Ben ik aansprakelijk als mijn Wordpress site gegevens heeft gelekt?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik verhuur (als particulier) een vakantiehuisje en gebruik voor de promotie en verhuurregistratie een WordPress site. Nu lees ik de afgelopen weken regelmatig over WordPress hacks en kwetsbaarheden. Als er door een hack gegevens van mijn website worden gelekt, ben ik dan aansprakelijk? Ik probeer eventuele updates wel regelmatig (tegenwoordig eens per week ongeveer) uit te voeren, maar ik kijk niet elke dag naar de website.
Antwoord: Formeel ben je ook als particulier die persoonsgegevens verwerkt, onderworpen aan de AVG. Er is inderdaad een uitzondering voor ‘natuurlijke personen’, maar dat gaat over het soort verwerking: een “zuiver persoonlijke of huishoudelijke activiteit” door een individu is uitgezonderd.
De definitie van zo’n activiteit is nogal beperkt. Overweging 18 omschrijft het als een handeling die “als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit” en noemt als voorbeelden het houden van adresbestanden en het sociaal netwerken.
Bij het verhuren van een vakantiehuisje kun je moeilijk volhouden dat dat “geen enkel” verband houdt met een handelsactiviteit. Verhuren is naar zijn aard een stukje handel, geld verdienen. Dat het particulier is en niet grootzakelijk, is een kwestie van schaal en niet fundamenteel.
Dus ja, als je particulier een vakantiehuisje verhuurt, daarbij WordPress inzet voor de boekingen en dan een datalek krijgt door gebrekkige beveiliging, dan kan de Autoriteit Persoonsgegevens optreden tegen die schending van artikel 32 (beveiligingsplicht). Het is jouw taak die beveiliging goed op orde te hebben, ook als je een derde inzet (zoals een ict-bedrijf) die het voor je regelt.
De vraagsteller heeft het in de vraag over “niet elke dag” controleren of er beveiligingslekken zijn. Dit kan indirect meewegen gezien zijn status bij de vraag of sprake is van nalatigheid, wat weer mede van invloed is op de hoogte van de boete (art. 83 lid 2 onder b AVG).
Overweging 148 voegt daaraan toe dat als het gaat om een “kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen”, de boete daarop bijgesteld moet worden. In de Boetebeleidsregels van de Autoriteit Persoonsgegevens worden geen expliciete uitzonderingen gemaakt voor natuurlijke personen, maar dit kader moet natuurlijk binnen de AVG-regels worden geduid.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Wat je aan data nodig hebt voor zoiets kan prima erg snel naar offline verdwijnen. Daarmee is de impact als het fout gaat al een stuk kleiner (je leest nooit in de krant dat een site gehackt is en er data van 1 klant buit gemaakt is tenslotte...).
Ik denk aan de volgende implementatie:
Voor potentiële huurders gaat het erom dat ze inzicht hebben of de accommodatie beschikbaar is. Je hoeft dus alleen de beschikbaarheid van je vakantiehuisje inzichtelijk te maken.
Als vervolgens iemand boekt, dan laat je een formulier invullen en de gegevens mailen naar jou als verhuurder. Die gegevens hoeven helemaal niet binnen die Wordpress site bewaard te worden, dus na het mailen van het formulier moet de Wordpress site alle gegevens verwijderen.
Als je het heel netjes wil doen, dan zou je de dagen die de klant online reserveert wel direct in je beschikbaarheidskalender willen opnemen. (huisje op die dagen niet meer beschikbaar); maar dat is geen probleem, want dat zijn geen persoonsgegevens.
Ofwel, denk goed na welke persoonsgegevens je waar gaat verwerken en of je die gegevens echt nodig hebt en of de plaats van verwerking ook de meest geschikte is. Ik denk dat je in dit scenario snel tot de conclusie komt dat Wordpress niet de juiste plaats is om persoonsgegevens te verwerken, anders dan het laten invullen en mailen van een e formulier.
Het gaat er niet zozeer om of je een lek hebt, maar meer om wat je hebt gedaan om het te voorkomen.
Check tevens even elke maand of er plugins gebruikt worden welke niet meer onderhouden worden, en kom je ze tegen, vervang ze dan of verwijder ze.
Het beheer van een wordpress site hoeft geen dagdagelijkse IT taak te zijn, zolang je het maar niet verwaarloosd.
