Recent was ik bij het responsible-disclosure event van hackerclub Revspace. Bij die avond kwam nog een intrigerend puntje langs: het is strafbaar om een brakke beveiliging te kraken, maar het is niet strafbaar om een brakke beveiliging te hébben. Althans, wij konden geen wetsartikel bedenken tijdens de discussie. Heel merkwaardig.
Het is strafbaar om binnen te dringen in een geautomatiseerd werk, zoals een computer of een netwerk. Daarbij hóef je geen beveiliging te doorbreken; het is genoeg dat je weet dat je niet mocht zijn op de plek in dat werk waar je bent. Net zoals je bij erfvredebreuk in overtreding bent zodra je een bordje “Verboden toegang art. 461 WvSr” passeert, ook al sloop je geen slot. Maar toelaten dat er wordt binnengedrongen is niet strafbaar.
Daarnaast is het strafbaar om gegevens te vernielen (=veranderen, wissen, onbruikbaar of ontoegankelijk maken, of gegevens eraan toevoegen). Hiervan is ook wat juristen noemen een culpose variant: “Hij aan wiens schuld te wijten is dat” er gegevens worden vernield, oftewel hij die nalatig was in het voorkomen van vernieling is ook strafbaar. Maar gegevensovername of gegevensdiefstal wordt hier niet genoemd.
Dus stel ik zet mijn klantenbestand online zonder adequate beveiliging en een Chinees kopieert de hele boel na het raden van het wachtwoord. De Chinees schendt 138ab, maar is niet te vervolgen. Maar wat valt mij te verwijten? Er is niets “veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt” en ik heb geen beveiliging doorbroken. Ik was ook niet op onbevoegd terrein.
Ook in andere wetgeving kom ik geen regels over beveiligingsplichten tegen. Ja, artikel 13 Wbp eist “adequate beveiliging” als het gaat om persoonsgegevens. Maar dat is formeel bestuursrecht: het Cbp kan bij overtreding een last onder dwangsom opleggen, maar overigens geen boetes (art. 61 Wbp). Strafbaar is het niet, want artikel 75 Wbp (dat bepaalt wat er persoonsgegevenstechnisch strafbaar is) noemt artikel 13 niet. Heel merkwaardig.
Sinds enige tijd hebben telecomproviders een meldplicht bij datalekken waarbij persoonsgegevens op straat komen (art. 11.3a Tw). Maar ook dat is bestuursrecht, hoewel de OPTA wel boetes kan opleggen bij overtreding. Alleen, denk ik dan pietluttig: er staat “een inbreuk op de beveiliging die nadelige gevolgen heeft voor de bescherming van persoonsgegevens” en wat nou als ik geen beveiliging héb?
Heel merkwaardig dus.
Misschien dat het te maken heeft met de moeilijkheid een adequate definitie te vinden? Of dat er onbedoelde bijeffecten optreden als je bv. zegt “hij aan wiens nalatigheid/schuld het te wijten is dat persoonsgegevens worden verkregen/misbruikt”?
Arnoud
Onlangs hebben we getracht om CBP te kietelen in verband met de Hank rol versis Diagnostiek voor U casus:
http://www.nu.nl/internet/3097396/beveiligingsexperts-eisen-cbp-onderzoek-gehackte-kliniek.html
CBP gaf aan ambsthalve eenonderzoek te hebben gestart. We waren namelijk niet belanghebbend en konden daarom niet zelf het handhavingsverzoek indienen. Het verbaasde me dat de NPCF niet in de bres is gespronegn.
Ik denk niet dat het een definitiekwestie is. Iedereen zal het eens zijn dat als /2012/troonrede is te wijzigen in /2013/troonrede dat geen voldoende beveiliging is. Of een wachtwoord “1234”.
Ik vind zeker dat op het slecht beveiligen van persoonsgegevens een flinke boete moet staan. Maar de politiek kennende, moeten er eerst een paar grote persoonsgegevensverzamelingen op straat komen te liggen voordat de politici zich hier over zullen buigen.
Het is 2013. De tijd dat gegevensbeveiliging nog nieuw was is allang voorbij.
Het lijkt me praktisher om in het civiel recht de aansprakelijkheid voor dit soort situaties te verruimen en bij bijvoorbeeld datalekken de partij die hun data heeft laten stelen te kunnen dwingen om bepaalde maatregelen te nemen om schades te voorkomen of zelf te dwingen de schades te vergoeden. De kosten daarvan kunnen veel hoger zijn dan een strafrechtelijke boete.
