image

Is het een datalek wanneer een zakelijk gebruikt privé WhatsApp-account van een werknemer wordt gekaapt?

woensdag 2 december 2020, 10:39 door Arnoud Engelfriet, 18 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: In ons bedrijf zien we dat veel werknemers elkaar 'op de app' hebben, ze hebben op hun (vaak zakelijke, maar soms privé) telefoons WhatsApp geïnstalleerd en voegen elkaar toe. Dat is vaak werkoverleg, afstemmen van afspraken en dergelijke, soms ook privégebabbel. Nu is bij één werknemer het WhatsApp-account gekaapt en zo heeft de kaper dus de gegevens (en chats) van die collega's te pakken gekregen. Is dat een datalek en zijn wij daarvoor verantwoordelijk?

Antwoord: Dit is weer zo'n casus die laat zien waarom analogieën niet goed werken bij internetrecht. Want wat is in vredesnaam de analogie hier?

Eerste dat in me opkomt: collega's die afspreken in het café wellicht. Daar komen ze elkaar tegen, ze wisselen elkaars nummer uit of noteren dingen op het prikbord van het café zodat ze dat kunnen zien. Dat zouden we een privéaangelegenheid noemen, en pas als er serieuze overlast kwam van die collega's dan zou de werkgever er wellicht wat van kunnen zeggen.

Nee hé, is het ook niet. Want die mix van zakelijke en privé communicatiemiddelen die doet het hem wel hier. En daar is niet echt een analogie voor.

Dus dan draai ik hem om, laten we beginnen bij het probleem. Een ongeautoriseerde derde heeft met een technische truc toegang gekregen tot zakelijke chats en contactgegevens van medewerkers van bedrijf X. Dat die mogelijk op privéapparaten lagen, doet er niet toe. Mijn aktetas is ook privé, diefstal van de inhoud daarvan is toch echt een zakelijke aangelegenheid.

Alleen: wie is verantwoordelijk voor die gegevens? Nou ja, dan zou ik dus zeggen net als bij die aktetas - de werkgever dus. Die staat mij toe dat mee naar huis te nemen in mijn eigen tas. Zijn risico. En natuurlijk dat gaat al 100 jaar goed met aktetassen, maar dat doet niet af aan het principe.

Die lijn doortrekkend krijg je dus: al die gegevens in die WhatsApp-accounts zijn zakelijk en de werkgever is daarvoor verantwoordelijk. Dus datalek en dus meldingsplicht vanuit de werkgever.

Alleen voelt dat ook weer zo raar, het is toch míjn telefoon en mijn contactenlijst met daarin toevallig collega's Daan, Peter en Lisette. Ja, maar niet helemaal: die gegevens heb je via het werk verkregen om het werk beter uit te voeren. Dus toch zakelijk. Of toch niet, kreeg je die werk-06 om zakelijk met ze te bellen of om onzakelijk te chatten? Als ik een pakje op kantoor laat bezorgen, is dat ook geen zakelijke bestelling maar handig gebruik van iets waar ik bij kan.

Uiteindelijk bekijk ik het dan toch maar als een formele kwestie. En formeel zijn die contactgegevens door de werkgever verstrekt voor het werk. Dat de werknemer daarmee van alles privé mag doen, verandert daar niets aan. Ook niet als dat volkomen normaal is, dat privégebruik. Dus is het lekken daarvan een beveiligingsgebrek dat je de werkgever aanrekent. Idem voor de chats, voor zover daar zakelijke informatie in te vinden is.

