Meldplicht voor gegevenslekken?

januari 25, 2010 at 9:59 pm (Columns, Privacy, Problemen, Quotes) (, , , , )

BOF stelt een uitbreiding van de Wet bescherming persoonsgegevens (Wbp) voor. Bewerkers van verzamelingen persoonsgegevens moeten het publiekelijk bekend maken als zij gegevens hebben gelekt. Ik vraag mij af wat hier de toegevoegde waarde van is. Behalve de onrust die een dergelijke melding zal of kan veroorzaken, en het daarbij behorende (terechte, begrijp mij niet verkeerd) ongemak van deze bewerker, levert het verder niets op. Bewerkers gaan door met het verzamelen en bewerken van persoonsgegevens. En als het meezit hebben ze de beveiliging een beetje (goed) op orde. Tegen een inside-job is geen organisatie bestand, net zoals stommiteiten ook in de strengst dichtgeregelde situaties voor kunnen komen.

Laten we ons eens buigen over de vraag waarom er zo paniekerig wordt gereageerd op verloren of gestolen persoonsgegevens. Primair is dat omdat ze veel waarde hebben. De gegevens hebben die waarde omdat ze eenvoudig te verhandelen zijn en daarna – met de juiste middelen – eenvoudig gebruikt kunnen worden. Bij veel aanhoudingen in bijvoorbeeld Amsterdam wordt geconstateerd dat de arrestant valse persoonsgegevens opgaf. Kennelijk is het met de goede informatie eenvoudig om je een andere identiteit aan te meten.

Het zwaartepunt van de bescherming van persoonsgegevens zou bij de voorkoming van illegaal hergebruik moeten liggen. Natuurlijk horen de gegevens met passende maatregelen te worden omgeven en beschermd te worden naar de actuele stand der techniek Maar vooral moet het veel moeilijker worden de gestolen gegevens opnieuw te gebruiken.

En dat melden dan? Dat moet wel worden gedaan. Je hebt tenslotte je persoonsgegevens afgegeven in goed vertrouwen van het beheer. Dan is het wel zo netjes om te melden dat je gegevens kwijt zijn geraakt.

Advertenties

Permalink Geef een reactie

Deeplinking

september 7, 2006 at 2:00 pm (Achtergrond, Quotes)

Deeplinking

Door Gertjan Tamis CISSP. De auteur is adviseur informatiebeveiliging in dienst van de rijksoverheid.

Dit artikel is bestemd voor informatie-eigenaren, managers en andere verantwoordelijken voor het publiceren van informatie op Internet.

Bij deeplinking wordt direct vanaf andere sites verwezen naar al of niet verborgen informatie op websites. Bij het publiceren op Internet wordt wel eens onterecht vertrouwt op rechtsbescherming. Door toegang via Internet aan te bieden kan informatie toch voor derden worden ontsloten. Het niet op Internet zelf publiceren van informatie biedt vaak de beste bescherming.

Aanleiding

Aanleiding voor dit artikel is de uitspraak1 van de voorzieningenrechter in Arnhem inzake het toestaan van deeplinking2 naar woningsites. Ook andere uitspraken, zoals in 2000 met betrekking tot krantenkoppen hebben gevolgen voor de jurisprudentie. Voor de overheid geldt – in verband met de voorbeeldfunctie – dat er bijzonder secuur met het publiceren van informatie op Internet moet worden omgesprongen, om te voorkomen dat gegevens onbedoeld en ongewenst in de openbaarheid komen.

Op Internet staat vaak informatie, die hoewel rechtmatig is gepubliceerd, echter is bedoeld voor een select gezelschap. In ieder geval wil de eigenaar van de informatie controle houden op het tonen of aanbieden van deze informatie. Een methode die daar mogelijk afbreuk aan doet is de techniek van het deeplinken. De link http://www.minvws.nl/dossiers/infectieziekten/vogelgriep/default.asp is een voorbeeld van een deeplink. De url (uniform resource locator) bevat alle benodigde informatie om te verwijzen naar een specifiek onderwerp, in dit geval het dossier Vogelgriep. Hier wordt dus niet verwezen naar de hoofdpagina van het ministerie van Volksgezondheid, Welzijn en Sport, http://www.minvws.nl/.

Organisatie specifiek

De informatie die de overheid op Internet aanbiedt, is openbaar van aard. Voor het afschermen van informatie van vertrouwelijke aard welke op een webserver is geplaatst, is een uitgebreid scala aan technische maatregelen te bedenken. Vertrouwen op deze maatregelen is echter niet voldoende.

Daarnaast heeft het publiceren van informatie op Internet enige juridische consequenties, waar terdege rekening mee moet worden gehouden. Het is namelijk lang niet altijd mogelijk een beroep te doen op bestaande wetgeving, zoals de Auteurswet en de Databankenwet. Ook dient de mogelijkheid in acht te worden genomen dat de Wet bescherming persoonsgegevens wordt overtreden, indien vertrouwelijke informatie via Internet beschikbaar wordt gesteld.

Risico’s

Bij het ontsluiten van databanken via Internet ontstaan er nieuwe risico’s.

Enkele voorbeelden van risico’s die zich voordoen bij het ontsluiten van databanken zijn:

  • derden “vinden” informatie die niet naar buiten mag/mocht komen;

  • (geen) schending van het auteursrecht door derden;
  • schending van de Wet bescherming persoonsgegevens door de aanbieder van de informatie;
  • schending van de databankenwet door derden.

Oplossing

Stel een informatiebeleid op waarin (op hoofdlijnen) staat beschreven welke soort informatie wel en welke soort informatie niet aan derden ter beschikking mag worden gesteld. De informatie-eigenaar moet zijn (schriftelijke) toestemming geven voor publicatie. Controleer op naleving van het informatiebeleid.

Samenvatting en conclusie

Zorg voor een eenduidig informatiebeleid, zodat iedereen weet waaraan hij zich heeft te houden. Bied geen vertrouwelijke informatie aan via algemeen te benaderen websites.

Als het noodzakelijk is dat vertrouwelijke informatie benaderd kan worden via Internet, maak dan gebruik van alle ter beschikking staande technieken.

Denk na vóór het aanbieden van informatie op Internet. Het is eenvoudiger om gegevens niet via Internet beschikbaar te stellen dan om achteraf de schade te herstellen. Grootmoeders uitspraak “Bezint eer ge begint”, snijdt hier nog steeds hout.

1LJN: AV5236, Voorzieningenrechter Rechtbank Arnhem, 136002

2Deeplinking: een directe verwijzing maken naar een artikel, foto, muziekwerk of bestand op (meestal) een andere site dan waar de deeplink staat.

Permalink Geef een reactie

Quote

september 4, 2006 at 8:19 am (Quotes)

Computer security specialist:

“I sleep like a baby. I wake up every two hours and cry.”

Permalink Geef een reactie