Verder zou het onvoldoende beveiligen van data mogelijk ook nog kunnen worden toegevoegd aan de definities van onbehoorlijk bestuur zodat de personen achter een vennotschap persoonlijk zonder ontslagevergoeidng kunnen worden ontslagen en eventueel zelfs aansprakelijk kunnen worden gesteld voor eventuele schades.
Het grote probleem is dat er geen prijs zit aan het lekken van persoonsgegevens. Toon (als burger) maar eens aan dat je schade hebt geleden door een specifiek lek, dat is vrijwel onmogelijk. Met een civiele procedure is er dan niets te halen, dus is het ook niet rendabel om er een op te starten.
Als er nu een forfaitair bedrag per lek gevraagd kon worden (€25 voor simpele NAW gegevens, €100 voor BSN + NAW; vanaf €250 voor medische gegevens.) dan kan de burger zijn rechtszaken uit de opbrengst bekostigen.
Het is niet strafbaar om een brak ICT-systeem te hebben, net zoals het niet strafbaar is een een makkelijk te kraken slot op je voordeur te hebben. De consequentie is wel dat een verzekering in zo’n geval niet geneigd zal zijn om eventuele schade te vergoeden.
Er zijn wel APV’s die boetes zetten op het niet op slot doen van fietsen of auto’s en deze daarna onbeheerd achterlaten.
Daarnaast gaat de vergelijking niet helemaal op, want inbraak heb je toch vooral jezelf mee.
Zolang de IT wereld geen sluitende defnitie kan geven wat een adequate beveiliging inhoud kan een wetgever die niet gebruiken, laat staan zelf bedenken. Anders zouden direct afscheid kunnen worden genomen van enkele nog steeds gebruikte protocollen zoals bijvoorbeeld telnet, ftp, smtp, sntp, http.
Ligt die verantwoordelijkheid niet onder zaken als zorgplicht?
Het is toch eigenlijk een beetje krom dat vanwege het feit dat er zoveel gejat wordt, je de slachtoffers maar strafbaar moet gaan stellen omdat ze betere beveiligingsmaatregelen hadden kunnen treffen?
De volgende stap is natuurlijk het strafbaar stellen van de burger, die het in zijn hoofd heeft gehaald om zijn persoonsgegevens bij een slecht beveiligde partij achter te laten.
Wat is een adequate beveiliging? Zo lang de overheid dat niet voorschrijft wordt het lastig om er precies aan te voldoen, want iedere beveiliging kan doorbroken worden. Bovendien moet alles nog wel werkbaar blijven voor bedrijven, zeker voor kleine jongens die niet voldoende capaciteit of kennis in huis hebben om constant up to date te zijn met hun beveiliging.
Als mensen wat voorzichtiger zouden zijn met welke gegevens ze aan wie geven dan valt er toch al een hele hoop schade te voorkomen?
Bart: het is een gegeven dat er boeven rondlopen. Het gaat er hier niet om wat iemand met zijn eigen spullen doet, maar met die van anderen. Als ik gegevens aan een bedrijf of de overheid geef, moet ik er op kunnen vertrouwen dat die veilig zijn.
Verder kom ik net dit artikel tegen: Uitschakelen firewall kost universiteit 300.000 euro. In de VS kan het blijkbaar wel.
Ik hoop dat hier bedoeld wordt: wist.
Soms ontdek je achteraf pas dat je je op verboden terrein bevond . Dat was dan verboden, maar er straf voor krijgen lijkt me dan onredelijk.
Ik vraag mij af hoe je als website-eigenaar kunt bepalen dat je een brakke beveiliging hebt. Velen denken namelijk dat de door hun gekozen oplossing al meer dan voldoende is. Er zijn dan ook twee soorten beveiliging: 1) concrete beveiliging, die in het algemeen de boel dusdanig goed beveiligt dat 99.99% van alle hack-pogingen faalt. 2) perceptuele beveiliging, waarbij de gebruiker het idee heeft dat de omgeving veilig is terwijl b.v. alle wachtwoorden in plaintext op de server worden opgeslagen. De eerste vorm is kostbaak en kost veel tijd om te ontwikkelen en te onderhouden. Het hoeft er niet eens extra veilig uit te zien, maar is het wel. Je kunt hierbij denken aan een client-certificaat die je bij de gebruiker installeert en daarna kan die gebruiker zonder in te loggen de site bezoeken, omdat het certificaat hem toegang geeft. Maar de gebruiker merkt niets van beveiliging… De tweede vraagt de gebruiker om gebruikersnaam, wachtwoord en stuurt daarna nog een code via SMS en lijkt enorm veilig, maar als al deze gegevens via een slecht beveiligde administrator-site beheerd wordt dan is het dreilen met de kraan open, maar de bezoeker denkt erg veilig te zijn. Ofwel, hoe weet je of je beveiliging afdoende is? Want niet iedereen is een specialist op beveiliging. En niet iedereen heeft de financiele middelen om dure experts hiervoor in te huren om deugdelijk advies te geven.
