Is er ook een meldplicht datalekken voor bedrijfsdata?

| AE 11160 | Intellectuele rechten, Ondernemingsvrijheid | 3 reacties

Een lezer vroeg me: Vraag: De laatste jaren is er veel te doen over datalekken. Daarbij gaat het echter steeds over privacygevoelige data, wat ik snap gezien de gevolgen bij consumenten maar hoe zit het met andere bedrijfsdata? De term ‘datalek’ is immers breder, maar ik kan niet vinden hoe het zit met de meldplicht voor bijvoorbeeld diefstal van bedrijfsgeheimen. Hoe zit dit?

De term ‘datalek’ is inderdaad een tikje misleidend, omdat het wettelijk gezien echt alleen gaat over het lekken/misbruiken van persoonsgegevens. Er is geen algemene regeling over het moeten melden van andersoortige security-incidenten of misbruik van gevoelige bedrijfsgegevens.

Specifiek bij de Rijksoverheid en vitale aanbieders geldt wel een aparte meldplicht voor andere security-incidenten. Op 1 oktober 2017 is de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) in werking getreden. Per 1 januari 2018 moeten deze organisaties incidenten melden bij het NCSC, zodat deze de impact en risico’s voor de samenleving kan inschatten. Dit geldt alleen als je als organisatie bent aangewezen als ‘vitale aanbieder’.

Ben je niet ‘vitaal’, dan is de omgang met diefstal of vernieling met bedrijfsdata geheel je eigen keuze. Melden kan niet, er is geen loket dat dit in behandeling neemt. Vaak zal dergelijk handelen strafbaar zijn (denk aan computervredebreuk of afluisteren/aftappen van data) en dan kun je aangifte doen natuurlijk van die feiten. De waarde van die data kan dat strafbaar feit dan meer gewicht geven.

Eind oktober is ook de Wet bescherming bedrijfsgeheimen in werking getreden. Deze biedt organisaties de mogelijkheid om zelf op te treden tegen ongeautoriseerd gebruik van data die waarde heeft omdat deze niet algemeen bekend is. Met die wet in de hand kun je dus optreden tegen bijvoorbeeld een concurrent die een setje offertes weet te bemachtigen door een slechte beveiliging. Dit moet je wel zelf doen bij de civiele rechter.

Opmerkelijk aan die wet vind ik overigens nog dat er expliciet is gezegd dat een bedrijfsgeheim géén IE-recht is. Je kunt een geheim niet verkopen of in licentie geven. Wel heb je ongeveer dezelfde middelen ter beschikking om een inbreukmaker aan te pakken, zoals beslag en een volledige proceskostenvergoeding – maar dat laatste alleen als dat gepast is gezien de waarden van je geheim.

Arnoud

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de Marechaussee dit mocht doen.

In deze zaak ging het om verdenkingen van phishing (juridisch: diefstal in vereniging en oplichting), waarbij de verdachten in voorlopige hechtenis waren genomen. Daarbij werd een iPhone aangetroffen, die de politie wilde ontgrendelen waarvoor de vinger van de verdachte nodig was. Die weigerde dat, waarop de officier besloot dat de verdachte weerspannig was en hem liet boeien, waarna de vinger door een agent op de telefoon werd gezet. Daarna was de telefoon toegankelijk voor onderzoek.

Het juridische probleem hierachter is dat er geen specifieke regels zijn over het doorzoeken van telefoons die als bewijs in beslag zijn genomen. Dat moet eigenlijk wel, omdat dergelijke apparaten tegenwoordig veel persoonlijke informatie bevatten. Om diepgaand te treden in de privacy van een verdachte, is een wettelijke regeling nodig. Denk aan huiszoeking of snuffelen in iemands mailbox.

De Hoge Raad bepaalde in 2017 dat de politie terughoudend moet zijn met telefoondoorzoekingen. Even kijken naar “een gering aantal bepaalde gegevens” bij een concrete aanleiding kan nog net, de gehele telefoon van 0 tot 255 doornemen zou te ver gaan tenzij daar héél zwaarwegende redenen voor zijn. In de praktijk komt dit erop neer dat hoe ernstiger de verdenking, hoe verder men mag kijken.

Leuk en aardig maar als die telefoon niet open gaat, dan houdt al het onderzoek snel op. De laatste jaren is er dan ook veel discussie geweest over hoe de politie een telefoon mag open forceren als ze niet zelf de pincode of andere unlockinformatie kan achterhalen. De vinger op de sensor forceren werd al snel een centraal punt in die discussie. Is dat nu gewoon een vingerafdruk nemen (zoals al sinds jaar en dag gebeurt) of is dit iemand dwingen tegen zichzelf te getuigen?