Anders is dat bij de privénummers die collega's elkaar geven. Die - en de privéchats - hebben niets met werk te maken en staan er dus los van.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
02-12-2020, 10:57 door Anoniem
Kortom, de zakelijke gegevens zijn een datalek en moeten worden gemeld. De privé gegevens zijn een persoonlijke aangelegenheid en moeten zo worden behandeld. Om de verwarring te voorkomen is het beter, wanneer de werkgever hierover richtlijnen opstelt. Dus b.v. op zakelijke telefoons alleen communiceren met door de werkgever verstrekte en beheerde apps en privé zoek je het maar uit, maar mag je niets zakelijks communiceren. Koppelingen tussen zakelijk en privé is niet de bedoeling en ook niet toegestaan.
02-12-2020, 11:14 door Anoniem
Ik ben het hier niet helemaal mee eens,een baas[werkgever] kan zich nooit wapenen tegen onnozelheid van sommige werknemers.
Je hebt wel beetje een punt als het om een zakelijk 06 -nummer gaat. Maar mensen zijn vaak zeer nonchalant in het omgaan
met digitale data zij het zakelijk of privè.
Eigenlijk zouden werkgevers mensen die zakelijk 06 nummers of e-mail met privè mixen moeten inlichten en cursus digitale security geven over bepaalde do`s en dont''s.
Laatst las ik ook nog ergens van een instantie waarbij whatsapp fraude was gepleegd ik dacht ij een of andere gemeente die niet eens tweefactor authorficatie ingeschakeld hadden op hun whatsapp accounts waardoor de hele groep gehacked was.
het is nooit 100% uit te sluiten of te voorkomen maar met een beetje voorlichting op digitale veiligheid dek je het wel voor een heel groot gedeelte af!
02-12-2020, 11:54 door Anoniem
Een goed bedrijf of instituut laat je voor het omgaan met zakelijke
en alle andere info een geheimhoudingsverklaring tekenen.

Scherp het bewustzijn dat de organisatie op een heleboel info zit, die het waard is om beschermd te worden
en dus binnen de organisatie dient te blijven.

Het kanaal naar buiten is altijd de persvoorlichter of interne inlichtingen officier. Verwijs steeds daarnaar.
Ook kan er vaak helemaal geen kanaal naar buiten zijn. Dan geldt: "Mum is the word".
Info, die er niet is, kan zich niet verspreiden namelijk.

In sommige omgevingen waar alle neuzen dezelfde kant op staan, is dat nooit een probleem.
Dat is vaak een hele unieke situatie in deze wereld en hij bestaat gelukkig nog. ;)

In alle gevallen geldt altijd: zwijgen is goud en al al het andere is vaak al minder dan zilver.
Maar boven alles, wees trouw aan jezelf. Iets delen met iemand anders is als het delen met de hele wereld.

Iets alleen weten, is ook als het te delen met G*d alleen.
"Go with the flow en val niet op" is de beste raad ooit gehad, en hou je smartphone altijd bij je dicht op je lijf".

Schoon ook al je Whatsapp berichtjes vrij regelmatig en snel op.
"Feind hoert mit", weet je nog.
Die tijden keren nu langzamerhand weerom jammer genoeg.

Aardig gevonden worden is in deze nagenoeg niet van belang.
Wees ook voorzichtig als anderen dat willen zijn.

Zorg dat berichtjes je later niet in je k*nt kunnen komen bijten,
ook als je zou denken dat het nu niets uitmaakt.

luntrus
02-12-2020, 12:35 door Bitje-scheef
Ik ben het hier niet helemaal mee eens,een baas[werkgever] kan zich nooit wapenen tegen onnozelheid van sommige werknemers.

Andersom ook niet.
02-12-2020, 12:35 door Anoniem
Je hebt whatsapp for business.