Je zou je eigen website kunnen opgeven bij Webwereld voor lektober 2013. Nadeel is wel dat het beveiligingsrapport openbaar is. 🙂
Tja, grappig genoeg zijn mijn meerdere van eigen sites niet door mij gemaakt en worden ze gehost ergens in de USA. Zo gebruik ik Brand yourself en WordPress die beiden een redelijke beveiliging hebben. En zo zijn er meer hosts die producten aanbieden die je onder je eigen domeinnaam kunt hangen. Is natuurlijk wel lastig, want wat indien die host een brakke beveiliging heeft en ik daar niet vanaf weet? Het hangt onder mijn domeinnaam dus mijn website is lek. Maar ik heb geen inzage in hoe ze de beveiliging hebben geregeld en ik heb de perceptie dat het wel in orde is. Dat maakt het een serieus probleem.
Voor grotere sites (zeg vanaf 250.000 euro?) zou ik zeggen dat een Security Audit wel het minste is wat je kan laten uitvoeren. Deze zijn vaak niet volledig, maar de grootste gaten worden hiermee wel aangewezen.
Voor kleinere sites waar standaardoplossingen gebruikt worden mag je tenminste verwachten dat je van tijd tot tijd upgradet. Allicht is het ook niet heel vreemd te verwachten dat iemand zich inspant van security updates/vulnerabilities op de hoogte gehouden te worden (bijv. door op een rss feed te abonneren).
Verder zijn er natuurlijk altijd situaties waarbij een klant je ergens op wijst. Zo had ik een week geleden onderstaande conversatie met een partij waar ik nog een aantal domeinnamen gehost heb:
Wat mij hierin wel opvalt is dat deze mijn wachtwoord bevat. Graag verneem ik hoe dit bij bekend is. Ik was in de veronderstelling dat dit dusdanig versleuteld zou zijn dat u, of een eventuelee hacker, hier geen toegang zou hebben door middel van bijvoorbeeld hashing. Daarnaast verneem ik graag waarom dit via een onbeveiligd kanaal, e-mail, verstuurd wordt.
In afwachting op uw reactie,
Ik kreeg in dit geval bij een bevestiging van een opheffing netjes mijn wachtwoord plaintext in m’n mailbox. Hier kreeg ik het volgende antwoord op terug:
We zorgen er uiteraard voor dat de database waarin deze gegevens staan in een streng beveiligde omgeving staat en slechts door een select aantal processen benaderd kan worden.
Tevens zullen wij uw feedback meenemen in onze volgende interne meeting hierover.
Met vriendelijke groet,
De vraag is vervolgens inderdaad wat ik hier tegen kan doen. Ik gebruikte dit specifieke wachtwoord op nog enkele sites, dat heb ik aangepast. Anders dan dat men mij een bepaald risico laat lopen, is er geen schade. Dus kan ik hen ook niet aansprakelijk stellen hiervoor, totdat er daadwerkelijk iets mis gaat. Wel hebben veel bedrijven tegenwoordig een privacystatement. Dat zorgt er toch voor dat er iets van een overeenkomst onstaat tussen jou en (de makers van) de website die je gebruikt. Maar ook dan heb je het probleem dat er geen schade is, dus geen claim?
In dit geval staat in het privacy statement:
In dit geval is mijn plaintext wachtwoord via mailservers van derden verstuurd. Maar ja, wat dan?
Enige wat ik kan doen is ’to vote with your wallet’. Die paar domeinen die ik nog bij deze partij had staan ben ik aan het verhuizen. Maar helaas ben ik dan een heel klein visje in een heel grote vijver…
Edit: Ik was in de veronderstelling dat voor een onrechtmatige daad er per se schade nodig was. Maar ik begrijp dat gevaarzetting an sich ook onder een onrechtmatige daad valt? Dan is dat toch ‘makkelijk’? Scharen we het daar onder…
Maar het maakt het voor mij onmogelijk om zelf de upgrades uit te voeren. Dat moet men bij WordPress zelf doen, wat mij sterk afhankelijk maakt van hun expertise.
