Wat kan ik als mijn werkgever mijn bsn en medisch dossier lekt?

| AE 12299 | Privacy, Security | 19 reacties

Een lezer vroeg me:

De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?
Allereerst: erg jammer en vervelend dat er anno 2020 nog steeds werkgevers zijn die dus dit soort gevoelige gegevens rondsjouwen zonder zelfs maar full-disk encryptie. Het is erg pijnlijk om daar via een datalekmelding achter te moeten komen.

De procedure is zo te lezen netjes gevolgd: de werknemer moet worden geïnformeerd en de AP ook, want de gegevens zijn zeer gevoelig en misbruik daarvan kan zeker tot schade bij de werknemer(s) leiden. Ook als het maar een handjevol mensen was – BSN en medische gegevens tellen als zeer gevoelig ook bij kleine hoeveelheden.

Dat wil niet zeggen dat de kous daarmee af is. De werknemer kan desondanks immers schade lijden door het lek, en volgens de AVG is de werkgever daar gewoon voor aansprakelijk stellen.

Het lastige hierbij is natuurlijk aan te tonen wat je schade is, zeker als er nog geen kwaadwillend gebruik van je gegevens is gemaakt. En bij diefstal van een laptop is de kans reëel dat dat ook niet gaat gebeuren; waarschijnlijk herinstalleert de dief Windows en verkoopt hij het ding tweedehands. Je kunt dan natuurlijk gaan monitoren op misbruik maar je zult waarschijnlijk niets tegenkomen.

Het gaat me wat ver om te zeggen dat een werkgever maar gewoon een bedrag moet geven bij wijze van forfaitaire schadevergoeding. Maar zonder concreet aangetoonde schade kan de werknemer verder niet zo veel. Bij financiële gegevens zou je nog kunnen eisen dat de werkgever een monitoringdienst betaalt om op het ahem “dark web” te kijken of je creditcard daar opduikt, maar voor bsn’s of medische dossiers is er niet echt zo’n markt.

Arnoud

Data is niets maar een man uit Spijkenisse kon ze wel stelen?

| AE 12187 | Regulering, Security | 15 reacties

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna de politie vrij snel bij deze verdachte uitkwam. Goede actie, en hopelijk zijn de gegevens niet ondertussen al ergens anders naartoe. Maar, zo kreeg ik dan de vraag: dat kan toch niet, data is toch niets, hoe kan het dan worden gestolen?

In de pers moet je altijd uitkijken met termen als “diefstal van gegevens” want de meeste journalisten zitten niet zo op de juridische nuances. Van diefstal is alleen sprake als je “een goed” wegneemt zonder daartoe bevoegd te zijn, en dan ook nog eens met het doel je dat goed zelf toe te eigenen. Iets dat geen goed is, kun je dus niet stelen.

Data is in het algemeen geen goed; de definitie daarvan vereist kort gezegd dat de houder ervan als enige er wat mee kan doen (en dat er enige waarde aan het goed verbonden is). Dit volgt uit het Runescape-arrest dat bepaalde dat die criteria niet gelden voor gegevens in het algemeen, maar wel specifiek voor gegevens die objecten in virtuele werelden vertegenwoordigen. Als jij dat zwaard hebt, dan de rest van de deelnemers niet. Idem voor belminuten (op dezelfde dag beslist), als ik ze opbel dan kun jij dat daarna niet meer.

Persoonsgegevens zijn duplicatief, je kunt ze kopiëren. Daarmee voldoen ze niet aan die beperkte criteria en dus zijn het geen goederen. Alle wetgeving over eigendom is daarmee niet van toepassing. Dat is waarom ik “data is niets” zeg. Je kunt niet “je data terug” eisen, want de term “jouw” kan juridisch alleen op eigendom geplakt worden. Het is of je data blauw noemt, dat klopt gewoon niet.

Dat wil niet zeggen dat data juridisch vogelvrij is. Je kunt bij een data-beheerder gewoon contractueel afspreken dat hij je een kopie geeft wanneer je dat vraagt. En bij het strafrecht zijn er – vanwege het eerdere Computergegevens-arrest – aparte regels gemaakt over het wegmaken of kopiëren van data in strijd met andermans recht. En dat is wat deze meneer ten laste gelegd gaat worden. We noemen dat dan wel ‘data-diefstal’ maar we bedoelen het overnemen van gegevens na computervredebreuk (artikel 138ab lid 2 Strafrecht) of wederrechtelijk aftappen van gegevens (artikel 139c).

