Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Als je data opvraagt waar je volgens de AVG recht op hebt, dan is de organisatie verantwoordelijk voor het veilig versturen van deze data. Wat nu als een organisatie deze via e-mail stuurt? Ze kunnen dan wel TLS gebruiken, maar dat beschermt de data niet als deze eenmaal in mijn mailbox zit.
Antwoord: Inderdaad, een verwerkingsverantwoordelijke (zoals zo'n organisatie) moet zorgen voor een goede beveiliging van die persoonsgegevens. Dat speelt ook bij het afhandelen van een inzageverzoek.
Het gebruik van TLS bij het verzenden van e-mail lijkt me een voor de hand liggende beveiligingsmaatregel tegen meelezen in transit. Ik zou niet weten waarom je anno 2023 als organisatie mail verstuurt zonder TLS naar de ontvangende mailserver.
Natuurlijk beveiligt TLS niet tegen een inbraak in de mailbox bij de ontvanger. Maar op het moment dat de mail bij de (organisatie of isp van de) ontvanger is aangekomen, is de ontvanger zélf verwerkingsverantwoordelijke van die gegevens geworden. Daarmee houdt op dat moment de zorgplicht van de verstrekkende organisatie gewoon op.
Een organisatie zou de gegevens ook anders kunnen verstrekken, zoals een download vanuit een beveiligde site of de bijlage voorzien van een wachtwoord dat via apart kanaal wordt verstrekt. Maar ik zie het wezenlijk verschil niet: zodra ik de download binnen heb of de bijlage ontvang, is de data nog steeds mijn verantwoordelijkheid.
Heel misschien is verdedigbaar dat je mag verwachten dat veel ontvangers niet goed zijn in security, en dat je ze dus een beetje moet helpen. Bijvoorbeeld dus door een wachtwoordbeveiliging met het wachtwoord apart verstuurd. Maar nog los van de vraag of je bij zo'n inzageverzoek wel een tweede communicatiekanaal hébt, ik weet geen artikel in de AVG waaruit zo'n vergaande zorgplicht zou volgen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.