Newsroom ?? Security Landschap ?? #Zembla meldt gigantisch datalek persoonsgegevens, maar wie is aansprakelijk?

#Zembla meldt gigantisch datalek persoonsgegevens, maar wie is aansprakelijk?

Categorie: Security Landschap  |  20/04/2012 om 22:55

In de uitzending van Zembla van 20 april, wordt melding gemaakt van een datalek in het systeem Humannet. Dat systeem wordt gebruikt voor verzuimregistratie door afhandelaar VerzuimReductie. Het blijkt dat een grote hoeveelheid persoonsgegevens voor ongeoorloofde bezoekers inzichtelijk was. Dat betekent hoogstwaarschijnlijk een schending van de Wet Bescherming Persoonsgegevens, maar wie zou daar in dit geval aansprakelijk voor zijn?

De Wet Bescherming Persoonsgegevens behandelt in artikel 49 de rechtsbescherming. Daarin staat dus wie aansprakelijk is in geval van dataverlies. De volgende subartikelen zijn daarin opgenomen:

Artikel 49

  • 1. Indien iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet gegeven voorschriften zijn de volgende leden van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels.
  • 2. Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding.
  • 3. De verantwoordelijke is aansprakelijk voor de schade of het nadeel, voortvloeiende uit het niet-nakomen van de in het eerste lid bedoelde voorschriften. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheid.
  • 4. De verantwoordelijke of de bewerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

Belangrijk is dus wie in de context van deze wet de verantwoordelijke en de bewerker zijn. Dat is te vinden in de Algemene Bepalingen:

  • d. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
  • e. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

(bron: wetten.nl)

Het is duidelijk dat de primaire verantwoordelijkheid bij datalekken ligt bij de werkgever. Dat is ook logisch, want het zou niet voor de hand liggen om een slachtoffer (de betrokkene) te verplichten om de hele keten van ict-dienstverleners af te moeten om iemand aansprakelijk te kunnen stellen. Het is gebruikelijk dat een wet het slachtoffer daarin beschermt en dus de werkgever in dit geval als direct aansprakelijke definieert.

De bewerker in deze is waarschijnlijk VerzuimReductie. Aan de uitzending te zien bereid deze partij bij monde van diens woordvoerder zich voor om zich te beroepen op artikel 49 lid 4. Daarmee zijn zij echter hooguit in staat zich te ontdoen van aansprakelijkheid, maar de wet bepaalt mijns inziens niet dat die aansprakelijkheid dan automatisch doorvloeit naar VCD, de leverancier van de Humannet software.

Kortom: een heleboel getroffen werknemers kunnen zich nu richten tot hun werkgevers. En die kan zich weer beroepen op VerzuimReductie. Waar dat uiteindelijk op uit zal komen is de vraag. Ik wacht zeer ge??nteresseerd af.

Kijk hier de Zembla uitzending terug.

Written by

Algemeen Directeur van Medusoft BV. Sinds 2001 in dienst van Medusoft actief werkzaam in de Nederlandse IT Security branche.

View all posts by:

No Comments Yet.

via medusoft.eu

Dit is sinds 25 januari ook Europese wetgeving. http://www.nu.nl/internet/2721684/strenge-europese-privacywetgeving-snel-onth…
Wordt zeker ook voor de gezondheidszorg een issue om voor elkaar te gaan krijgen.