-nl/windows/apparaatversleuteling-in-windows-10-ad5dcf4b-dbe0-2331-228f-7925c2a3012d
wie boeit het wat als een dief jouw WORD.EXE kan lezen? Niemand toch...
Die BitLocker staat standaard aan op de HP laptops die we hebben en ik kan me niet voorstellen dat HP dat op de
een of andere manier standaard wijzigt in een Windows 10 pro install.
Die gegevens horen alleen bij HRM te liggen. En een beetje bedrijf zorgt ervoor dat die ergens op een in-house server staan en niet op een of andere onbeveiligde laptop.
...
waar ik me aan stoor is, dat er niet goed gekeken is naar de situatie schets. De gegevens van de werknemer stonden op de laptop wat op zich raar is. maar de betreffende werknemer geeft aan dat deze onversleuteld op de laptop stond. kortom het lijkt mij dat de werkgever onvoldoende heeft gedaan heeft om gegevens te beveiligen. daarna is wel netjes het proces gevolgd, maar ik kan me de werknemer goed de angst voor misbruik voorstellen. ik zou door het onbehoorlijk beveiligen en gegevens op willekeurige laptop op te slaan in plaats van in een beveiligde centrale database of dergelijke voor kunnen stellen dat er toch juridische mogelijkheden zijn. Echter gaat Arnold en anderen totaal aan voorbij. Als het een hier ging om een grote database welke gestolen is en niet behoorlijk beveiligd is, horen, zien en lezen we vaak anders. Als er geen gronde is tot iets van schade vergoeding, dan is die hele AVG wetgeving toch ook aanfluiting. want zolang het papieren proces maar gevolgd wordt is er niets aan de hand voor zowel werkgever als werknemer????
Daarnaast is het niet ondenkbaar dat er ook gegevens van anderen (bijv. collega's) op de laptop stonden, dat is echter niet vermeld.
Niet mee eens. Het BSN is enkel een unieke sleutel geen authenticatie hulpmiddel.
Dat het AP dat wel zo laat gebeuren en niet de wet gebruik BSN volgt waar de controle persoon-key bij de verwerker ligt, juist dat lijkt me een ernstig probleem. Iedereen kan wel beweren dat hij Alexander is maar daarmee is niet iedereen ook Alexander, Dat het wel makkelijk verwerken is met foute gegevens is een ander fout iets.
Is er hier door de werknemer daadwerkelijk schade geleden? In dat geval zou er een grond zijn voor schade vergoeding.
Voor de werkgever zou er wel iets aan de hand kunnen zijn, maar dat is aan de ACM. Die kan de werkgever een boete opleggen, maar die boete is niet om enige schade te vergoeden.
https://support.microsoft.com/nl-nl/windows/apparaatversleuteling-in-windows-10-ad5dcf4b-dbe0-2331-228f-7925c2a3012d
wie boeit het wat als een dief jouw WORD.EXE kan lezen? Niemand toch...
Die BitLocker staat standaard aan op de HP laptops die we hebben en ik kan me niet voorstellen dat HP dat op de
een of andere manier standaard wijzigt in een Windows 10 pro install.
Onzin, er zijn maar heel weinig devices waar het aan staat. En wanneer je een Dell Laptop hebt dan moet je deze eerst ontsleutelen en opnieuw versleutelen met TPM want uit de fabriek zijn ze allemaal versleuteld zonder TPM chip en dus onveilig
Zo hebben we dat in het bedrijf waar ik werk ook geregeld.
Als je als particulier een laptop koopt dan staat het inderdaad niet aan. Maar aangezien hij het heeft over een window10 pro install zal dat wel niet het geval zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer
Ga jij met ons de samenwerking aan om Robot Process Automation veilig te im-plementeren, om een audit op de ver-pleegafdeling uit te voeren of om een Research Proposal met inzet van AI te beoordelen? Word onderdeel van ons team!
Adviseur Incidentpreventie en Incidenthandler IBD
De Informatiebeveiligingsdienst (IBD) onder-steunt gemeenten op het gebied van informatiebeveiliging en privacy. Je verhoogt de digitale weerbaarheid van gemeenten. Je draagt daarmee bij aan het voorkomen van incidenten die de dienstverlening van ge-meenten in gevaar kan brengen. En die nadelige gevolgen voor inwoners, bedrijven en de gemeente zelf kunnen hebben.
Senior Security Operations Centre (SOC) Specialist
Nationaal Cyber Security Centrum
Vanuit de verdere professionalisering van onze organisatie hebben wij behoefte aan een senior Security Operations specialist, die vanuit zijn ruime SOC-ervaring inhoudelijk een steunpilaar kan zijn binnen de dagelijkse SOC-processen en daarnaast een trekkende en adviserende rol kan spelen in de verdere doorontwikkeling van deze processen.
Director Cybersecurity &
Risk management
Je hebt kennis van gedragsverandering én informatiebeveiliging en weet hoe mens, techniek en organisatie onlosmakelijk met elkaar verbonden zijn. Onze aanpak onder-scheidt zich door onze focus op de mens binnen de Cybersecurity en Risk manage-ment markt. Jij geeft graag leiding aan professionals en weet hoe je jouw team motiveert en triggert op de inhoud.
(Senior) Onderzoeker Cybersecurity
Nationaal Cyber Security Centrum
Zit cybersecurity diep in je DNA? Ben jij de schakel tussen de cybersecuritypraktijk en de academische onderzoekswereld? Weet jij relevante vragen en opdrachten te destilleren tot concreet onderzoek? Wellicht ben jij dan de gewenste aanvulling op ons team!
Security Officer Bedrijfsvoering
Als Security Officer zorg je dat het infra-structuurplatform, de broncode en de VECOZO-werkplek zo min mogelijk kwets-baarheden kennen. Je stelt daarvoor een beveiligingsplan en een risicoanalyse op. Verder verstrek je hulpmiddelen, werk je nauw samen met de CISO op het bedrijfs-bureau en zorg je waar nodig voor training en evaluatie.
Adviseur Samenwerking
(Landelijk Dekkend
Stelsel)
Nationaal Cyber Security Centrum
Ben jij een echte verbinder die er energie van krijgt om met potentiële partner organisaties in contact te gaan om samenwerkings-mogelijkheden te bespreken? Geloof je in de kracht van samenwerken en bezit je het enthousiasme en de competenties om dit te activeren?