Tag: datalek

About datalek

Subscribe Feeds

Natuurlijk komen er boetes op datalekken aan

Geplaatst op in Privacy, 5 reacties

Een lezer vroeg me:

Sinds 1 januari vorig jaar hebben we een Wet meldplicht datalekken, maar we zijn nu dus een jaar verder en ik heb nog geen boete gezien. Gaat het met deze wet net als met de cookiewet, veel gebrul maar weinig wol?

Dat verwacht ik niet, hoewel ik toegeef dat het allemaal wel wat sneller had gekund. Het lastige aan dit soort boetes is dat er altijd een heel onderzoekstraject aan vooraf gaat, en gezien de aard van de zaak kost dat altijd flink wat tijd.

We hébben eigenlijk al een datalekboete, zij het formeel onder een andere wet. Op 16 januari 2012 had een hacker ingebroken in een onderdeel van het netwerk van KPN. Daarbij kon toegang worden verkregen tot gegevens van abonnees zoals adres, woonplaats, telefoonnummer en bankrekeningnummer. Onderzoek liet zien dat de hackers (17 jaar oud) gebruik maakten van een bekend beveiligingslek. De software van de getroffen KPN-servers bleek niet tijdig van updates te zijn voorzien, een veel voorkomende fout van ICT-dienstverleners.

Na onderzoek besluit de ACM als telecomtoezichthouder in december 2013 een boete op te leggen aan KPN wegens schending van haar beveiligingsverplichtingen. Uit het onderzoeksrapport blijkt dat het geen geavanceerde hack betrof en dat de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren. Met andere woorden: een relatief eenvoudige zaak. Maar toch was er bijna twee jaar nodig om het onderzoek af te ronden. En daarna volgde nog een hele serie rechtszaken, met de laatste definitieve uitspraak pas in december 2016.

Het is ergens frustrerend dat het zo lang moet duren, maar ik vrees dat dat niet snel zal veranderen bij deze wet. De reden is volgens mij voornamelijk toch de technische complexiteit van de zaak, plus de wens het besluit zo zorgvuldig mogelijk te nemen zodat het bedrijf niet makkelijk in beroep bij de rechter kan gaan.

Ik zou eerlijk gezegd ook niet weten hoe dat anders zou kunnen. Onder de Privacyverordening wordt het misschien makkelijker: die bepaalt dat de verantwoordelijke de bewijslast draagt dat alles netjes wettelijk geregeld is (artikel 5 lid 2, lees maar na). Daarmee is een omgekeerde bewijslast dus te verdedigen. Oftewel, je had een lek, bewijs maar dat je er niets aan kon doen. Maar ook daar word je niet helemaal gelukkig van denk ik.

Arnoud

Help, mijn persoonsgegevens zijn gelekt, wat nu?

Geplaatst op in Privacy, 17 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataEen lezer vroeg me:

Je hebt regelmatig aandacht besteed aan datalekken, maar vanuit het perspectief van een slachtoffer wilde ik toch wat vragen. Afgelopen zaterdag informeerde mijn werkgever me dat mijn adres en BSN op straat ligt door een fout van een ingehuurd bedrijf. Maar meer dan “de kans op fraude is laag” en dat ik goed op mijn rekening moet letten zie ik niet. Kan ik hier juridisch wat mee?

Helaas komen datalekken erg vaak – te vaak – voor. Gelukkig niet altijd van deze omvang. Je zou hopen dat die nieuwe wet hier snel verandering in brengt.

Een bedrijf is verplicht datalekken te melden bij de toezichthouder, en bij vermoedelijke negatieve gevolgen ook bij betrokkenen zelf. Die brief is dus op zich terecht verstuurd. De brief moet ook vermelden wat “de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken” zijn (art. 34a lid 3 Wbp).

