Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Als ik als IT-medewerker een bepaalde klant bezoek, moet ik me identificeren aan de deur. Fair enough, maar sinds kort moet mijn identiteitsbewijs in een scanner "ter verificatie". Ik heb daar vraagtekens bij want als bezoeker kun je niet controleren wat de hardware en software ("Paspoort scanner" en een standaard Windows PC) wel en niet doet. Men zegt dan wel dat alles in het apparaat gebeurt en niets wordt opgeslagen, maar hoe controleer je dat? En mijn werkgever zegt dat ik gewoon naar binnen moet. Wat moet ik nu doen?
Antwoord: Een identiteitscontrole van een bezoeker kan gerechtvaardigd zijn, ik denk dat daar weinig discussie over bestaat. En dat je dan wil controleren of het ID-bewijs van die bezoeker echt is, dat snap ik ook. Daar zijn diverse kastjes voor, op de markt vaak bekend onder de term "ID scanner". Die kunnen echtheidskenmerken controleren en gegevens uitlezen, en soms zelfs daar meteen een bezoekerspas mee maken.
Inzet van zo'n kastje lijkt me op zich geen probleem. Dat ondersteunt de taak die je toch al hebt, en past binnen de goede uitvoering van die noodzakelijke identiteitscontrole. Je had toch al onderbouwd (op papier) waarom je die controle moest doen, nietwaar?
Het is natuurlijk lastig te zien voor mensen wat er gebeurt met hun gegevens. Zelfs als het los kastje met alleen een stroomkabeltje is, dan nog zou deze via wifi van alles door kunnen geven. Dat mag niet als daar geen goede reden voor is.
Er zijn bedrijven die online identiteitsverificatie / ID controle doen; het kastje is dan alleen een scanner en verzendapparaat naar de dienstverlener die dan de resultaten teruggeeft. Als dat is hoe het bedrijf werkt, dan kan dat (dat bedrijf is dan een verwerker immers) maar dat moet dan wel duidelijk uitgelegd worden.
Dat is dan ook het theoretische antwoord: er mag niets dat niet duidelijk is toegelicht, dus op zijn minst moet je kunnen vragen wat er gebeurt en moet de beveiliger/portier/receptionist hier adequaat antwoord op kunnen geven. Bijvoorbeeld met een folder met toelichting.
Voel je je daar niet prettig bij, of heb je twijfels over of het allemaal wel klopt, dan heb je niet zo heel veel mogelijkheden ben ik bang. Je kunt als individu geen DPIA afdwingen, en eisen dat de AP langskomt is ook niet zo kansrijk ben ik bang.
De enige optie die ik zie is dat je naar je werkgever gaat. Die heeft immers een zorgplicht: een goed werkgever laat de privacy van zijn personeel niet in gevaar komen. Die moet dus bij die klant nadere informatie en/of waarborgen eisen, of misschien zelfs wel een ander protocol verzinnen. Ik heb zelf wel eens een klant geadviseerd om de standaardmonteurs een vaste bezoekerspas te geven. Dat is dan eenmalig een handmatige controle van identiteit, en daarna toegang met die pas.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.