Arnoud

Politie test koppelen cameradata tegen dieven in Roermond

| AE 10843 | Informatiemaatschappij | 41 reacties

De politie en de TU Eindhoven testen een systeem om data uit verschillende bronnen, met name camera’s, te koppelen en te analyseren, om winkeldieven uit Oost-Europa in een vroeg stadium te herkennen. Dat meldde Tweakers afgelopen maandag. De camera’s zijn die uit de anpr-nummerplaatherkenning, gekoppeld aan een database die de politie heeft over voertuigen die Oost-Europese bendes mogelijk gebruiken. Op basis van punten – vier mannen met Roemeens kenteken en een Duitse auto, honderd punten – wordt dan een signaal afgegeven aan de politie om deze auto eens nader te bekijken. Het klinkt leuk, maar riekt toch een beetje gevaarlijk.

Roermond heeft veel last van dit soort criminaliteit, las ik bij de NOS, omdat het dicht bij de grens ligt én een grote trekpleister heeft, namelijk winkelcentrum de Designer Outlet. De grote hoeveelheid overlast was de aanleiding om eens te kijken wat men met techniek kan doen.

In de kern komt het erop neer dat van iedere bezoeker richting het winkelcentrum op diverse punten wordt geclassificeerd. Van de auto wordt het kenteken uitgelezen, wat informatie geeft zoals land waar de auto geregistreerd staat en ouderdom/type. Speciale camera’s tellen het aantal inzittenden, middels antennes wordt vastgelegd uit welk land de telefoons (simkaarten) in de auto komen en zo nog een aantal slimmigheden. Van elk van die aspecten wordt een score vastgesteld, die bij elkaar opgeteld een totaalscore Verdacht Gedrag oplevert. En wie daarin te hoog scoort, mag even aan de kant en uitleggen wat hij komt doen in Roermond.

Natuurlijk is het uiteindelijk altijd een agent die de feitelijke controle uitvoert, en eventueel kan besluiten de auto toch niet staande te houden omdat het vier Roemeense omaatjes zijn die een auto geleend hadden in Hamburg. Alleen krijg ik bij systemen als deze niet het gevoel dat de hoofdregel zal zijn dat er geen controle nodig is wanneer de computer zegt van wel. Zelfs het toch niet als rabiaat links bekend staande GeenStijl fulmineert dat het hier gaat om een truc: “Het lijkt alsof de popo al precies weet wie ze hebben moeten, maar dat ze dus nu een hoogtechnologische smoes nodig hebben om preventief op te treden tegen de import die de rottigheid veroorzaakt.”

Het vervelende is, je komt dan vrijwel direct in een hellend-vlakargument terecht. Nu gaat het goed, maar wat als straks massaal alle Oosteuropeanen staande gehouden worden? Of als -zoals de NOS meldt- het geluid van dikke snelle auto’s een trigger geeft waardoor je voor ramkraker aangezien wordt, en door een arrestatieteam klemgereden wordt? Dat zou ernstig zijn, maar zo ver is het nog niet. Wat is dan wijsheid? Nu ageren en als overdreven weggezet worden? Of wachten tot we daar zijn, en dan horen “maar vandaag de dag is het doodnormaal”?

Arnoud

Heb ik onder de AVG recht op beelden van de diefstal van mijn motorfiets?

| AE 10802 | Privacy | 21 reacties

Een lezer vroeg me: Enkele dagen geleden is mijn motor gestolen die voor mijn huis geparkeerd stond. De plaatselijke supermarkt heeft dit feit opgenomen met één van hun beveiligingscamera’s. Heb ik recht op inzage? Het recht op inzage in camerabeelden komt uit de Algemene Verordening Gegevensbescherming, en geldt dus alleen voor camerabeelden waar jouw persoonsgegevens… Lees verder

Licentiecodes meenemen van je werk is geen diefstal

Een licentiecode meenemen van je werk als je ontslag neemt, is geen diefstal of heling. Dat vonniste de rechtbank Den Haag onlangs. De verdachte in deze strafzaak had ontslag genomen en wilde kennelijk met die licentiecode goede sier maken bij de nieuwe werkgever, iets dat de oude werkgever zó ernstig vond dat men aangifte deed,… Lees verder

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Regulering, Security | 32 reacties

Een lezer vroeg me: Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de… Lees verder

Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

| AE 9128 | Regulering | 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit… Lees verder

Denk je een tip te geven, krijg je een knorrige bedrijfsjurist op je dak

| AE 8093 | Iusmentis, Ondernemingsvrijheid | 19 reacties

Als je de directeur van AT&T een tip durft te geven, dan krijg je een knorrige bedrijfsjurist op je dak, las ik bij Ars Technica (dank, tipgevers!). “AT&T has a policy of not entertaining unsolicited offers to adopt, analyze, develop, license or purchase third-party intellectual property… from members of the general public,” zo klonk het… Lees verder

Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Regulering | 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen? De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar… Lees verder