Is het strafbaar om je systeem slecht te beveiligen?

Vraag: Het is strafbaar om binnen te dringen in een geautomatiseerd werk, zoals een computer of een netwerk. Maar is het ook strafbaar om je systeem slecht te beveiligen zodat het onnodig makkelijk is voor anderen om binnen te dringen?

Antwoord: Nee, dat is niet strafbaar. Binnendringen is strafbaar, net als het vernielen van gegevens (=veranderen, wissen, onbruikbaar of ontoegankelijk maken, of gegevens eraan toevoegen). Hiervan is ook wat juristen noemen een culpose variant: “Hij aan wiens schuld te wijten is dat” er gegevens worden vernield, oftewel hij die nalatig was in het voorkomen van vernieling is ook strafbaar. Maar gegevensovername of gegevensdiefstal wordt hier niet genoemd.

Dus stel ik zet mijn klantenbestand online zonder adequate beveiliging en een Chinees kopieert de hele boel na het raden van het wachtwoord. De Chinees schendt 138ab, maar is niet te vervolgen. Maar wat valt mij te verwijten? Er is niets “veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt” en ik heb geen beveiliging doorbroken. Ik was ook niet op onbevoegd terrein, het was immers mijn eigen server.

De Wbp eist “adequate beveiliging” van persoonsgegevens. Dat artikel overtreden is strikt gesproken niet strafbaar: het Cbp kan er bestuursrechtelijk tegen optreden en een last onder dwangsom opleggen. Geen boetes en de cel in ga je al helemaal niet.

Wordt dat niet eens tijd? Vandaag de dag is ICT-veiligheid net zo essentieel als hardwareveiligheid. Apparatuur mag niet ontploffen en mag niet hackbaar zijn, punt. En misschien is dat laatste nog wel erger: dat je laptop ontploft is heel naar voor jou, maar dat 100.000 patiëntdossiers op straat liggen is toch 100.000 keer erger. Maar gek genoeg is de leverancier van de apparatuur waardoor die dossiers lekten, niet aansprakelijk en die ontploftelaptopfabrikant wel.

Wat zou er gebeuren als we gewoon in de wet zetten: “Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep”? Leveranciers worden dan aansprakelijk voor schade door datalekken die aan hun apparatuur of software te wijten is.

Zou dit kunnen werken? Een verschil waar ik mee zit is dat een product meestal precies dat is: één product. Je kunt die batterij testen en anti-ontplofmaatregelen nemen, en dat gaat dan gewoon goed in die laptop. De batterij wordt niet ineens deel van een complex systeem met drie verschillende protocollen over elkaar heen en interactie met vijftien apparaten van verschillende leveranciers die allemaal nét even anders werken. En dat heb je wel bij computerapparatuur.

Boeken over dit onderwerp

A Business Guide to Information Security

Auteur: Alan Calder
Data is van essentieel belang voor de informatie-economie – voor zowel individuen, bedrijven als schurken. Alle bedrijven lopen potentieel gevaar en zijn kwetsbaar. ‘A Business Guide to Information Security’ legt de vitale kwesties uit aan directeuren en managers – van adware, hackers en phishing tot spyware, virussen en zombies.
Europrijs: 18,99
Bestellen

IT Governance

Auteur: Alan Calder
‘IT Governance’ has been fully updated to take account of current cyber security and advanced persistent threats and reflects the latest regulatory and technical developments.
Europrijs: 49,99
Bestellen

Meer boeken over IT security vinden.


-- Printbare PDF-versie --


No votes yet.
Please wait...

Aanvullingen

Geef zelf een aanvulling.

Geef een aanvulling

Licentie: Creative Commons (Naamsvermelding/Gelijkdelen)

Checklisten:
Systeemeisen beveiliging 8 vragen.
Werkwijze continuiteitsbeheer 12 vragen.
Risico-analyse beveiliging 25 vragen.
Beveiligingsbeleid 14 vragen.
Sidebar