Verder, MijnVIP? 🙂 Volgens mij zitten wij bij dezelfde provider en ik ben er best tevreden om. Maar goed, ik heb bij hen ook geen enkele website laten hosten maar heb er alleen mijn domeinnamen geregistreerd. Hosten doe ik op een eigen webserver voor de kleine projectjes en daarnaast maak ik gebruik van diensten zoals die van WordPress, Tumblr en Brand yourself om de wat grotere zaken onder te brengen. Ik heb daarnaast een Google Apps account voor het beheer van mijn email en een Microsoft Azure account voor als ik een project echt serieus gehost wil hebben. Sowieso zou ik het echte hosten van websites eerder overlaten aan de grote, ervaren jongens zoals RackSpace. Maar voor het registreren van domeinnamen of bijhouden van DNS parameters is een provider zoals vip.nl een prima kandidaat.
Je kunt verder even nadenken of het echt een risico is dat wachtwoorden in plaintext worden opgeslagen. Want het is altijd weer de vraag of hackers ook daadwerkelijk de behoefte hebben om een bepaalde website te hacken. Een website zoals nu.nl is interessant wegens het enorme aantal bezoekers. Als je via die website malware kunt verspreiden levert dat een mooi, economisch gewin op. Maar is iusmentis.com even interessant? Mogelijk dat je een paar honderd bezoekers ermee treft maar de kans is dat het snel wordt opgemerkt en Arnoud dan ook snel de site kan platleggen om de boel weer te repareren. Je kunt Arnoud ermee plagen maar je wint er weinig mee. Ik heb in het verleden wel eens meegemaakt dat een kleine website van mij opeens malware bevatte. Oorzaak? Ik maakte gebruik van een “shared host” en op de betreffende server draaide naast mijn site nog ongeveer 150 andere websites. En de drie bezoekers op mijn site waren niet echt interessant maar tesamen leverde die server de hackers wel een groter bereik op. En helaas, nadat ik mijn site er even door dummy index.html bestand had vervangen bleek ook die besmet te worden. De hackers hadden namelijk een ingang via een andere route, waardoor de volledige server onbetrouwbaar was. Was voor mij meteen een reden om mijn contract bij die (buitenlandse) host te stoppen en in het vervolg maar mijn eigen server te gebruiken. (En om iedereen af te raden om van shared hosting gebruik te maken!) Daardoor is mijn server een veel kleiner doelwit en is het eigenlijk niet de moeite waard. Ik zou dan ook geen supersterke beveiliging nodig hebben voor de 7 bezoekers die ik maandelijks krijg. Maar goed, ik ben goed bewust dat beveiliging een noodzaak is en ben er ook redelijk ervaren mee. Maar de waarde van de beveiliging is altijd relatief aan de waarde van een website zelf.
Zou het willens en wetens achterwege laten van goede beveiligingsmaatregelen terwijl je weet dat die wel mogelijk c.q. beschikbaar zijn geen onrechtmatige daad zijn? Dat is wel net een tikkie anders dan “strafbaar” in de zin van de strafwet, maar het lijkt me dat dergelijk gedrag toch ook niet helemaal juridisch zonder consequenties zal zijn.
Blijft de vraag wat een goede beveiliging nou precies is. Als mijn website een nieuwsbrief over korenbloemen aanbiedt voor mensen die zich daar inschrijven, en men bij inschrijving een email adres en wachtwoord moet opgeven om hun account bij te kunnen houden dan is het maar de vraag of die site echt een zware beveiliging nodig heeft. Two-pass verificatie met een vereiste dat wachtwoorden uit 12 tekens bestaan, met ten minste twee cijfers en een speciaal teken? SSL verbinding plus een client-side certificaat erbij? Of is het al meer dan voldoende dat ik email+wachtwoord in een CSV-bestandje met UU-encoding opsla?
