Help, mijn persoonsgegevens zijn gelekt, wat nu?

| AE 9069 | Privacy | 15 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataEen lezer vroeg me:

Je hebt regelmatig aandacht besteed aan datalekken, maar vanuit het perspectief van een slachtoffer wilde ik toch wat vragen. Afgelopen zaterdag informeerde mijn werkgever me dat mijn adres en BSN op straat ligt door een fout van een ingehuurd bedrijf. Maar meer dan “de kans op fraude is laag” en dat ik goed op mijn rekening moet letten zie ik niet. Kan ik hier juridisch wat mee?

Helaas komen datalekken erg vaak – te vaak – voor. Gelukkig niet altijd van deze omvang. Je zou hopen dat die nieuwe wet hier snel verandering in brengt.

Een bedrijf is verplicht datalekken te melden bij de toezichthouder, en bij vermoedelijke negatieve gevolgen ook bij betrokkenen zelf. Die brief is dus op zich terecht verstuurd. De brief moet ook vermelden wat “de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken” zijn (art. 34a lid 3 Wbp).

De tekst van die brief doet wat plichtmatig aan. Dat kan ik zelf ook wel bedenken, dat ik goed moet gaan uitkijken. Maar ja, heel veel meer dan “let op je creditcard” en “log regelmatig overal even in om te zien of niemand met je bsn identiteitsfraude heeft gepleegd” kan ik ook niet bedenken. Want er ís niet veel meer dat je kunt doen als consument.

Ja, heb je concreet nadeel van dit datalek dan is dat te verhalen. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden. Dit even los van boetes die de toezichthouder oplegt. Alleen, wat is je schade bij een privacyschending? Welk getal zet je op de tijd en het gedoe met je energiemaatschappij of zorgverzekeraar omdat een grapjas bijvoorbeeld je contract heeft opgezegd?

Ik zou graag positiever zijn maar helaas is het best wel slecht geregeld voor mensen die getroffen worden door een datalek.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Beveiliging, E-mail | 38 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

| AE 9016 | Privacy | 7 reacties

shirt-127-0-0-1-ip-adresHet Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is.

De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar: als hij zich op de website had geïdentificeerd (bijvoorbeeld door in te loggen) dan zou na de bezoeksessie er geen reden meer zijn om zijn IP-adres te bewaren. En wat niet nodig is, moet weg onder de privacywet. Nee, aldus de instantie: dat IP-adres is geen persoonsgegeven als u niet inlogt want wij weten niet dan wie u bent. Dus niks privacywet.

Dit lijkt een wat gezocht argument en dat is het natuurlijk ook, maar het raakt wel aan een heel fundamenteel punt. Namelijk, hoe ver ga je met iets persoonsgegeven verklaren? De literatuur is daarover verdeeld in de objectieven en de relatieven, zeg maar de preciezen en de rekkelijken. De objectieven/preciezen vinden dat een gegeven een persoonsgegeven is als de koppeling naar de betrokkene met redelijke moeite te maken is, ook als je daarvoor een derde (zoals de isp, in dit geval) nodig hebt en ook als die daar niet perse aan mee werkt. De relatieven/rekkelijken vinden dat iets alleen een persoonsgegeven is voor wie de koppeling kan maken, in dit geval dus alleen de isp.

Het Hof pakt de wet er nog eens bij en constateert dat de objectieven gelijk hebben: de wet spreekt ook van “indirect identificeerbaar” zijn, dus iets is niet alleen maar een persoonsgegeven voor wie zélf de koppeling kan leggen. Dus de vraag is alleen nog, hoe moeilijk is het om de identificatie ui te voeren, oftewel hoe moeilijk is het die isp’s mee te krijgen?