De lijn die bij dit nemo tenetur-beginsel in mensenrecht-jurisprudentie getrokken wordt, is of de gedwongen actie iets is dat al dan niet onafhankelijk van de wil van de verdachte plaats kan vinden. Hem fotograferen of een vingerafdruk afnemen voor het dossier, is iets dat kan of hij dat nu wil of niet. Zeggen waar het lijk ligt, vereist zijn wil. Je mag in die lijn dan ook wel een verdachte dwingen in de lens te kijken of zijn vinger op een stempelkussen te duwen en daarna op een papiertje, maar niet op een kaart te markeren waar het lijk te vinden is.

Anders dan de situatie waarin verdachte wordt gedwongen de toegangscode van zijn telefoon te geven, hetgeen een verklaring van verdachte vereist, maakt het plaatsen van de duim van verdachte op zijn iPhone naar het oordeel van de rechtbank geen inbreuk op het nemo tenetur-beginsel. Het betreft hier namelijk het dulden van een onderzoeksmaatregel die geen actieve medewerking van verdachte vereist. Daar komt bij dat de vingerafdruk met een zeer geringe mate van dwang is verkregen. Dat met het plaatsen van de duim van verdachte op de iPhone toegang wordt verkregen tot mogelijk wilsafhankelijke en voor hem belastende gegevens, maakt dit naar het oordeel van de rechtbank niet anders.

De rechtbank weegt daarbij mee dat er maar weinig andere mogelijkheden waren, onder meer omdat een telefoon zich na een bepaald aantal pogingen permanent vergrendelt. En de verwachting was zeer groot dat er wat te vinden zou zijn. Dat alles bij elkaar maakt dat het ontgrendelen legitiem wordt geacht.

De uiteindelijk gevonden informatie blijkt vervolgens ook relevant voor de strafzaak. Ik ben dan nog wel benieuwd hoe dit uit zou pakken als blijkt dat de politie verkeerd zat, maar de lijn dat een vinger afdwingen mag, lijkt daarmee wel definitief gezet.

Arnoud

Mag nu.nl ontkennen van klimaatverandering verbieden op haar nujij.nl reactiesite?

| AE 11156 | Uitingsvrijheid | 87 reacties

Het ontkennen van klimaatverandering of de invloed van de mens daarop, is op NUjij niet langer toegestaan. Zo opende Nu.nl vorige week een bericht om haar nieuwe beleid omtrent dit onderwerp toe te lichten. NU.nl heeft een verantwoordelijkheid om bezoekers van betrouwbare informatie te voorzien, zo licht men toe: ook de reacties van haar miljoenen bezoekers vallen daaronder, omdat deze zo groots zichtbaar zijn krijgen ook deze een groot bereik. Nu.nl neemt daarom haar verantwoordelijkheid en verbiedt het verspreiden van deze onwaarheid. Wat me dus vele mails gaf met de vraag of dit censuur is, of Nu.nl dit mag et cetera.

Het flauwe en pedante antwoord is dat dit geen censuur is omdat die juridische jargonterm betekent dat de overheid voorafgaand toezicht op een uiting toepast. Nu.nl is geen overheid en kan dus niets of niemand censureren. Het bedrijf (Sanoma bv) beslist zelf wat er op haar site wordt gepubliceerd, en of ze iets weigeren omdat het klimaatveranderingsontkenning is of omdat het moeilijk leesbaar is, is dan hun eigen keuze. Huisregels mag je zelf verzinnen.

Of toch niet. Want juist bij grote clubs zoals Sanoma/Nu.nl zit je praktisch toch met een probleem: worden daar bepaalde berichte of onderwerpen geweerd, dan verdwijnen ze effectief van de publieke radar. Je kunt natuurlijk wel een eigen site beginnen of op een vaag Amerikaans forum je betoog vervolgen, maar geen hond die dat leest. Je wilt, nee je moet op Nujij zijn om je mening effectief te uiten.

Een discussie die al langer speelt, onder meer toen Volkskrantblog ging sluiten en vele mensen boos waren omdat ze hierdoor hun mening niet meer kwijt konden. Maar je hebt geen recht op meningsuiting bij een ander. In beginsel dan. Heel misschien kan dat anders liggen:

In de Europese Appleby-zaak wilde een groep demonstranten in een winkelcentrum ” ook een semi-openbare ruimte ” haar mening uiten. De (private) eigenaar verbood dit op grond van zijn eigendomsrecht. Het EHRM oordeelde dat dit in beginsel inderdaad toegelaten was. Het eigendomsrecht woog zeer zwaar en kon in beginsel slechts opzij gezet worden wanneer sprake was van “preventing any effectieve exercise of freedom of expression or [if] it can be said that the essence of the right has been destroyed (r.o. 47).”