De tekst van die brief doet wat plichtmatig aan. Dat kan ik zelf ook wel bedenken, dat ik goed moet gaan uitkijken. Maar ja, heel veel meer dan “let op je creditcard” en “log regelmatig overal even in om te zien of niemand met je bsn identiteitsfraude heeft gepleegd” kan ik ook niet bedenken. Want er ís niet veel meer dat je kunt doen als consument.

Ja, heb je concreet nadeel van dit datalek dan is dat te verhalen. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden. Dit even los van boetes die de toezichthouder oplegt. Alleen, wat is je schade bij een privacyschending? Welk getal zet je op de tijd en het gedoe met je energiemaatschappij of zorgverzekeraar omdat een grapjas bijvoorbeeld je contract heeft opgezegd?

Ik zou graag positiever zijn maar helaas is het best wel slecht geregeld voor mensen die getroffen worden door een datalek.

Arnoud

Hoe kun je voldoen aan een beveiligingsplicht én een achterdeurplicht?

Geplaatst op in Security, 52 reacties

brakke-beveiligingEen lezer vroeg me:

Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen?

Van tijd tot tijd krijgen overheden het inderdaad in hun hoofd dat het een goed idee zou zijn om sterke en dus niet-aftapbare encryptie te verbieden of aan banden te leggen. Het niet kunnen meelezen met digitale communicatie is voor inlichtingen- en opsporingsdiensten nogal vervelend.

Dat zo’n wet een sterke negatieve invloed heeft op de beveiliging, staat buiten kijf. De technische feature van een achterdeur is neutraal: iedereen met de juiste toegang kan deze gebruiken, of hij daar nu toe gerechtigd is of niet.

Tegen ongeautoriseerde toegang hebben we sinds 1 januari een Wet meldplicht datalekken. Deze is breder dan enkel melden: ook op het niet goed op orde hebben van je beveiliging staan nu boetes. Moedwillig een achterdeur inbouwen kan daarmee in strijd zijn. Je verzwakt dan de beveiliging en maakt misbruik mogelijk.

Echter, hier zou het dan gaan om een wettelijk voorgeschreven achterdeur. Enkel het hebben van die achterdeur zal dan geen strijd met deze beveiligingseis opleveren. Wetten kunnen niet met elkaar in strijd zijn, is de gedachte daarachter: als er toch strijd lijkt te zijn, moet je gaan puzzelen hoe je de wetten met elkaar in overeenstemming kunt lezen.

Ik zie daar wel ruimte voor: die achterdeur moet er dan komen en dat is dan niet strijdig met je beveiligingsplicht of datalekmeldplicht. Gebruik daarvan door bevoegde opsporingsambtenaren is dan geen datalek, dat is dan immers wettelijk toegestaan en dus geen misbruik of ongeautoriseerd gebruik.

Natuurlijk moet je dan ook die achterdeur goed beveiligen (organisatorisch en technisch) tegen wél ongeautoriseerd gebruik. Dat is lastig en duur, maar dat is dan een onvermijdelijk uitvloeisel van een wettelijke plicht.

Is een datalek pas een datalek als je zeker weet dat er data is gelekt?

Geplaatst op in Security, 3 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Onze webwinkel is gehackt. We kunnen uit de logs achterhalen dat men via een zwakheid in het CMS is binnengedrongen en diverse bestanden heeft opgevraagd. Eén van die bestanden bevat het pad naar een backup-bestand met daarin onder meer klantgegevens. Helaas hebben wij geen logging op bestandstoegang, dus wij weten nu niet of werkelijk die backup is gedownload door de inbreker. Is dit een datalek en moeten wij dit melden?

De wet (art. 34a Wbp) spreekt van een datalek als sprake is van een “inbreuk op de beveiliging” van persoonsgegevens. Dit moet worden gemeld als er een “aanzienlijke kans op ernstige nadelige gevolgen” is voor de betrokkenen. Een hack waarbij men er vandoor gaat met een backup van klantgegevens zou ik wel als een inbreuk op de beveiliging kwalificeren. Of je die moet melden, hang af van het soort klantgegevens. Bij enkel het bestand van de nieuwsbrief denk ik dat niet, bij NAW + creditcardgegevens zeker wel.