Redelijk moeilijk, want in Duitsland gaat het opvragen van NAW-gegevens bij een IP-adres altijd via Justitie. Maar dat is genoeg:

Hoewel de verwijzende rechter in zijn verwijzingsbeslissing preciseert dat de internetprovider de extra informatie die noodzakelijk is voor de identificatie van de betrokken persoon, naar Duits recht niet rechtstreeks mag doorgeven aan de aanbieder van onlinemediadiensten, lijken er – onder voorbehoud van de door de verwijzende rechter in dit verband te verrichten verificaties – voor de aanbieder van onlinemediadiensten juridische mogelijkheden te bestaan om zich, met name in geval van cyberaanvallen, te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van de internetprovider te verkrijgen en om strafvervolging in te stellen. … De aanbieder van onlinemediadiensten lijkt dan ook te beschikken over middelen waarvan mag worden aangenomen dat zij redelijkerwijs kunnen worden ingezet om de betrokken persoon met behulp van derden, te weten de bevoegde autoriteit en de internetprovider, te identificeren aan de hand van de bewaarde IP-adressen.

Als dát al genoeg is, dan zijn we er. In Nederland ligt de lat lager dankzij het Lycos/Pessers-arrest, zodat ik er geen enkele twijfel over heb dat in Nederland aan het vereiste is voldaan dat het Hof hier oplegt.

Gelukkig voor de Duitse overheidssites mogen zij wel gewoon doorgaan met loggen. Dit is namelijk te rechtvaardigen onder een “eigen dringende noodzaak” (bij ons art. 8 sub f Wbp), zonder ip-adressen is het lastig aanvallen en dergelijke te herkennen. Maar dat is dus wel het kader waarbinnen élk gebruik van een IP-adres zal moeten worden bekeken vanaf nu. Hoe groot is de noodzaak dat gegeven te gebruiken, en hoe groot is het privacybelang van de websitebezoeker?

Arnoud

Facebook moet gegevens Nederlandse gebruiker doorgeven om chantage

| AE 8976 | Aansprakelijkheid, Privacy | 5 reacties

Facebook moet gegevens van een gebruiker opsporen en doorgeven om vervolging van die persoon mogelijk te maken, meldde Nu.nl maandag. Het gaat om gegevens van iemand die dreigde intieme foto’s van een gebruiker te publiceren. De rechter bepaalde dat Facebook die moet afgeven. Opmerkelijk genoeg wel met de overweging dat Facebook terecht niet zelf die… Lees verder

Vergeet ik al die tijd helemaal wat te vinden van het Privacy Shield

| AE 8971 | Privacy | 10 reacties

Alweer uit juli: het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, is definitief aangenomen. Daarmee is er eindelijk weer een werkbare juridische basis voor doorgifte van persoonsgegevens aan de VS. Althans zou je denken. En ja sorry, dit is belangrijk maar het is me gewoon even ontschoten erover te bloggen. Al… Lees verder

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

| AE 8967 | Privacy, Strafrecht | 12 reacties

Facebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen… Lees verder

Mag je persoonsgegevens eigenlijk wel gebruiken in een aangifte?

| AE 8694 | Privacy, Strafrecht | 20 reacties

Een lezer vroeg me: Ons bedrijf neemt inkomende telefoongesprekken op voor kwaliteits- en trainingsdoeleinden. Dit wordt ook keurig gemeld. Alleen nu is er iemand die onze receptioniste ernstig heeft bedreigd. Alleen, nu zegt onze security officer dat we geen aangifte mogen doen met de opname omdat we die niet voor dit doel verkregen hebben (art…. Lees verder

Wbp move over: de Europese Privacyverordening is hier!

| AE 8592 | Privacy | 26 reacties

Na buitengewoon veel gelobby, gesteggel en geharrewar over toestemming geven, profiling, toezicht en boetes zijn we er dan eindelijk uit: de Europese Privacyverordening is definitief aangenomen in het Europees Parlement. De nieuwe regels zullen de huidige nationale privacywetten, zoals onze Wet bescherming persoonsgegevens, gaan vervangen en zo een éénvormige privacyregulering bieden voor alle Europese burgers…. Lees verder

Mag ik statistieken maken van het verkeer door mijn straat?

| AE 8534 | Privacy | 21 reacties

lezer vroeg me: Ik woon naast een drukke sluiproute in mijn dorp en wil graag statistieken maken van het autoverkeer dat langs rijdt. Ik wil daartoe met een webcam uit mijn slaapkamerraam auto’s fotograferen en de kentekens herkennen. De beelden gooi ik meteen weg, de kentekens sla ik op zodat ik statistieken kan maken over… Lees verder