De Nujij-klimaatveranderingsoorzaaksontkenners zouden dus alleen een punt hebben als je werkelijk nergens anders effectief je mening over dit onderwerp kwijt zou kunnen. Daar valt dus wat voor te zeggen als inderdaad “de reacties op NU.nl miljoenen keren per maand gelezen worden en dus een belangrijk onderdeel van ons informatieaanbod zijn” bij de bekendste nieuwssite van Nederland.

Tegelijk denk ik dat hier ook meespeelt dat dit nauwelijks nog een serieuze discussie te noemen is. De wetenschappelijke consensus is al vrij lang dat klimaatopwarming door de mens veroorzaakt wordt. Dus op dat punt nog willen debatteren over te ja dan te nee, is geen heel sterk rechtens te respecteren belang. Daar krijg je de rechter dan ook een stuk minder snel warm voor dan voor bijvoorbeeld jouw politieke visie over zeg het basisinkomen (stel dat Nu.nl dat zou weren).

Arnoud

Mag je van de GDPR geen cloud-based office dienst meer inzetten?

| AE 11154 | Privacy, Regulering | 29 reacties

It is currently impossible for Sweden’s public sector to purchase web-based office services (word processing, email and text/video chat) that comply with the European General Data Protection Regulation (GDPR). Dat las ik bij de Open Source Observatory. Men ging af op een studie van de Zweedse National Procurement Services die focust op de impact van… Lees verder

Waarom moeten artsen binnenkort hun BIG nummer op Twitter zetten?

| AE 11150 | Regulering | 19 reacties

Huisartsen en andere zorgverleners zijn verbaasd over de manier waarop ze vanaf 1 april hun registratienummer moeten tonen. Dat las ik bij RTL Nieuws. Als voorbeeld noemen ze dat dit nummer onder meer bij hun Twitter-account moeten staan als ze zich daar als arts bekendmaken. Grote ophef en protest, niet alleen bij artsen maar ook… Lees verder

Hoe generiek mag je privacyverklaring zijn onder de AVG?

| AE 11148 | Privacy | 12 reacties

Een lezer vroeg me: Een van mijn ‘leveranciers’ heeft in de Privacy Verklaring staan dat ze bij websitebezoek mijn IP-adres, Internetbrowser, besturingssysteem en apparaattype opslaan. Dat doen ze “Voor het onderzoeken van je (surf)gedrag op onze website, zo kunnen we bijvoorbeeld de website en onze tools nog beter maken.” Bij navraag blijkt dat ze zich… Lees verder

Mag ik met mijn sitebezoekers meelezen voordat ze hun chatbericht sturen?

| AE 11146 | Ondernemingsvrijheid, Privacy | 27 reacties

Een lezer vroeg me: We overwegen een chatdienst voor onze webshop, en kwamen Tidio Chat tegen. Leuk en aardig, maar toen las ik “Use the Live Typing preview to see what your customers are typing before they even hit the ‘send’ button!” Is dat wel legaal onder de GDPR? Mijn eerste gedachte toen ik dat… Lees verder

Mag een bedrijf gesprekken opnemen voor kwaliteitsdoeleinden?

| AE 11144 | Privacy | 15 reacties

Een lezer vroeg me: Ons bedrijf krijgt regelmatig van medewerkers en relaties de klacht dat er een storing op de telefoonlijn zit die stemmen vervormt. Onze telecomprovider wil dit onderzoeken maar moet daarom een aantal gespreksopnames beluisteren. Het personeel is hier echter negatief over, omdat niet vooraf is gemeld dat gesprekken worden opgenomen. Zij zijn… Lees verder

Hoe belangrijk zijn emoji in een vonnis?

| AE 11142 | Regulering | 11 reacties

Amerikaanse rechtbanken kunnen niet omgaan met emoji (emoticons), las ik bij The Verge. Santa Clara University law professor Eric Goldman heeft onderzoek gedaan naar emoji’s in vonnissen, en zag opvallend vaak dat deze gewoon maar werden weggelaten hoewel ze steeds vaker in zaken een rol spelen. Dat heeft een basale reden, de databanken waar vonnissen… Lees verder

Even iets anders: Ik schreef een GDPR-compliant science fiction verhaal

| AE 11139 | Iusmentis | 12 reacties

Ik zou nu een diepe basstem moeten opzetten en beginnen met “In a world… where the GDPR has taken over… one young woman takes up the fight” maar dat voelt iets te theatraal. Daarom houd ik het simpel: willen jullie eens wat anders van me lezen? Meer specifiek, een sciencefictionverhaal waarin inderdaad een jonge vrouw… Lees verder