Vooral omdat wordpress een gatenkaas met vullingen is (net als mijn gebit!), moet je nooit meer in je database hebben dan je echt nodig hebt. Wat prima kan omdat de betalingsverwerkers me al minimale informatie geven, en zelf de rest van de privacy beschermen. Waar ze ook een hele leuke commissie voor inhouden. Ik ken alleen nicknames en als die betaald hebben dan worden ze geactiveerd. Wie het precies is hoort mij worst te wezen. Ik wil het ook niet weten.
Wat security betreft hoef je ook weer niet veiliger dan de bank te zijn. Maar je hoort wel je risico te minimaliseren, elke dag bij de les te zijn en wakker blijven. Anders moet je het door een derde laten doen die je daarvoor betaalt. Dan kan je die ook aansprakelijk stellen, mits binnen je eigen land. Of voor ons ook, binnen heel Europa. De USA is linke soep. Die denken alleen maar aan zichzelf en zijn bang voor alle denkbare marsmannetjes. Binnen Europa veel verstandiger. Want je hebt niet enkel met aansprakelijkheid te maken. Maar ook met doodgewoonnormaal aanspreekbaar zijn. En als je toch nog wat stoms doet, eerst aan je gebruikers denken en niet aan jezelf.
Dan hebben we nog de AVG. En of het persoonlijk is of bedrijfsmatig. Ik vind die wet geweldig. Maar om gewoon te voelen dat je niet zomaar iemand om zeep helpt heb ik de wetten van Mozes niet nodig gehad. Dat is gewoon iets wat je vanuit jezelf niet doet. Zoals zelfs dieren niks om zeep helpen als het niet nodig is. Zelfs die snappen het ook. Data hebben, persoonlijk of zakelijk, is een verantwoordelijkheid. Heel simpel te leren. Bij elk gegeven denken dat het om je eigen gegeven gaat. Of van je moeder. Anders niet opslaan, want elk dak gaat een keertje lekken. Dat wil je gewoon niet op je geweten hebben.
Met wordpress moet je ervaring hebben. Want dat dak lekte in principe al toen het bedacht werd. Daar hoef je geen securityfanaat gelijk voor te geven want die hebben dat al in de folder. Maar het werkt lekker snel, beter dan toen ik alles nog in C moest schrijven, of verder terug, HTML genereren uit Apple Hypercard of Fourth Dimension databases.
Maar het blijft spelen met vuurwerk. Er kan altijd een lontje te kort zijn en daar vliegt weer een handje door de lucht. Maar nooit vergeten dat je gebruikers mensen zijn. Die vertrouwen in je hebben zonder je te kennen.
Wat de boetes betreft denk ik zelf dat Aleid nooit een hoge oplegt aan iemand die een vakantiehuisje verhuurt. En ook als dat wel mocht zijn, je geen rechter kan vinden die daar in mee gaat. Shit can happen.
Wat ik wel hoop is dat Dilan niet weer stiekum onder mijn nest wil komen massasurveilleren. Ze mag wel, maar bel effe aan de deur dan. Als ze niet snurkt maak ik ook nog een ontbijtje voor haar. En ik koop er nog een krulset voor ook!
Security is wakker blijven. En privacy was al bedacht voordat mozes van de berg kwam met zijn stenen tafelen.
Wat datadiefstal en wordpress betreft, leuk Belgisch gezegde: Het kan iedereen overkomen. Maar de stomsten het eerst.
Al en toe een offline backup en dan restore je je site ook zo weer als deze stukgemaakt is.
Dan nog dataminimalisatie, zodat je zo min mogelijk op de site bewaart, en dan is het voor een klant lastig aantonen dat ze schade hebben ondervonden, en voor de AP lastig dat je niet je best hebt gedaan.
En als je dan nog een excelletje bijhoudt waarin je noteert wanneer je updates gaat doen, met vinkje wat je hebt gedaan, met een docje waarin staat dat je dat doet, en hoe (voor je plaatsvervanger als je zelf op vakantie bent) dan zit je wel gebakken.
Ow, en de dag dat de AP tijd heeft voor jou als kleine vis, is de dag dat ze alle grote problemen al hebben gefixed.
Zoek alleen al hier op security.nl op het woord WordPress.
Het is met recht een gatenkaas met vullingen zoals hierboven al werd beschreven.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?