De vraag is dus nu, ís er zo’n hack geweest? Vast staat het niet, maar uitsluiten kun je het ook niet. En dan moet je kiezen als wetgever – of als toezichthouder. Voor de zekerheid als datalek markeren, of pas iets een datalek noemen als het bewijs er ligt?

De toezichthouder (Autoriteit Persoonsgegevens) heeft beleidsregels gepubliceerd over hoe om te gaan met datalekken. Het criterium dat men hier hanteert, is of je “redelijkerwijs kunt uitsluiten” dat er toegang is geweest tot persoonsgegevens. Alleen dan hoef je het incident niet als datalek te behandelen. Men kiest dus voor de zekerheid, liever een lek te veel dan een te weinig gemeld.

Hier valt zeker niet uit te sluiten dat het backupbestand is opgevraagd. Zulke bestanden zijn immers aantrekkelijk voor criminelen, omdat er van alles bij elkaar staat. Leuke buit dus. En daarom moet dit incident als een datalek worden behandeld.

Arnoud

Mag je systemen testen met productiedata met persoonsgegevens?

Geplaatst op in Intellectuele rechten, Privacy, 8 reacties

test-checkbox-lijst-vinkjeEen lezer vroeg me:

Bij mijn laatste klant kreeg ik te horen dat ik bij de update van hun software wel mag testen, maar alleen met nepgegevens. Het argument was dat hun klanten geen toestemming hadden gegeven voor gebruik van hun data voor testdoeleinden. Deed ik dat toch, dan zouden ze de boetes wegens datalekken op mij verhalen. Klopt dat?

Dat verhaal over toestemming en boetes wijst erop dat de klant denkt aan een overtreding van de Wet bescherming persoonsgegevens (Wbp). Natuurlijk staat daar nergens letterlijk in dat het verboden is om te testen met productiegegevens. Die wet zegt alleen dat je de gegevens mag gebruiken voor het doel waarvoor je ze hebt verkregen, en voor doelen die in duidelijk direct verband daarmee staan (art. 8 en 9 Wbp).

Het testen van de omgeving waarbinnen je persoonsgegevens wilt gaan gebruiken, lijkt mij zonder meer voldoende verband te hebben met het daadwerkelijk (productie) gebruik van die omgeving. Als er dus toestemming is voor het productiegebruik, dan ook voor validatie en acceptatie van de software die dat gaat doen.

Tegelijkertijd kun je je afvragen of het echt wel nódig is om te testen met productiegegevens. Als je gaat testen, werk je haast per definitie met een systeem waarvan je nog niet weet of alles goed zit. Je neemt dan dus het risico dat er ergens een lek zit, of dat er verkeerde dingen gebeuren met die gegevens. (Ik krijg elke maand volgens mij wel een abusievelijke testmailing van de een of andere, om eens wat te noemen.) Vanuit dat perspectief zou je het eigenlijk niet moeten doen.

Ik zou dus zeggen dat je waar je kunt nepdata moet gebruiken. Alleen bij die tests waar de echte data gebruikt móet worden, is dat toegestaan onder de Wbp. Ik denk dan aan zaken als “is de productiedata correct geïmporteerd” of “klopt de rapportage nu wel met wat we verwachten”. In die situaties is geen aparte toestemming van de klanten nodig.

Arnoud

Is verlies van data ook een datalek?

Geplaatst op in Privacy, 8 reacties

usb-stick-gegevens-geheugenEen lezer vroeg me:

Dat je verlies van persoonsgegevens moet melden onder de meldplicht datalekken begrijp ik. Maar waarom ben ik het ook verplicht te melden als er gegevens verloren gaan? Er kan toch per definitie geen identiteitsdiefstal of fraude plaatsvinden als gegevens wég zijn?

