Als webwinkelier heeft u met veel juridische vraagstukken te maken. Daarom beantwoordt Steven Ras, ICT-jurist bij ICTRecht, in deze rubriek concrete lezersvragen om u zo goed mogelijk door het doolhof van wet- en regelgeving te leiden.
De lezersvraag van deze maand is: ‘Waar ben ik als webwinkel wettelijk toe verplicht wat betreft de beveiliging van persoonsgegevens?’
Tekst: Steven Ras
Wie persoonsgegevens verwerkt, moet op grond van de Wet bescherming persoonsgegevens ‘adequate’ beveiligingsmaatregelen nemen tegen misbruik en ongeautoriseerde toegang tot deze gegevens. Er zijn geen harde regels over welke maatregelen dit specifiek zijn. Dit omdat ‘adequaat’ afhankelijk is van de situatie: een lijst e-mailadressen voor een nieuwsbrief is onvergelijkbaar met een server met elektronische patiëntendossiers in een ziekenhuis. Het College bescherming persoonsgegevens heeft een handreiking Achtergrond Studies en Verkenningen 23 (AV-23) gepubliceerd met daarin een methodiek voor het bepalen van passende beveiligingsmaatregelen in verschillende toepassingsgebieden. Deze handreiking is formeel niet bindend, maar kunt u wel als leidraad gebruiken.
Normen
Diverse branches hebben hun eigen normen ontwikkeld. Ook deze normen zijn formeel niet bindend, maar wie algemeen aanvaarde normen negeert, heeft wel wat uit te leggen in het geval zijn database met gegevens gekraakt of misbruikt wordt. Zo gelden in de zorg diverse NEN-normen (met name NEN 7510) als algemeen aanvaard en in veel gevallen dankzij andere wet- en regelgeving zelfs als verplicht. Thuiswinkel.org heeft als eis dat bij haar aangesloten webwinkels alle bestellingen over beveiligde SSL-verbindingen laten lopen. En in de informatiebeveiliging kunnen normen als ISO/IEC 27002 een standaard bieden voor wat ‘adequate’ beveiliging zou moeten zijn.
Meldplicht
Regelmatig blijken bedrijven, helaas soms ook webwinkels, hun databanken met persoonsgegevens niet afdoende te beveiligen, waarna ineens klant- of gebruikersgegevens op straat liggen. Omdat zulke gegevens misbruikt kunnen worden voor bijvoorbeeld identiteitsfraude, zou zo’n getroffen bedrijf de betrokkenen moeten waarschuwen. Veel bedrijven doen dit niet uit angst voor reputatieschade of omdat ze denken dat er toch niets zal gebeuren. Er is wetgeving in de maak om een meldplicht in te voeren bij diefstal van persoonsgegevens, maar het afbakenen van de grenzen en de handhaafbaarheid van zo’n wet blijkt erg lastig. Zo is er de vraag of je iedere triviale kraak moet melden. Dat leidt er misschien toe dat mensen niet meer op meldingen letten. Maar als alleen ‘grote’ inbraken gemeld hoeven te worden, dan kunnen bedrijven alle inbraken afdoen als ‘klein’ om ze niet te hoeven melden.
Buiten de EU
Een belangrijk aandachtspunt dat vaak wordt vergeten is dat persoonsgegevens niet mogen worden geëxporteerd naar een land buiten de Europese Unie. Dit omdat deze landen meestal een minder strenge wettelijke bescherming van de privacy en persoonsgegevens hanteren. Een bedrijf kan hier al tegenaan lopen als het gegevens opslaat op een server in de Verenigde Staten. Dit is alleen toegestaan als het Amerikaanse bedrijf een zogeheten Safe Harbor-overeenkomst heeft gesloten, waarin het belooft de strenge Europese regels na te leven. Vraag dan ook na bij uw hostingprovider of de servers wel binnen de Europese Unie staan.
____________________
Stel uw vraag
Steven Ras is ICT-jurist bij ICTRecht. In deze rubriek gaat hij in op de juridische aspecten van webwinkels. Daarbij hebben de lezers de mogelijkheid om per e-mail vragen te stellen. Stel een vraag aan Steven Ras via s.ras@ictrecht.nl.
____________________
Dit artikel verscheen eerder in Twinkle 5-2012.
Er is op dit moment 0 keer gereageerd op:
Beveiliging persoonsgegevens: wat zijn mijn plichten?
Je kunt niet meer reageren op dit artikel.