Wat gaat er verloren als die lijst in verkeerde handen valt? Nou ja, de 42 bezoekers die in korenbloemen geinteresseerd zijn zullen dan meer spam ontvangen en kunnen allemaal opeens worden uitgeschreven van mijn nieuwsbrief. Maar echt interessant is het niet. Ja, als lezers van deze nieuwsbrief hun wachtwoord ook hergebruiken voor andere sites hebben ze wel een probleem, maar dat is hun eigen probleem! Je moet nu eenmaal niet 1 wachtwoord voor alle sites die je bezoekt gebruiken! Dan ben je, als bezoeker, namelijk zelf dom bezig…
Laten we meteen een enquete houden. Wie van de lezers hier gebruikt 1 wachtwoord voor minimaal 3 verschillende sites? Zal het meteen toegeven: ikke. 🙂 Maar ik gebruik per site weer een ander email adres zodat de combinatie adres+wachtwoord toch steeds weer verschilt. 😉
och wat zou het mooi zijn als cyberspace, net als de echt wereld rond was LOL.
als Arnoud zijn auto (beeldspraak; persoongevens) bij schiphol parkt bij een of andere vage of veel geprezen dienst die echt beloofd om op zijn auto te passen, maar in de kleine letters vermeldt dat die auto op elke plek geparkeerd mag worden, arnound bij terugkomst op zijn kilometerteller (beeldspraak; bewijs ip adres van de inbrekers) +5000km ziet en nog meer gebruikssporen, hoewel alles verder compleet is… wie is dan strafbaar ?.
Verschil is dat de wet rond persoonsgegevens uitdrukkelijk toestemming eist, terwijl het gewone recht met ‘gewone’ toestemming kan werken die veel eenvoudiger te krijgen is. Je mag toestemming voor persoonsgegevens niet in een privacyverklaring of in algemene voorwaarden bedingen, bijvoorbeeld. Een “wij mogen uw auto elders parkeren als ons dat zo uitkomt” beding bij een autobewaarnemingsovereenkomst mag wel; een “wij mogen uw gegevens aan wie dan ook verkopen” beding in een internetdienstovereenkomst mag niet.
Op zich vind ik dingen als boetes voor brakke systemen wel leuk klinken, maar wat is brak? In het geval van de troonrede die uitlekte was het overduidelijk dat het systeem brak was. Er was niet eens een serieuze poging gedaan om het te beveiligen. Maar als IT’er mag je er altijd wel vanuit gaan dat wat je ook bouwt, als het meer dan 3 regeen dat een bedrijf te kort schiet, en wanneer kijk je erover heen? Wanneer is de poging tot beveiligen te weinig geweest en wanneer is het genoeg? En wanneer is brak erg? Mijn Raspberry Pi is ook niet geweldig beveiligd maar als die gekraakt wordt ben ik de enige die er mee zit. Ik word liever niet aangeklaagd omdat ik te lui was mijn “Mijn Documenten”-map goed te beveiligen waarna deze uitlekt. Veel belangrijks zal er niet in zitten. Vooral een paar opdrachtjes voor de UT en JoCo muziek. Wanneer is het wel belangrijk genoeg?
Als ik één gok moest doen zou ik zeggen dat een praktische versie van het idee in meerdere dimensies gewoon erg lastig is, en dat dit de voornaamste reden is waarom die wet er nog niet is.
@Wim Ten Brink Als je op die sites geen persoonsgegevens bijhoudt, dan is er ook geen probleem als dit slecht beveiligen strafbaar wordt. Mensen zouden sowieso als ze persoonsgegevens verwerken direct over de beveiliging hiervan moeten nadenken en zich realiseren dat dit hun verantwoordelijkheid is om te zorgen dat deze gegevens niet in handen van derden komt.
Mocht je persoonsgegevens willen verwerken op een externe blogsite, dan zul je er zelf zorg voor moeten dragen dat de beveiliging wordt getoetst en overeenkomen dat zij updates op tijd doorvoeren.
@Wilco Baan Hofman, Een website kan al heel snel persoonsgegevens bijhouden. Je hebt sowieso altijd al een IP adres van de bezoeker en hoewel dit niet altijd naar 1 persoon te herleiden is, zijn er genoeg situaties waar het wel net voldoende is. Maar waar privacy ook om draait is dat mensen niet geassocieerd willen worden met bepaalde onderwerpen. Een website over korenbloemen is niet boeiend en als bekend wordt dat jij er dagelijks een post schrijft over de blauwe korenbloemen in je vensterbank denk ik niet dat iemand daar echt interesse in heeft. Of een foto-site waar ik foto’s plaats van mijn twee Chihuahua’s? Ook geen interessante gegevens. Okay, stoere ven van 1.94 meter lang heeft een hond van 3 kilo die niet boven zijn enkel uit komt… Boeiend… Maar als het een porno-blog is, of een website van de Hells Angels of het forum van “Blood and Honour” dan wordt privacy opeens een stuk belangrijker. Dan kan er reputatie-schade ontstaan en is privacy opeens waardevol. En de beveiliging van dergelijke sites moet dan ook steviger zijn dan die van die bloemensite of hondensite.