Voor veel mensen is het niet echt intuïtief dat verloren gaan (wissen) van gegevens telt als een datalek. Maar het is echt zo. Het is alleen even een puzzel in de Wet bescherming persoonsgegevens (Wbp).

De wet (art. 34a Wbp) bepaalt dat melding moet worden gedaan bij iedere “inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” En artikel 13 zegt dan weer dat het doel van de beveiliging moet zijn de gegevens te beschermen “tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

Met ‘verlies’ wordt bedoeld het kwijtraken in de zin dat een ander ze te pakken kan krijgen. Een USB-stick met onbeveiligde persoonsgegevens in de trein verliezen dus. Maar “enige vorm van onrechtmatige verwerking” betekent in feite “iedere verwerking die geen grondslag heeft”. En verwerking is dan weer “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval … uitwissen of vernietigen van gegevens”. Vernietigen of wissen is dus ‘verwerken’.

Wie data laat wissen of vernietigen zonder toestemming of andere wettelijke grondslag, verwerkt ze onrechtmatig en schendt daarmee zijn beveiligingsplicht uit artikel 13. Daarmee kom je in het vizier van de datalekmeldplicht en moet je bepalen of dat wissen “ernstige nadelige gevolgen” heeft of kan hebben. Zo ja, dan moet het worden gemeld.

Wissen kan nadelig zijn, omdat de betrokken persoon daardoor vaak niet meer kan bewijzen waar hij aan toe is. Als alle betaalgegevens zijn gewist, zijn alle klanten ineens wanbetaler. Als de notitie is gewist dat ik recht heb op korting de volgende keer, krijg ik mijn korting niet. Sta ik op de lijst van geautoriseerde bezoekers die nu gedelete is, dan kan ik niet naar binnen. En er zijn zo nog meer voorbeelden. Als die ernstig genoeg zijn, dan moet het wissen worden gemeld.

In de beleidsregels meldplicht datalekken wordt daarover nog opgemerkt dat wanneer je een backup hebt, er geen sprake is van ernstige nadelige gevolgen. Je kunt het wissen dan immers meteen ongedaan maken.

Arnoud

VTech wil dat gebruikers erkennen dat gegevens bij zijn dienst onveilig zijn

Geplaatst op in Ondernemingsvrijheid, 24 reacties

verbodIn de categorie ergernissen waar je ’s ochtends van gaat bloggen: VTech, de maker van elektronisch speelgoed, heeft in zijn algemene voorwaarden opgenomen dat gebruikers erkennen dat informatie die ze via de Learning Lodge-portaal sturen onderschept kan worden. Dat las ik bij Tweakers gisteren. Om scheve jeuk van te krijgen. Ja, het is een standaardzin die ongetwijfeld bij meer bedrijven voorkomt en nee het heeft nul waarde. Maar waarom laten we bedrijven er steeds mee wegkomen?

VTech maakt onder meer elektronisch speelgoed en kwam negatief in het nieuws toen gegevens van meer dan 11 miljoen mensen, waaronder 6,4 miljoen kinderen, lekten door brakke beveiliging van het bedrijf. En wat doe je dan als bedrijf? “These Terms and Conditions have been updated as of December 24, 2015” op je site zeggen met dus

YOU ACKNOWLEDGE AND AGREE THAT ANY INFORMATION YOU SEND OR RECEIVE DURING YOUR USE OF THE SITE MAY NOT BE SECURE AND MAY BE INTERCEPTED OR LATER ACQUIRED BY UNAUTHORIZED PARTIES. YOU ACKNOWLEDGE AND AGREE THAT YOUR USE OF THE SITE AND ANY SOFTWARE OR FIRMWARE DOWNLOADED THEREFROM IS AT YOUR OWN RISK.

