Juridische aspecten informatiebeveiliging

NDIV Workshop Cybercrime 13 mei 2008 Mediaplaza mr. dr. Bart W. Schermer schermer@considerati.com

Personalia

Juridisch Advies & Public Affairs voor de technologie sector - juridische scan website - privacy en Wbp compliance - public / government relations Docent IT recht aan de Universiteit Leiden (sectie eLaw@leiden) Juridisch adviseur ECP.NL, platform voor eNederland

Agenda

Rechten en plichten bij het beveiligen van gegevens Specifieke situatie bij persoonsgegevens

Wettelijke verplichting?

Gij zult goed beveiligd zijn!

Computercriminaliteit

Ongeautoriseerde toegang tot gegevens Ontoegankelijk maken van systemen / diensten Vernietigen gegevens

Ongeautoriseerde toegang (138a Sr)

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. b. c. d. door het doorbreken van een beveiliging, door een technische ingreep, met behulp van valse signalen of een valse sleutel, of door het aannemen van een valse hoedanigheid.

Inzage in / diefstal van gegevens

Tekortkoming in de nakoming (6:74 BW) Aansprakelijkheid uit onrechtmatige daad (6:162 BW) Verzekering?

Ontoegankelijk maken

Denial of Service attack (138b Sr) Vernieling geautomatiseerd werk (161sexies Sr)

Ontoegankelijk maken

Aansprakelijkheid voor onderbrekingen in de dienstverlening (6:74 BW) Onrechtmatige daad (6:162 BW) Verzekering?

Vernieling gegevens

Vernieling geautomatiseerd werk (161sexies Sr) Vernieling computergegevens (artikel 350a Sr)

10

Vernieling gegevens

Verlies gegevens kan leiden tot aansprakelijkheid (6:74 BW, 6:162 BW) Het niet meer beschikken over gegevens is in strijd met de bewaarplichten (archivering ed.) Verzekering?

11

Exoneratie?

Uitsluiting aansprakelijkheid in algemene voorwaarden Niet (goed) mogelijk jegens consumenten (6:236BW, 6:237BW) Onredelijk bezwarend (6:233BW) Redelijkheid en billijkheid (6:248BW) - Bewuste roekeloosheid

12

Reputatieschade

13

Reputatieschade

Slechte beveiliging zorgt voor slechte naam Veel partijen doen daarom geen aangifte ...Maar wat nu als het uitkomt? Verplichting tot aangifte computercriminaliteit (2 april 2008, PVDA)

14

Tussenconclusie: zorgplicht

Gegevens zijn vaak niet uw eigendom U heeft een zorgplicht ten opzichte van gegevens Zorgplicht vloeit primair voort uit privaatrechtelijke verhoudingen MAAR per sector kunnen specifieke regels gelden!!! Kosten-baten analyse = risico op aansprakelijkheid + reputatieschade

15

(Reputatie)schade Deel 2

16

Kosten...

17

Wbp: Wanneer van toepassing?

Het verwerken van persoonsgegevens Verwerken = nagenoeg elke handeling met persoonsgegevens (bewaren, opvragen, doorgeven, aanpassen) Persoonsgegevens = Gegevens die informatie bevatten omtrent een identificeerbare natuurlijke persoon

Geheel of gedeeltelijk geautomatiseerd

Wanneer mag u verwerken?

In overeenstemming met de wet op behoorlijke en zorgvuldige wijze (artikel 6 Wbp) Alleen voor welbepaalde, gerechtvaardigde, uitdrukkelijk omschreven doelen (artikel 7 Wbp)

Kwaliteit (artikel 11 Wbp)

Toereikend Ter zake dienend Niet bovenmatig Juist en nauwkeurig

20

Beveiliging (artikel 13 Wbp)

Technisch en organisatorisch passende beveiliging

- hangt samen met de aard van de gegevens - de kosten

Stand van de techniek

21

Gevolgen bij niet naleving

Strijd met een wettelijke plicht: handhaving door het Cbp Onrechtmatige daad (6:162 BW) Eventueel ook immaterile schade (!!!)

22

Conclusie

Verlies gegevens levert mogelijk aansprakelijkheid op Verlies persoonsgegevens vormt een extra risico Belang verwerkingen neemt toe... ...kans op schade dus ook! De Nederlandse burger/bedrijfsleven interesseert het nog vrij weinig ...maar deze houding verandert Voorkomen is beter dan genezen

23

Tips

www.digibewust.nl Wat zijn de regels / gebruiken binnen de branche? Code voor informatiebeveiliging / best practices Handleiding voor verwerkers van persoonsgegevens

24

Vragen?
Considerati mr. dr. Bart W. Schermer Postbus 76949 1070 KE Amsterdam schermer@considerati.com

25