Trouwens uit pure interesse: Staat er eigenlijk iets in het gedragsregels van advocaten als het aankomt op de beveiliging van (fysieke) dossiers tegen diefstal?
@Marc – gevalletje huis van de schilder. Niet bindend setje ‘aanbevelingen’ die het niveau van de kleuterschool nauwelijks overstijgen.
https://www.advocatenorde.nl/advocaten/juridische-databank/wetenregelgeving/details/354
Ik zie niet waarom een brakke beveiliging een strafbaar feit op zou leveren. Onafhankelijk van hoe goed de beveiliging is, als ik duidelijk maar dat binnenkomen niet gewenst is, en daarmee dus binnendringen wordt, is dat een strafbaar feit. Wat ik mij kan voor stellen is dat bij een eventuele rechtszaak, de brakke beveiliging een rol speelt, zowel in de strafmaat, als in de mogelijke toewijzing van eventuele schadevergoeding. En daarmee lijkt de sterkte van beveiliging, eerder in het civiele vlak een rol te spelen, dan in het strafrechtelijke vlak. Een analogie is mijn huis. Als ik de deur niet op slot doe, en worden goederen ontvreemd, blijft degeen die de goederen ontvreemd heeft strafbaar. De verzekering zal waarschijnlijk niet uitkeren, want de deur was niet op slot. Doe ik de deur wel op slot, en komt iemand binnen door een ruit in te tikken, dan keert de verzekering wel uit. De brakke beveiliging van mijn huis is niet ter zake doend, de verzekering zal hoogstwaarschijnlijk niet eisen dat ik al mijn ramen uitvoer in kogelvast glas, en bovendien luiken en een alarm installeer. (Ja ik weet dat in geval van buitensporige waarde van de goederen zal de verzekering zwaardere eisen stellen). En strafbaar is mijn handelen dan niet, ik doe de deur op slot, sluit de ramen, daarmee in de veronderstelling verkerende dat ik de boel goed heb beveiligd. Ik moet de officier nog tegenkomen die mij daar voor gaat vervolgen. Al zou het wel interessant zijn.
We betogen hier of het strafbaar zou moeten zijn. Dat het nu niet strafbaar is, is wel duidelijk (tenzij je een last onder dwangsom van het Cbp ‘straf’ noemt.)
Een brakke beveiliging dient strafbaar te zijn omdat je door dergelijk grof nalatig handelen ánderen schade berokkent. De analogie met je eigen huis gaat niet op; de analogie zou zijn dat de eigenaar van een garderobe verplicht is de in bewaring gegeven jassen te bewaken. En ook dat werkt niet helemaal: het gaat niet over een stapel jassen die triviaal tegen 90% van de diefstallen te beveiligen is (slot, twee mensen, bonnetje met nummer) maar om een gigántische stapel persoonsgegevens die over het algemeen triviaal toegankelijk is voor iedereen die verder komt dan bladzijde 93 van PHP voor Dummies.
Misschien deze dan: als een ziekenhuis haar patiëntendossiers gewoon op de stoep legt, dan vind ik ook dat dat strafbaar moet zijn. Verwijzen naar de verzekering is niet genoeg; dit mag gewoon niet gebeuren en er dient dus een stevige punitieve sanctie op te staan. En niet alleen bij medische gegevens.
Even een analogie: voor mijn werk moet ik naar een klant en deze heeft een prive-parkeerplaats met toegangspoort. Ik parkeer er dus netjes, ben de klant ten dienst en keer weer terug naar mijn auto en zie dat mijn raam is ingeslagen en iemand mijn bumper eraf heeft gereden. Uit mijn auto is mijn stuur gejat en zijn de stoelen kapot gesneden.
Ik kijk nog even naar de parkeerplaats maar merk dan op dat naast de poort gewoon geen hek staat maar een grasveldje zodat iedereen erop kan door over het gras te rijden. En ja, autodieven komen er dan ook eenvoudig op. Dus ook een enorm wrakke beveiliging…
Nu de vraag: kan ik de klant strafbaar laten stellen omdat hun parkeergarage zo’n wrakke bescherming heeft? Dat iedereen er eigenlijk zo op kan komen? Want als je dat wilt met het Internet moet die regel eigenlijk overal gelden waar je als bezoeker denkt dat de beveiliging in orde is…