Ja, in hoofdletters ook nog. Nee, dat hoeft niet (het is geen exoneratie immers). En leuk en aardig om dat zo te moeten acknowledgen, maar dat heeft dus geen waarde. Privacybescherming verandert geen millimeter door welke disclaimer of andere zin in algemene voorwaarden. Zeker waar het gaat om beveiliging niet: het is gewoon niet toegestaan je beveiligingsplicht tot nul te reduceren. Zelfs niet als de consument expliciet zegt, doe het maar een kilootje minder met je security.

Maar waar ik dan dus écht jeuk van krijg, is de obligate vervolgzin:

Some jurisdictions do not allow the exclusion of certain warranties or the limitation or exclusion of liability for incidental or consequential damages. Accordingly, some of the above limitations may not apply to you.

Het zou écht verboden moeten worden om naar consumenten toe iets van deze strekking te mogen zeggen. Wat er staat: wij zijn niet aansprakelijk, tenzij de wet zegt van wel. Maar iedereen weet dat consumenten weinig begrip van de wet hebben. Daarom vereisen we heldere, duidelijke en complete informatie van verkopers – en wat mij betreft vallen daar de algemene voorwaarden ook onder. Ik vind dus dat je gewoon enkel en alleen positief geformuleerde dingen mag zeggen over je aansprakelijkheid, en dat “may not apply” of “dit doet geen afbreuk aan uw wettelijke rechten” op een zwarte lijst moeten komen. Ga als bedrijf maar gewoon uitzoeken wat de rechten zijn van je consument-klanten en schrijf dat op, het is schandalig dat je dat werk bij je klant legt.

Dus nee. Onzinnig, inhoudsloos en de betreffende jurist mag zich gaan schamen. Maar de eerstvolgende keer dat er iets misgaat bij VTech, weet je al wat de persvoorlichter gaat zeggen en ik heb géén idee hoe het bedrijf te bewegen dit aan te passen. Ergerlijk. En ja, ik ga nu mijn ochtendkoffie halen.

Arnoud

Is whatsappen nu ook al een datalek?

Geplaatst op in Innovatie, Privacy, 24 reacties

whatsappDe datalekken vliegen je om de oren de laatste tijd. En om een of andere reden zit WhatsApp daar hoog in de buzz. Je communiceert dan immers over een kanaal beheerd door een derde, en niet zomaar een derde maar een perfide Amerikaanse imperialist met allerlei snode aftap- en profilingplannen. Dat moet toch haast wel een datalek zijn?

Voor een datalek dat moet worden gemeld gelden vier eisen (eisen 3 en 4 bepalen of gemeld moet worden):

  1. Er is sprake van een inbreuk op de beveiliging. Dat kan gaan om een inbreuk op techniek (een inbraak, een geraden wachtwoord) of een organisatorisch falen (zonder kaartje naar binnen kunnen, geen toezicht op een dossierkast) maar er moet iets van een beveiliging zijn en die moet geschonden worden.
  2. Het moet gaan om persoonsgegevens. Andere gegevens, hoe waardevol ook, kunnen geen datalek in de zin van de wet opleveren.
  3. Er moet een aanmerkelijke kans zijn dat de persoonsgegevens misbruikt worden. Is misbruik slechts een theoretisch risico, dan is het lek geen datalek.
  4. Betrokken personen moeten er nadeel van (kunnen) ondervinden. Die lat ligt niet hoog, maar hij is hoger dan nul. Nadeel kan zijn reputatieschade, oplichting en dergelijke maar ook dingen als moeten ruziën over dat je had betaald (de betalingsbewijzen waren gewist, ook een datalek).

Een conversatie voeren via WhatsApp zie ik op zich niet als een datalek. Als beide partijen ervoor kiezen hun eigen gegevens via dit kanaal te verstrekken, dan zie ik dat niet als een inbreuk op de beveiliging. Ze aanvaarden dan beiden de kans dat er iets mis kan gaan, en zien dat kennelijk als acceptabel.