Ideaal gebruik je op je prive telefoon normale whatsapp en op je zakelijke telefoon whatsapp for business en sla je op je prive telefoon geen zakelijke nummers op en chat je je ook niet met zakelijke nummers
02-12-2020, 12:52 door Anoniem
Dus: zakelijke dingen op de telefoon van de baas. Privé dingen op de telefoon van jezelf.
De baas kan bepalen wat er wel en niet op de zakelijke telefoon mag staan en hoe de beveiliging moet zijn. Jij kunt dat bepalen bij je eigen telefoon.
02-12-2020, 13:03 door Anoniem
Door Anoniem: Ik ben het hier niet helemaal mee eens,een baas[werkgever] kan zich nooit wapenen tegen onnozelheid van sommige werknemers.
Je hebt wel beetje een punt als het om een zakelijk 06 -nummer gaat. Maar mensen zijn vaak zeer nonchalant in het omgaan
met digitale data zij het zakelijk of privè.
Eigenlijk zouden werkgevers mensen die zakelijk 06 nummers of e-mail met privè mixen moeten inlichten en cursus digitale security geven over bepaalde do`s en dont''s.
Laatst las ik ook nog ergens van een instantie waarbij whatsapp fraude was gepleegd ik dacht ij een of andere gemeente die niet eens tweefactor authorficatie ingeschakeld hadden op hun whatsapp accounts waardoor de hele groep gehacked was.
het is nooit 100% uit te sluiten of te voorkomen maar met een beetje voorlichting op digitale veiligheid dek je het wel voor een heel groot gedeelte af!
Je verwart "schuld hebben" met "aansprakelijk zijn".
En werkgever is aansprakelijk voor ongeschikt handelen door zijn personeel, daar moet de werkgever zich voor verzekeren.
Maar deze heeft daardoor ook de plicht het datalek, veroorzaakt door of mede door of waar zijn personeel verantwoordelijk is, te melden.
02-12-2020, 13:06 door Arnoud Engelfriet
Door Anoniem: Een goed bedrijf of instituut laat je voor het omgaan met zakelijke
en alle andere info een geheimhoudingsverklaring tekenen.

Scherp het bewustzijn dat de organisatie op een heleboel info zit, die het waard is om beschermd te worden
en dus binnen de organisatie dient te blijven.

Dat eerste (een NDA tekenen) zie ik heel vaak gebeuren, echter denken veel bedrijven ook dat ze daarmee dat tweede hebben gedaan. Maar als jurist zeg ik: zo'n NDA voegt nul toe aan het bewustzijn van je werknemers, die tekenen omdat jij zegt dat dat moet (het is dus niet eens juridisch bindend) en ze denken geen seconde langer na over hoe ze met gevoelige informatie om moeten gaan.
02-12-2020, 16:36 door Anoniem
Beste Arnoud,

Wat is volgens jou dan de beste manier om bij de werknemers het besef te laten groeien,
dat ze op waardevolle bedrijfs- of instituut-info moeten passen,
zodat die niet zo maar met jan en alleman kan worden gedeeld.

Moet die bewustwording plaatsvinden - via interne werkshops, cursusjes?
Hoe zie je dit en wat werkt volgens jou?

Uit de praktijk blijkt het ook vaak niet of niet voldoende te werken,
zeker als er kwaad opzet in het spel is.

Hoe screen en monitor je je medewerkers dienaangaande en mag dat?

m.vr.gr.

luntrus
02-12-2020, 18:59 door MathFox
Door Anoniem:
Wat is volgens jou dan de beste manier om bij de werknemers het besef te laten groeien,
dat ze op waardevolle bedrijfs- of instituut-info moeten passen,
zodat die niet zo maar met jan en alleman kan worden gedeeld.

luntrus
Het is afhankelijk van hoe je als bedrijf de introductie van nieuwe medewerkers en de bijscholing van je bestaande medewerkers hebt ingericht. Bij een groot bedrijf kan er maandelijks aan een klasje nieuwelingen cursus gegeven worden. Andere bedrijven hebben een zelfstudieprogramma met webcursussen, kleinere bedrijven die het goed georganiseerd hebben leveren een checklist aan de mentor met "zaken om uit te leggen".
Aan kwaad opzet kun je met training niets doen. Dan komt het er op aan om de schade die een kwade werknemer kan aanrichten te beperken. Training kan wel collega's attent maken op het kwalijke gedrag van een ander.
02-12-2020, 19:18 door Anoniem
Of een datalek meldingsplichtig is is uiteraard nog afhankelijk van aanvullende context zoals soort persoonsgegevens en impact op de privacy van de betrokkenen (over wie de persoonsgegevens betrekking hebben).
03-12-2020, 09:28 door _R0N_
Door Anoniem: Of een datalek meldingsplichtig is is uiteraard nog afhankelijk van aanvullende context zoals soort persoonsgegevens en impact op de privacy van de betrokkenen (over wie de persoonsgegevens betrekking hebben).

Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.

https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens

Een telefoonnummer is dus een persoonsgegeven.
03-12-2020, 11:30 door Anoniem
Volgens mij is er al sprake van een datalek op het moment dat je WhatApp op een zakelijk gebruikte telefoon installeert. Je geeft de tool toegang tot bijna alles van je mobiele telefoon (incl. contactgegevens e.d.). Oftewel, deze gegevens zijn al gelekt naar WhatApp/FB, en niemand die kan garanderen hoe deze informatie aldaar gebruikt cq opgeslagen wordt. Dat is tevens mijn grote probleem met dit soort apps: mijn persoonsgegevens worden door derden aan deze app-providers verstrekt, zonder dat ik daar invloed op heb of dit kan voorkomen.
03-12-2020, 19:01 door Anoniem
Door Bitje-scheef:
Ik ben het hier niet helemaal mee eens,een baas[werkgever] kan zich nooit wapenen tegen onnozelheid van sommige werknemers.

Andersom ook niet.

Een deel van het probleem is via GDPR geregeld.

Als een werknemer zelf op eigen houtje gegevens begint te verwerken, zonder dat die verwerking deel uitmaakt van de normale bedrijfsprocessen/opdracht, dan wordt die werknemer (ook al is dat een privépersoon) zelf een datacontroller met alle rechten en plichten van een datacontroller.

Een werknemer die zomaar gegevens begint te verwerken waar hij toevallig aankan, zonder dat hij een goed gedefinieerde opdracht van zijn baas heeft gekregen, is iets dat niet (meer) door de beugel kan.
Anderzijds is de werkgever ook verplcht om te controleren of de verwerking wel correct gebeurd. Een gedoogbeleid is een stilzwijgend toestemmen en ook een dergelijke passieve houding houdt risico's in.
03-12-2020, 22:19 door Anoniem
Ik ben het hier niet helemaal mee eens,een baas[werkgever] kan zich nooit wapenen tegen onnozelheid van sommige werknemers.

Een mening verandert weinig aan de juridische situatie.
04-12-2020, 09:32 door Arnoud Engelfriet
Door Anoniem:
Als een werknemer zelf op eigen houtje gegevens begint te verwerken, zonder dat die verwerking deel uitmaakt van de normale bedrijfsprocessen/opdracht, dan wordt die werknemer (ook al is dat een privépersoon) zelf een datacontroller met alle rechten en plichten van een datacontroller.

Dat gaat me iets te snel. Die werknemer zal in principe die gegevens toch gebruiken voor iets dat met het werk te maken heeft? Denk aan op eigen houtje de klanten benaderen of collega's uitnodigen voor een zakelijk iets. Dan is dat gewoon verantwoordelijkheid werkgever. Net als het feestje op vrijdagavond, als dat via de werkmail is opgezet voor collega's.
04-12-2020, 16:23 door User2048
Een ander aspect is dat iemand bij het bedrijf een verzoek kan indienen om zijn/haar persoonsgegevens in te zien. Als die gegevens rondzwerven op allerlei apparaten waar het bedrijf geen controle over heeft, dan wordt dat een hele klus.
06-12-2020, 10:35 door Anoniem
Naar mijn mening is het gebruik van whatsapp voor zakelijke doeleinden sowieso een datalek. Je gaat namelijk persoonsgegevens die je voor je werk hebt gekregen (de contactgegevens van je collega's en anderen waar je mee samenwerkt) doorgeven aan een derde partij (facebook).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.