Sharing IT Best Practices with youSharing IT Best Practices with you
Strafbaar?
Het is strafbaar om binnen te dringen in een geautomatiseerd werk, zoals een computer of een netwerk. Maar is het ook strafbaar om je systeem slecht te beveiligen zodat het onnodig makkelijk is voor anderen om binnen te dringen?
Nee, dat is niet strafbaar. Binnendringen is strafbaar, net als het vernielen van gegevens (=veranderen, wissen, onbruikbaar of ontoegankelijk maken, of gegevens eraan toevoegen). Hiervan is ook wat juristen noemen een culpose variant: “Hij aan wiens schuld te wijten is dat” er gegevens worden vernield, oftewel hij die nalatig was in het voorkomen van vernieling is ook strafbaar. Maar gegevensovername of gegevensdiefstal wordt hier niet genoemd.
Dus stel ik zet mijn klantenbestand online zonder adequate beveiliging en een Chinees kopieert de hele boel na het raden van het wachtwoord. De Chinees schendt 138ab, maar is niet te vervolgen. Maar wat valt mij te verwijten? Er is niets “veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt” en ik heb geen beveiliging doorbroken. Ik was ook niet op onbevoegd terrein, het was immers mijn eigen server.
De WPB eiste “adequate beveiliging” van persoonsgegevens. Dat artikel overtreden is strikt gesproken niet strafbaar: het CBP kon er bestuursrechtelijk tegen optreden en een last onder dwangsom opleggen. Geen boetes en de cel in ging je al helemaal niet.
Wordt dat niet eens tijd? Vandaag de dag is ICT-veiligheid net zo essentieel als hardwareveiligheid. Apparatuur mag niet ontploffen en mag niet hackbaar zijn, punt. En misschien is dat laatste nog wel erger: dat je laptop ontploft is heel naar voor jou, maar dat 100.000 patiëntdossiers op straat liggen is toch 100.000 keer erger. Maar gek genoeg is de leverancier van de apparatuur waardoor die dossiers lekten, niet aansprakelijk en die ontploftelaptopfabrikant wel.
Wat zou er gebeuren als we gewoon in de wet zetten: “Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep”? Leveranciers worden dan aansprakelijk voor schade door datalekken die aan hun apparatuur of software te wijten is.
Zou dit kunnen werken? Een verschil waar ik mee zit is dat een product meestal precies dat is: één product. Je kunt die batterij testen en anti-ontplofmaatregelen nemen, en dat gaat dan gewoon goed in die laptop. De batterij wordt niet ineens deel van een complex systeem met drie verschillende protocollen over elkaar heen en interactie met vijftien apparaten van verschillende leveranciers die allemaal nét even anders werken. En dat heb je wel bij computerapparatuur.
Redactie: Dit artikel is inmiddels achterhaald door de AVG – GDPR. Deze wetgeving is een stuk strenger dan de WPB was.
Discussieer mee op LinkedIn.
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.