Kiezen ze ervoor om andermans gegevens te verspreiden, zoals artsen wel deden, dan wordt het iets schemeriger. Die ander heeft niet gekozen voor het kanaal. Bovendien haal je je in die situatie nog een extra verplichting op de hals: je besteedt dan een stukje verwerking van andermans persoonsgegevens uit bij WhatsApp Inc, en de wet eist dat je dan een bewerkersovereenkomst sluit waarin je rechten en plichten vastlegt. Volgens mij kán dat niet eens met WhatsApp.

Toevallig kwam ik dit Linkedin-bericht tegen waarin Gjerryt Leuverink beschrijft hoe zorginstelling ’s Heeren Loo Zorggroep graag dichtbij en gastvrij wil zijn; ook digitaal. Daarom gebruikt men WhatsApp als communicatiemiddel. Dat leverde de nodige kritiek op, maar zoals Leuverink reageert:

Waar het om gaat is dat iemand die een appje stuurt aan een ander daarmee indirect toestemming geeft aan WhatsApp om ‘iets’ met dat berichtje en de twee betrokken 06-nummers te doen. Als je dat niet wilt, moet je niet WhatsAppen. Als je dat wel wilt, moet je bewust de app installeren, bewust je nummer koppelen en de voorwaarden accepteren, bewust een nummer toevoegen aan je contacten daar dan bewust een berichtje naartoe sturen.

Maar ik kan als jurist niet ontkennen dat er toch stevige juridische bezwaren te verzinnen zijn. Die bewerkersovereenkomst is nu eenmaal echt een ding, en zeker als je gegevens van anderen (zoals die artsen) gaat versturen dan zit je met een levensgroot toestemmingsprobleem. Alleen: is dat erg?

We komen dan weer terug bij de al vaker gevoerde discussie: mag de privacywet innovatie in de weg staan, of andersom mag innovatie zomaar over privacy heen denderen? Want als we de privacywet hard inzetten, dan moet je stoppen met WhatsApp. Dan kun je de Amerikaanse cloud gelijk uit en houden er ook een heleboel andere dingen op. Maar ga je mee in elke nieuwe hippe innovatie, dan kunnen we privacy wel afschrijven want wat dóen al die startups met persoonsgegevens en hoezo is het normaal dat een Amerikaans-wollig document dat “Privacy Policy” heet genoeg is om onze mooie wetgeving opzij te zetten? Ik ben er nog steeds niet uit wat nu de beste insteek is.

Arnoud

Is het een datalek om ongesalte pincodes op te slaan?

Geplaatst op in Security, 47 reacties

hier-pinnenEen lezer vroeg me:

Een collega van me verloor onlangs zijn tankpas. Hij kreeg keurig een nieuwe, maar in een begeleidende brief werd hem de pincode gemeld: precies dezelfde als van zijn oude pas. Dat vind ik raar, dat is toch hartstikke onveilig? Dan slaan ze dus die pincodes leesbaar op in hun systeem. Is dat strafbaar onder de Wet datalekken?

Update (9:36) voor de duidelijkheid: de nieuwe pincode (die dus gelijk is aan de oude) staat leesbaar in de brief. De brief zat niet bij de pas maar in een aparte envelop die een dag later werd ontvangen.

Helaas komen dit soort basale veiligheidsproblemen nog steeds heel vaak voor. De wetswijziging die per 1 januari van kracht is, zou in theorie hier een prikkel tegen moeten bieden, maar ik heb er een hard hoofd in.

Natuurlijk is het enkel hebben van plaintext pincodes geen datalek. Volgens de wet is daarvan pas sprake als er werkelijk persoonlijke informatie gelekt is. Een dreigend datalek valt niet onder de definitie.

Gelukkig kent de nieuwe wet meer dan alleen datalekken. Al jaren staat er in de wet dat de opslag en andere verwerking van persoonsgegevens onder “adequate beveiliging” moet gebeuren, en per 1 januari staat er ook een boete op het niet adequaat beveiligen. Los dus van of dit daadwerkelijk tot een datalek heeft geleid of niet. In theorie kan de Autoriteit Persoonsgegevens dus een boete opleggen wanneer ze deze ongesalte pincodes aantreft.

Jammer is dan natuurlijk weer dat de kans uitermate klein is dat dit wordt bemerkt. Beveiliging is perfect tot het misgaat, en daarna heeft de stagiair een incident veroorzaakt in een voor het overige prima werkend systeem. Dat gaan boetes niet snel oplossen, tenzij je heel vaak en heel hard handhaaft. Of je de boete laat uitbetalen aan de getroffen personen in plaats van aan de overheid, een idee dat ik al vaker opperde (hoewel het ook nadelen heeft, zoals je eigen gegevens hacken en incasseren).

Eigenlijk wil je dat bedrijven een stevige prikkel voelen om hun beveiliging preventief op orde te hebben. Maar hoe krijgen we dát voor elkaar?

Arnoud

Wanneer is een cc een overtreding van de privacywet (en dus boetewaardig)?

Geplaatst op in Ondernemingsvrijheid, Privacy, 41 reacties

mail-to-cc-bccEen lezer vroeg me:

Recent kreeg ik een aankondiging van een webwinkel. Ik niet alleen, nog 254 andere mensen ook. Ja, exact 254, want ik kon de mailadressen van iedereen zien in het cc: veld. Is dat nu ook een datalek? Wat voor boete staat erop?

Per 1 januari bevat de Wbp een meldplicht datalekken, maar belangrijker: vanaf dat moment mag de Autoriteit Persoonsgegevens (de new, tough Cbp) boetes opleggen voor overtreding van zo ongeveer elke bepaling uit de privacywet. De voor mij belangrijkste bevoegdheid is die van het schenden van je beveiligingsplicht, kort gevolgd door de verwerking zonder grondslag.

Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt. En ja, dat kan al zo simpel zijn als het gebruiken van het cc: veld in plaats van bcc: als je meerdere ongerelateerde mensen wilt mailen.

In oktober publiceerde het Cbp concept-beleidsregels over boetes. Deze zijn nog niet definitief maar ik verwacht niet dat ze héél anders gaan worden. In het kort classificeert men overtredingen in drie categorieën (licht, middel, zwaar). Per categorie is er een basisboete en een bandbreedte, en de boete wordt vastgesteld als de basis plus of min ten hoogste de bandbreedte. De exacte hoogte van de plusmin volgt uit het concrete geval.

Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen valt in categorieën middel of zwaar, zo blijkt uit het concept. Daarmee ligt de boete in beginsel op zijn minst op € 120.000, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe duurder het wordt.

Een boete kan echter pas opgelegd worden nadat een aanwijzing over de overtreding niet is opgevolgd, of als blijkt dat sprake is van opzettelijk of grof nalatig handelen. Die gaat nog een lastige worden bij cc-foutjes, omdat dat vrijwel altijd onnadenkend gebeurt. Je wilt bcc, je klikt niet goed en je drukt te snel op verzenden. Dat kan ik geen ‘opzet’ noemen. Van grof nalatig, of beter gezegd ‘het gevolg van ernstig verwijtbare nalatigheid’, is sprake

indien de overtreding het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen.

Ik denk dat de term ‘grof’ op al die andere kwalificaties slaat, dus grof onzorgvuldig, grof onachtzaam of grof onoordeelkundig. En dat houdt dan in dat je niet zomaar onachtzaam of onzorgvuldig moet zijn geweest maar best wel heel erg. En dán wordt het spannend, want is dit iets dat iedereen zou moeten weten en niet moeten laten gebeuren, of is dit het soort dikkevingerfout dat iedereen kan overkomen en dus ‘gewoon’ onzorgvuldig is?

Arnoud